path: root/fr_FR.ISO8859-1/books/handbook/network-servers/chapter.sgml

<?xml version="1.0" encoding="iso-8859-1" standalone="no"?>
<!--
     The FreeBSD Documentation Project
     The FreeBSD French Documentation Project

     $FreeBSD$
     Original revision: 1.101
-->

<chapter id="network-servers">
  <chapterinfo>
    <authorgroup>
      <author>
	<firstname>Murray</firstname>
	<surname>Stokely</surname>
	<contrib>Réorganisé par </contrib>
      </author>
    </authorgroup>
    <!-- 23 Juillet 2004 -->
  </chapterinfo>

  <title>Serveurs réseau</title>
  &trans.a.fonvieille;

  <sect1 id="network-servers-synopsis">
    <title>Synopsis</title>

    <para>Ce chapitre abordera certains des services réseaux
      les plus fréquemment utilisés sur les
      systèmes &unix;.  Nous verrons comment installer,
      configurer, tester et maintenir plusieurs types
      différents de services réseaux.  De plus, des
      exemples de fichier de configuration ont été
      inclus tout au long de ce chapitre pour que vous puissiez en
      bénéficier.</para>

    <para>Après la lecture de ce chapitre, vous
      connaîtrez:</para>

    <itemizedlist>
      <listitem>
	<para>Comment gérer le &ldquo;daemon&rdquo;
	  <application>inetd</application>.</para>
      </listitem>

      <listitem>
	<para>Comment configurer un système de fichiers
	  réseau.</para>
      </listitem>

      <listitem>
	<para>Comment mettre en place un serveur d'information sur le
	  réseau pour partager les comptes utilisateurs.</para>
      </listitem>

      <listitem>
	<para>Comment configurer le paramétrage réseau
	  automatique en utilisant DHCP.</para>
      </listitem>

      <listitem>
	<para>Comment configurer un serveur de noms de domaine.</para>
      </listitem>

      <listitem>
	<para>Comment configurer le serveur HTTP
	  <application>Apache</application>.</para>
      </listitem>

      <listitem>
	<para>Comment configurer un serveur de transfert de fichier
	  (FTP).</para>
      </listitem>

      <listitem>
	<para>Comment configurer un serveur de fichiers et
	  d'impression pour des clients &windows; en utilisant
	  <application>Samba</application>.</para>
      </listitem>

      <listitem>
	<para>Comment synchroniser l'heure et la date, et mettre en
	  place en serveur de temps, avec le protocole NTP.</para>
      </listitem>
    </itemizedlist>

    <para>Avant de lire ce chapitre, vous devrez:</para>

    <itemizedlist>
      <listitem>
	<para>Comprendre les bases des procédures
	  <filename>/etc/rc</filename>.</para>
      </listitem>

      <listitem>
	<para>Etre familier avec la terminologie réseau de
	  base.</para>
      </listitem>

      <listitem>
	<para>Savoir comment installer des applications tierce-partie
	  (<xref linkend="ports"/>).</para>
      </listitem>
    </itemizedlist>
  </sect1>

  <sect1 id="network-inetd">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Chern</firstname>
	  <surname>Lee</surname>
	  <contrib>Contribution de </contrib>
	</author>
      </authorgroup>
      <authorgroup>
	<author>
	  <contrib>Mise &agrave; jour pour &os; 6.1-RELEASE par </contrib>
	  <othername>le projet de documentation de &os;</othername>
	</author>
      </authorgroup>
    </sect1info>

    <title>Le &ldquo;super-serveur&rdquo;
      <application>inetd</application></title>

    <sect2 id="network-inetd-overview">
      <title>Généralités</title>

      <para>On fait parfois référence &agrave;
	&man.inetd.8; comme étant le &ldquo;super-serveur
	Internet&rdquo; parce qu'il gère les connexions pour
	plusieurs services.
	Quand une connexion est reçue par
	<application>inetd</application>, ce dernier détermine
	&agrave; quel programme la connexion est
	destinée, invoque le processus en question
	et lui délègue la &ldquo;socket&rdquo; (le
	programme est invoqué avec la &ldquo;socket&rdquo; service
	comme entrée standard, sortie et descripteurs d'erreur).
	Exécuter
	<application>inetd</application> pour les serveurs qui ne sont
	pas utilisés intensément peut réduire la
	charge système globale quand on compare avec
	l'exécution
	de chaque &ldquo;daemon&rdquo; individuellement en mode
	autonome.</para>

      <para><application>inetd</application> est utilisé pour
	invoquer d'autres &ldquo;daemon&rdquo;s, mais plusieurs
	protocoles triviaux sont gérés directement,
	comme <application>chargen</application>,
	<application>auth</application>, et
	<application>daytime</application>.</para>

      <para>Cette section abordera la configuration de base
	d'<application>inetd</application> &agrave; travers ses
	options en ligne de commande et son fichier de configuration
	<filename>/etc/inetd.conf</filename>.</para>
    </sect2>

    <sect2 id="network-inetd-settings">
      <title>Configuration</title>

      <para><application>inetd</application> est initialisé par
	l'intermédiaire du système
	&man.rc.8;.  L'option
	<literal>inetd_enable</literal> est positionnée
	&agrave; la valeur <literal>NO</literal> par défaut,
	mais peut être activée par
	<application>sysinstall</application> lors de l'installation
	en fonction de la configuration choisie par l'utilisateur.
	Placer</para>

      <programlisting>inetd_enable="YES"</programlisting>

      <para>ou</para>

      <programlisting>inetd_enable="NO"</programlisting>

      <para>dans
	<filename>/etc/rc.conf</filename> activera ou
	désactivera le lancement
	d'<application>inetd</application> &agrave; la mise en route
	du système.  La commande:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/inetd rcvar</userinput></screen>

      <para>peut être lancée pour afficher le
	paramétrage en vigueur.</para>

      <para>De plus, différentes options de ligne de commande
	peuvent être passées &agrave;
	<application>inetd</application> par l'intermédiaire de
	l'option <literal>inetd_flags</literal>.</para>
    </sect2>

    <sect2 id="network-inetd-cmdline">
      <title>Options en ligne de commande</title>

      <para>Comme la plupart des <quote>daemons</quote>,
	<application>inetd</application> possède de nombreuses
	options que l'on peut passer &agrave; son lancement afin de
	modifier son comportement.  La liste complète des
	options se présente sous la forme:</para>

      <para><command>inetd</command> <option>[-d] [-l] [-w] [-W] [-c maximum] [-C taux] [-a adresse | nom de machine] [-p fichier] [-R taux] [fichier de configuration]</option></para>

      <para>Les options peuvent être passées &agrave;
	<application>inetd</application> en utilisant le
	paramètre <literal>inetd_flags</literal> dans
	<filename>/etc/rc.conf</filename>.  Par défaut,
	<literal>inetd_flags</literal> contient <literal>-wW -C
	60</literal>, qui active le <quote>TCP wrapping</quote> pour
	les services <application>inetd</application>, et
	empêche l'invocation d'un service plus de 60 fois par
	minute &agrave; partir d'une unique adresse IP.</para>

      <para>Les novices seront heureux d'apprendre que ce
	paramétrage n'a en général pas besoin
	d'être modifié, cependant nous présentons
	ci-dessous les options de limitation du taux d'invocation
	étant donné que cela peut être utile si
	vous recevez une quantité excessive de connexions.  Une
	liste complète d'options peut être trouvée
	dans la page de manuel de &man.inetd.8;.</para>

      <variablelist>
	<varlistentry>
	  <term>-c maximum</term>

	  <listitem>
	    <para>Spécifie le nombre maximal par défaut
	      d'invocations simultanées pour chaque service; il
	      n'y a pas de limite par défaut.  Cette option peut
	      être surchargée pour chaque service &agrave;
	      l'aide du paramètre
	      <option>nb-max-enfants</option>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>-C taux</term>

	  <listitem>
	    <para>Précise le nombre maximal de fois qu'un
	      service peut être invoqué &agrave; partir
	      d'une unique adresse IP et cela sur une minute.  Ce
	      paramètre peut être configuré
	      différemment pour chaque service avec le
	      paramètre
	      <option>nb-max-connexions-par-ip-par-minute</option>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>-R taux</term>

	  <listitem>
	    <para>Précise le nombre maximal de fois qu'un
	      service peut être invoqué par minute; la
	      valeur par défaut est 256.  Un taux de 0 autorise
	      un nombre illimité d'invocations.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>-s maximum</term>

	  <listitem>
	    <para>Précise le nombre maximal de fois qu'un
	      service peut être invoqué
	      simultanément &agrave; partir d'une adresse IP
	      unique; il n'y a pas de limite par défaut.  Cette
	      option peut-être surchargée pour chaque
	      service individuellement avec le paramètre
	      <option>max-child-per-ip</option>.</para>
	  </listitem>
	</varlistentry>
      </variablelist>
    </sect2>

    <sect2 id="network-inetd-conf">
      <!-- XXX This section isn't very clear, and could do with some lovin' -->
      <title><filename>inetd.conf</filename></title>

      <para>La configuration d'<application>inetd</application> se
	fait par l'intermédiaire du fichier
	<filename>/etc/inetd.conf</filename>.</para>

      <para>Quand le fichier <filename>/etc/inetd.conf</filename> est
	modifié, <application>inetd</application> peut
	être forcé de relire son fichier de configuration
	en utilisant la commande:</para>

      <example id="network-inetd-reread">
	<title>Recharger le fichier de configuration
	  d'<application>inetd</application></title>

	<screen>&prompt.root; <userinput>/etc/rc.d/inetd reload</userinput></screen>
      </example>

      <para>Chaque ligne du fichier de configuration ne mentionne
	qu'un seul &ldquo;daemon&rdquo;.  Les commentaires dans le
	fichier sont précédés par un
	&ldquo;#&rdquo;.  Le format de chaque entrée du fichier
	<filename>/etc/inetd.conf</filename> est le suivant:</para>

      <programlisting>nom-du-service
type-de-socket
protocole
{wait|nowait}[/nb-max-enfants[/nb-connexions-max-par-minute]]
{wait|nowait}[/nb-max-enfants[/nb-connexions-max-par-minute[/nb-max-enfants-par-ip]]]
utilisateur[:groupe][/classe-session]
programme-serveur
arguments-du-programme-serveur</programlisting>

      <para>Un exemple d'entrée pour le &ldquo;daemon&rdquo;
	&man.ftpd.8; utilisant l'IPv4 ressemblerait:</para>

      <programlisting>ftp     stream  tcp     nowait  root    /usr/libexec/ftpd       ftpd -l</programlisting>

      <variablelist>
	<varlistentry>
	  <term>nom-du-service</term>

	  <listitem>
	    <para>C'est le nom de service du &ldquo;daemon&rdquo; en
	      question.  Il doit correspondre &agrave; un des services
	      listés dans le fichier
	      <filename>/etc/services</filename>.  Cela détermine
	      quel port <application>inetd</application> doit
	      écouter.  Si un nouveau service est
	      créé, il doit être ajouté en
	      premier lieu dans
	      <filename>/etc/services</filename>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>type-de-socket</term>

	  <listitem>
	    <para>Soit <literal>stream</literal>, soit
	      <literal>dgram</literal>, soit <literal>raw</literal>, ou
	      <literal>seqpacket</literal>.  <literal>stream</literal>
	      doit être utilisé pour les
	      &ldquo;daemon&rdquo;s TCP, alors que
	      <literal>dgram</literal> est utilisé pour les
	      &ldquo;daemon&rdquo;s utilisant le protocole UDP.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>protocole</term>

	  <listitem>
	    <para>Un des suivants:</para>

	    <informaltable frame="none" pgwide="1">
	      <tgroup cols="2">
		<thead>
		  <row>
		    <entry>Protocole</entry>
		    <entry>Explication</entry>
		  </row>
		</thead>
		<tbody>
		  <row>
		    <entry>tcp, tcp4</entry>
		    <entry>TCP IPv4</entry>
		  </row>
		  <row>
		    <entry>udp, udp4</entry>
		    <entry>UDP IPv4</entry>
		  </row>
		  <row>
		    <entry>tcp6</entry>
		    <entry>TCP IPv6</entry>
		  </row>
		  <row>
		    <entry>udp6</entry>
		    <entry>UDP IPv6</entry>
		  </row>
		  <row>
		    <entry>tcp46</entry>
		    <entry>TCP IPv4 et v6</entry>
		  </row>
		  <row>
		    <entry>udp46</entry>
		    <entry>UDP IPv4 et v6</entry>
		  </row>
		</tbody>
	      </tgroup>
	    </informaltable>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>{wait|nowait}[/nb-max-enfants[/nb-max-connexions-par-ip-par-minute[/nb-max-enfants-par-ip]]]</term>

	  <listitem>
	    <para><option>wait|nowait</option> indique si le
	      &ldquo;daemon&rdquo; invoqué par
	      <application>inetd</application> est capable ou non de
	      gérer sa propre &ldquo;socket&rdquo;.  Les
	      &ldquo;socket&rdquo;s de type <option>dgram</option>
	      doivent utiliser l'option <option>wait</option>, alors
	      que les &ldquo;daemons &agrave; socket stream&rdquo;,
	      qui sont généralement
	      multi-threadés, devraient utiliser
	      <option>nowait</option>.  L'option <option>wait</option>
	      a généralement pour conséquence de
	      fournir plusieurs &ldquo;socket&rdquo;s &agrave; un
	      &ldquo;daemon&rdquo;, tandis que l'option
	      <option>nowait</option> invoquera un
	      &ldquo;daemon&rdquo; enfant pour chaque nouvelle
	      &ldquo;socket&rdquo;.</para>

	    <para>Le nombre maximal de &ldquo;daemon&rdquo;s
	      qu'<application>inetd</application> peut invoquer peut
	      être fixé en utilisant l'option
	      <option>nb-max-enfants</option>.  Si une limite de dix
	      instances pour un &ldquo;daemon&rdquo; est
	      nécessaire, <literal>/10</literal> devra
	      être placé après
	      <option>nowait</option>.  Spécifier
	      <literal>/0</literal> autorise un nombre illimité
	      d'enfant.</para>

	    <para>En plus de <option>nb-max-enfants</option>, deux
	      autres options limitant le nombre maximal de connexions
	      &agrave; partir d'un emplacement vers un
	      &ldquo;daemon&rdquo; particulier peuvent être
	      activéees.  L'option
	      <option>nb-max-connexions-par-ip-par-minute</option>
	      limite le nombre de connexions par minutes &agrave;
	      partir d'une adresse IP donnée, par exemple, une
	      valeur de dix limiterait
	      &agrave; dix le nombre de tentatives de connexions par
	      minute pour une adresse IP particulière.
	      L'option <option>max-child-per-ip</option> limite le
	      nombre d'enfants qui peuvent être lancés
	      pour une adresse IP unique &agrave; un instant
	      donné.  Ces options sont utiles pour
	      empêcher l'abus excessif intentionnel ou par
	      inadvertance des ressources d'une machine et les
	      attaques par déni de service (<quote>Denial of
	      Service&mdash;DOS</quote>).</para>

	    <para>Dans ce champ, <option>wait</option> ou
	      <option>nowait</option> est obligatoire.
	      <option>nb-max-enfants</option>,
	      <option>nb-max-connexions-par-ip-par-minute</option> et
	      <option>max-child-per-ip</option>
	      sont optionnelles.</para>

	    <para>Un &ldquo;daemon&rdquo; utilisant un flux de type
	      multi-threadé sans limites
	      <option>nb-max-enfants</option>,
	      <option>nb-max-connexions-par-ip-par-minute</option> ou
	      <option>max-child-per-ip</option>
	      sera tout simplement affecté de l'option
	      <literal>nowait</literal>.</para>

	    <para>Le même &ldquo;daemon&rdquo; avec une limite
	      maximale de dix &ldquo;daemon&rdquo; serait:
	      <literal>nowait/10</literal>.</para>

	    <para>La même configuration avec une limite
	      de vingt connexions par adresse IP par minute et une
	      limite maximale de dix &ldquo;daemon&rdquo;s enfant
	      serait: <literal>nowait/10/20</literal>.</para>

	    <para>Ces options sont utilisées comme valeurs par
	      défaut par le &ldquo;daemon&rdquo;
	      &man.fingerd.8;, comme le montre ce
	      qui suit:</para>

	    <programlisting>finger stream  tcp     nowait/3/10 nobody /usr/libexec/fingerd fingerd -s</programlisting>

	    <para>Et enfin, un exemple de champ avec un maximum de 100
	      enfants en tout, avec un maximum de 5 adresses IP
	      distinctes serait:
	      <literal>nowait/100/0/5</literal>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>utilisateur</term>

	  <listitem>
	    <para>C'est l'utilisateur sous lequel le
	      &ldquo;daemon&rdquo; en question est
	      exécuté.  En général les
	      &ldquo;daemon&rdquo;s tournent sous l'utilisateur
	      <username>root</username>.  Pour des questions de
	      sécurité, il est courant de rencontrer des
	      serveurs tournant sous l'utilisateur
	      <username>daemon</username>, ou sous l'utilisateur avec
	      le moins de privilèges:
	      <username>nobody</username>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>programme-serveur</term>

	  <listitem>
	    <para>Le chemin complet du &ldquo;daemon&rdquo; qui doit
	      être exécuté quand une requête
	      est reçue.  Si le &ldquo;daemon&rdquo; est un
	      service fourni en interne par
	      <application>inetd</application>, alors l'option
	      <option>internal</option> devrait être
	      utilisée.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term>arguments-programme-serveur</term>

	  <listitem>
	    <para>Cette option va de pair avec
	      <option>programme-serveur</option> en précisant
	      les arguments, en commençant avec
	      <literal>argv[0]</literal>, passés au
	      &ldquo;daemon&rdquo; lors de son invocation.  Si
	      <command>mydaemon -d</command> est la ligne de commande,
	      <literal>mydaemon -d</literal> sera la valeur de
	      l'option <option>arguments-programme-serveur</option>.
	      Ici également, si le &ldquo;daemon&rdquo; est un
	      service interne, utilisez
	      <option>internal</option>.</para>
	  </listitem>
	</varlistentry>
      </variablelist>
    </sect2>

    <sect2 id="network-inetd-security">
      <title>Sécurité</title>

      <para>En fonction des choix effectués
	&agrave; l'installation, plusieurs services
	peuvent être activés par défaut.  S'il n'y
	a pas de raison particulière &agrave; l'utilisation
	d'un &ldquo;daemon&rdquo;, envisagez de le désactiver.  Ajoutez un
	caractère &ldquo;#&rdquo; devant le
	&ldquo;daemon&rdquo; en question dans le fichier
	<filename>/etc/inetd.conf</filename>, et ensuite
	<link linkend="network-inetd-reread">rechargez la
	configuration
	d'inetd</link>.  Certains <quote>daemon</quote>s comme
	<application>fingerd</application>, devraient être
	évités parce qu'ils peuvent fournir des informations
	utiles aux personnes malveillantes.</para>

      <para>Certains &ldquo;daemon&rdquo;s n'ont aucune conscience des
	problèmes de sécurité, et ont un long
	délai limite, ou pas du tout, d'expiration pour les tentatives de
	connexions.  Cela permet &agrave; une personne malveillante
	d'envoyer régulièrement et de manière
	espacée des demandes de connexions &agrave; un
	&ldquo;daemon&rdquo; particulier, avec pour conséquence
	de saturer les ressources disponibles.  Cela peut être
	une bonne idée de placer des limitations
	<option>nb-max-connexions-par-ip-par-minute</option>,
	<option>max-child</option> ou
	<option>nb-max-enfants</option> sur certains
	<quote>daemon</quote>s si vous trouvez que vous avez trop de
	connexions.</para>

      <para>Par défaut, le &ldquo;TCP wrapping&rdquo; est
	activé.  Consultez la page de manuel
	&man.hosts.access.5; pour plus d'information sur le placement
	de restrictions TCP pour divers &ldquo;daemon&rdquo;s
	invoqués par <application>inetd</application>.</para>
    </sect2>

    <sect2 id="network-inetd-misc">
      <title>Divers</title>

      <para><application>daytime</application>,
	<application>time</application>,
	<application>echo</application>,
	<application>discard</application>,
	<application>chargen</application>, et
	<application>auth</application> sont des services fournis en
	interne par <application>inetd</application>.</para>

      <para>Le  service <application>auth</application> fournit les
	services réseau d'identification,
	et est configurable
	&agrave; un certain degré, alors que les autres
	services ne peuvent être que stoppés ou en
	fonctionnement.</para>

      <para>Consultez la page de manuel de &man.inetd.8; pour plus
	d'informations.</para>
    </sect2>
  </sect1>

  <sect1 id="network-nfs">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Tom</firstname>
	  <surname>Rhodes</surname>
	  <contrib>Réorganisé et augmenté par </contrib>
	</author>
      </authorgroup>
      <authorgroup>
	<author>
	  <firstname>Bill</firstname>
	  <surname>Swingle</surname>
	  <contrib>Ecrit par </contrib>
	</author>
      </authorgroup>
    </sect1info>
    <title>Système de fichiers réseau (NFS)</title>

    <indexterm><primary>NFS</primary></indexterm>
    <para>Parmi les différents systèmes de fichiers que
      &os; supporte se trouve le système de fichiers
      réseau, connu sous le nom de <acronym>NFS</acronym>.
      <acronym>NFS</acronym> permet &agrave; un système de
      partager des répertoires et des fichiers avec d'autres
      systèmes par l'intermédiaire d'un réseau.  En
      utilisant <acronym>NFS</acronym>, les utilisateurs et les
      programmes peuvent accéder aux fichiers sur des
      systèmes distants comme s'ils étaient des fichiers
      locaux.</para>

    <para>Certains des avantages les plus remarquables offerts par
      <acronym>NFS</acronym> sont:</para>

    <itemizedlist>
      <listitem>
	<para>Les stations de travail utilisent moins d'espace disque
	  en local parce que les données utilisées en
	  commun peuvent être stockées sur une seule
	  machine tout en restant accessibles aux autres machines sur le
	  réseau.</para>
      </listitem>

      <listitem>
	<para>Les utilisateurs n'ont pas besoin d'avoir un
	  répertoire personnel sur chaque machine du
	  réseau.  Les répertoires personnels pourront se
	  trouver sur le serveur <acronym>NFS</acronym> et seront
	  disponibles par l'intermédiaire du
	  réseau.</para>
      </listitem>

      <listitem>
	<para>Les périphériques de stockage comme les
	  lecteurs de disquettes, de CDROM, de disquettes &iomegazip; peuvent
	  être utilisés par d'autres machines sur le
	  réseau.  Cela pourra réduire le nombre de
	  lecteurs de medias amovibles sur le réseau.</para>
      </listitem>
    </itemizedlist>

    <sect2>
      <title>Comment <acronym>NFS</acronym> fonctionne</title>

      <para><acronym>NFS</acronym> consiste en deux
	éléments principaux: un serveur et un ou
	plusieurs clients.  Le client accède &agrave; distance
	aux données stockées sur la machine serveur.
	Afin que tout cela fonctionne correctement quelques processus
	doivent être configurés et en
	fonctionnement.</para>

      <para>Sur le serveur, les &ldquo;daemons&rdquo; suivants
	doivent tourner:</para>
      <indexterm>
	<primary>NFS</primary>
	<secondary>serveur</secondary>
      </indexterm>
      <indexterm>
        <primary>serveur de fichiers</primary>
        <secondary>clients UNIX</secondary>
      </indexterm>
      <indexterm>
	<primary><application>rpcbind</application></primary>
      </indexterm>
      <indexterm>
	<primary><application>mountd</application></primary>
      </indexterm>
      <indexterm>
	<primary><application>nfsd</application></primary>
      </indexterm>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <colspec colwidth="1*"/>
	  <colspec colwidth="3*"/>

	  <thead>
	    <row>
	      <entry>Daemon</entry>
	      <entry>Description</entry>
	    </row>
	  </thead>
	  <tbody>
	    <row>
	      <entry><application>nfsd</application></entry>
	      <entry>Le &ldquo;daemon&rdquo; <acronym>NFS</acronym>
		qui répond aux requêtes des clients
		<acronym>NFS</acronym>.</entry>
	    </row>
	    <row>
	      <entry><application>mountd</application></entry>
	      <entry>Le &ldquo;daemon&rdquo; de montage
		<acronym>NFS</acronym> qui traite les requêtes que
		lui passe &man.nfsd.8;.</entry>
	    </row>
	    <row>
	      <entry><application>rpcbind</application></entry>
	      <entry>Ce <quote>daemon</quote> permet aux
		clients <acronym>NFS</acronym> de trouver le port que
		le serveur <acronym>NFS</acronym> utilise.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <para>Le client peut également faire tourner un
	&ldquo;daemon&rdquo; connu sous le nom de
	<application>nfsiod</application>.  Le &ldquo;daemon&rdquo;
	<application>nfsiod</application> traite les requêtes en
	provenance du serveur <acronym>NFS</acronym>.  Ceci est
	optionnel, et améliore les performances, mais n'est pas
	indispensable pour une utilisation normale et correcte.
	Consultez la page de manuel &man.nfsiod.8; pour plus
	d'informations.</para>
    </sect2>

    <sect2 id="network-configuring-nfs">
      <title>Configurer <acronym>NFS</acronym></title>
      <indexterm>
	<primary>NFS</primary>
	<secondary>configuration</secondary>
      </indexterm>

      <para>La configuration de <acronym>NFS</acronym> est une
	opération relativement directe.  Les processus qui
	doivent tourner peuvent tous être lancés au
	démarrage en modifiant légèrement votre
	fichier <filename>/etc/rc.conf</filename>.</para>

      <para>Sur le serveur <acronym>NFS</acronym>, assurez-vous que
	les options suivantes sont configurées dans le fichier
	<filename>/etc/rc.conf</filename>:</para>

      <programlisting>rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"</programlisting>

      <para><application>mountd</application> est automatiquement
	exécuté dès que le serveur
	<acronym>NFS</acronym> est activé.</para>

      <para>Sur le client, assurez-vous que cette option est
	présente dans le fichier
	<filename>/etc/rc.conf</filename>:</para>

      <programlisting>nfs_client_enable="YES"</programlisting>

      <para>Le fichier <filename>/etc/exports</filename> indique quels
	systèmes de fichiers <acronym>NFS</acronym> devraient
	être exportés (parfois on utilise le terme de
	&ldquo;partagés&rdquo;).  Chaque ligne dans
	<filename>/etc/exports</filename> précise un
	système de fichiers &agrave; exporter et quelles
	machines auront accès &agrave; ce système de
	fichiers.  En plus des machines qui auront accès, des
	options d'accès peuvent également être
	présentes.  Ces options sont nombreuses mais seules
	quelques unes seront abordées ici.  Vous pouvez
	aisément découvrir d'autres options en lisant la
	page de manuel &man.exports.5;.</para>

      <para>Voici quelques exemples d'entrées du fichier
	<filename>/etc/exports</filename>:</para>

      <indexterm>
	<primary>NFS</primary>
	<secondary>exemples d'exportation</secondary>
      </indexterm>

      <para>Les exemples suivants donnent une idée de comment
	exporter des systèmes de fichiers bien que certains
	paramètres peuvent être différents en
	fonction de votre environnement et votre configuration
	réseau.  Par exemple, pour exporter le
	répertoire <filename class="directory">/cdrom</filename>
	pour les trois machines d'exemple qui appartiennent au
	même domaine que le serveur (d'où l'absence du
	nom de domaine pour chacune d'entre elles) ou qui ont une
	entrée dans votre fichier
	<filename>/etc/hosts</filename>.  Le paramètre
	<option>-ro</option> limite l'accès en lecture seule au
	système de fichiers exporté.  Avec ce
	paramètre, le système distant ne pourra pas
	écrire sur le système de fichiers
	exporté.</para>

      <programlisting>/cdrom -ro host1 host2 host3</programlisting>

      <para>La ligne suivante exporte <filename
	class="directory">/home</filename> pour les trois machines en
	utilisant les adresses IP.  C'est une configuration utile si
	vous disposez d'un réseau privé sans serveur
	<acronym>DNS</acronym> configuré.  Le fichier
	<filename>/etc/hosts</filename> pourrait éventuellement
	être configuré pour les noms de machines
	internes, consultez la page de manuel &man.hosts.5; pour plus
	d'information.  Le paramètre <option>-alldirs</option>
	autorise l'utilisation des sous-répertoires en tant que
	point de montage.  En d'autres termes, il ne montera pas les
	sous-répertoires mais autorisera le client &agrave; ne
	monter que les répertoires qui sont nécessaires
	ou désirés.</para>

      <programlisting>/home  -alldirs  10.0.0.2 10.0.0.3 10.0.0.4</programlisting>

      <para>La ligne suivante exporte <filename
	class="directory">/a</filename> pour que deux clients d'un
	domaine différent puissent y accéder.  Le
	paramètre <option>-maproot=root</option> autorise
	l'utilisateur <username>root</username> du système
	distant &agrave; écrire des données sur le
	système de fichiers exporté en tant que
	<username>root</username>.  Si le paramètre
	<literal>-maproot=root</literal> n'est pas
	précisé, même si un utilisateur dispose
	d'un accès <username>root</username> sur le
	système distant, il ne pourra pas modifier de fichiers
	sur le système de fichiers exporté.</para>

      <programlisting>/a  -maproot=root  host.example.com box.example.org</programlisting>

      <para>Afin de pouvoir accéder &agrave; un système
	de fichiers exporté, le client doit avoir les
	permissions de le faire.  Assurez-vous que le client est
	mentionné dans votre fichier
	<filename>/etc/exports</filename>.</para>

      <para>Dans <filename>/etc/exports</filename>, chaque ligne
	représente l'information d'exportation d'un
	système de fichiers vers une machine.  Une machine
	distante ne peut être spécifiée qu'une
	fois par système de fichiers, et ne devrait avoir
	qu'une seule entrée par défaut.  Par exemple,
	supposons que <filename class="directory">/usr</filename> soit
	un seul système de fichiers.  Le fichier
	<filename>/etc/exports</filename> suivant serait
	invalide:</para>

      <programlisting># Invalide quand /usr est un système de fichiers
/usr/src   client
/usr/ports client</programlisting>

      <para>Un système de fichiers,
	<filename class="directory">/usr</filename>, a deux lignes
	précisant des exportations vers la même machine,
	<hostid>client</hostid>.  Le format correct pour une telle
	situation est:</para>

      <programlisting>/usr/src /usr/ports  client</programlisting>

      <para>Les propriétés d'un système de fichiers
	exporté vers une machine donnée devraient
	apparaître sur une ligne.  Les lignes sans client sont
	traitées comme destinée &agrave; une seule
	machine.  Cela limite la manière dont vous pouvez
	exporter les systèmes de fichiers, mais pour la plupart
	des gens cela n'est pas un problème.</para>

      <para>Ce qui suit est un exemple de liste d'exportation valide,
	où les répertoires <filename
	class="directory">/usr</filename> et <filename
	class="directory">/exports</filename> sont des systèmes
	de fichiers locaux:</para>

      <programlisting># Exporte src et ports vers client01 et client02, mais seul
# client01 dispose des privilèges root dessus
/usr/src /usr/ports -maproot=root    client01
/usr/src /usr/ports               client02
# Les machines clientes ont les privilèges root et peuvent monter tout
# de /exports.  N'importe qui peut monter en lecture seule
# /exports/obj
/exports -alldirs -maproot=root      client01 client02
/exports/obj -ro</programlisting>

      <para>Le <quote>daemon</quote> <application>mountd</application>
	doit être forcé de relire le fichier
	<filename>/etc/exports</filename> &agrave; chacune de ses
	modifications, afin que les changements puissent prendre effet.
	Cela peut être effectué soit en envoyant un signal
	HUP au <quote>daemon</quote>:</para>

      <screen>&prompt.root; <userinput>kill -HUP `cat /var/run/mountd.pid`</userinput></screen>

      <para>soit en invoquant la procédure &man.rc.8; de
	<command>mountd</command> avec le paramètre
	approprié:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/mountd onereload</userinput></screen>

      <para>Veuillez consulter la <xref linkend="configtuning-rcd"/>
	pour plus d'information sur l'utilisation des procédures
	rc.</para>

      <para>De plus, un redémarrage permettra &agrave; &os; de
	tout configurer proprement.  Un redémarrage n'est
	cependant pas nécessaire.  Exécuter les
	commandes suivantes en tant que <username>root</username>
	devrait mettre en place ce qui est nécessaire.</para>

      <para>Sur le serveur <acronym>NFS</acronym>:</para>

      <screen>&prompt.root; <userinput>rpcbind</userinput>
&prompt.root; <userinput>nfsd -u -t -n 4</userinput>
&prompt.root; <userinput>mountd -r</userinput></screen>

      <para>Sur le client <acronym>NFS</acronym>:</para>

      <screen>&prompt.root; <userinput>nfsiod -n 4</userinput></screen>

      <para>Maintenant il devrait être possible de monter un
	système de fichiers distant.  Dans nos exemples le nom
	du serveur sera <hostid>serveur</hostid> et le nom du client
	<hostid>client</hostid>.  Si vous voulez monter temporairement
	un système de fichiers distant ou vous voulez
	simplement tester la configuration, exécutez juste une
	commande comme celle-ci en tant que <username>root</username>
	sur le client:</para>
      <indexterm>
        <primary>NFS</primary>
        <secondary>montage</secondary>
      </indexterm>

      <screen>&prompt.root; <userinput>mount serveur:/home /mnt</userinput></screen>

      <para>Cela montera le répertoire <filename
	class="directory">/home</filename> situé sur le serveur
	au point <filename class="directory">/mnt</filename> sur le
	client.  Si tout est correctement configuré vous
	devriez être en mesure d'entrer dans le
	répertoire <filename class="directory">/mnt</filename>
	sur le client et de voir tous les fichiers qui sont sur le
	serveur.</para>

      <para>Si vous désirez monter automatiquement un
	système de fichiers distant &agrave; chaque
	démarrage de l'ordinateur, ajoutez le système de
	fichiers au fichier <filename>/etc/fstab</filename>.  Voici un
	exemple:</para>

      <programlisting>server:/home	/mnt	nfs	rw	0	0</programlisting>

      <para>La page de manuel &man.fstab.5; liste toutes les options
	disponibles.</para>
    </sect2>

    <sect2>
      <title>Verrouillage</title>

      <para>Certaines applications (par exemple
	<application>mutt</application>) ont besoin du verrouillage
	des fichiers pour fonctionner correctement.  Dans le cas du
	<acronym>NFS</acronym>, <application>rpc.lockd</application>
	peut être utilisé pour assurer le verrouillage
	des fichiers.  Pour l'activer, ajouter ce qui suit au fichier
	<filename>/etc/rc.conf</filename> sur les machines clientes et
	serveur (on suppose que les clients et le serveur
	<acronym>NFS</acronym> sont déj&agrave;
	configurés):</para>

      <programlisting>rpc_lockd_enable="YES"
rpc_statd_enable="YES"</programlisting>

      <para>Lancez l'application en utilisant:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/nfslocking start</userinput></screen>

      <para>Si un verrouillage réel n'est pas nécessaire
	entre les clients et le serveur <acronym>NFS</acronym>, il est
	possible de laisser le client <acronym>NFS</acronym> effectuer
	le verrouillage localement en passant l'option
	<option>-L</option> &agrave; &man.mount.nfs.8;.  Veuillez vous
	référer &agrave; la page de manuel
	&man.mount.nfs.8; pour de plus amples détails.</para>
    </sect2>

    <sect2>
      <title>Exemples pratiques d'utilisation</title>

      <para>Il existe de nombreuses applications pratiques de
	<acronym>NFS</acronym>.  Les plus communes sont
	présentés ci-dessous:</para>

      <indexterm>
	<primary>NFS</primary>
	<secondary>utilisations</secondary>
      </indexterm>
      <itemizedlist>
	<listitem>
	  <para>Configurer plusieurs machines pour partager un CDROM
	    ou un autre médium.  C'est moins cher et souvent une
	    méthode plus pratique pour installer des logiciels
	    sur de multiples machines.</para>
	</listitem>

	<listitem>
	  <para>Sur les réseaux importants, il peut être
	    plus pratique de configurer un serveur
	    <acronym>NFS</acronym> central sur lequel tous les
	    répertoires utilisateurs sont stockés.  Ces
	    répertoires utilisateurs peuvent alors être
	    exportés vers le réseau, les utilisateurs
	    devraient alors toujours avoir le même
	    répertoire utilisateur indépendamment de la
	    station de travail sur laquelle ils ouvrent une
	    session.</para>
	</listitem>

	<listitem>
	  <para>Plusieurs machines pourront avoir un répertoire
	    <filename class="directory">/usr/ports/distfiles</filename>
	    commun.  De cette manière, quand vous avez besoin
	    d'installer un logiciel porté sur plusieurs machines,
	    vous pouvez accéder rapidement aux sources sans les
	    télécharger sur chaque machine.</para>
	</listitem>
      </itemizedlist>
    </sect2>

    <sect2 id="network-amd">
      <sect2info>
	<authorgroup>
	  <author>
	    <firstname>Wylie</firstname>
	    <surname>Stilwell</surname>
	    <contrib>Contribution de </contrib>
	  </author>
	</authorgroup>
	<authorgroup>
	  <author>
	    <firstname>Chern</firstname>
	    <surname>Lee</surname>
	    <contrib>Réécrit par </contrib>
	  </author>
	</authorgroup>
      </sect2info>
      <title>Montages automatiques avec
	<application>amd</application></title>

      <indexterm><primary>amd</primary></indexterm>
      <indexterm><primary>daemon de montage
	automatique</primary></indexterm>

      <para>&man.amd.8; (&ldquo;automatic mounter
	daemon&rdquo;&mdash;&ldquo;daemon&rdquo; de montage
	automatique) monte automatiquement un système de
	fichiers distant dès que l'on accède &agrave; un
	fichier ou un répertoire contenu par ce système
	de fichiers.  Les systèmes de fichiers qui sont
	inactifs pendant une certaine période seront
	automatiquement démontés par
	<application>amd</application>.  L'utilisation
	d'<application>amd</application> offre une alternative simple
	aux montages permanents qui sont généralement
	listés dans <filename>/etc/fstab</filename>.</para>

      <para><application>amd</application> opère en s'attachant
	comme un serveur NFS aux répertoires <filename
	class="directory">/host</filename> et <filename
	class="directory">/net</filename>.  Quand on accède
	&agrave; un fichier &agrave; l'intérieur de ces
	répertoires, <application>amd</application> recherche
	le montage distant correspondant et le monte automatiquement.
	<filename class="directory">/net</filename> est utilisé
	pour monter un système de fichiers exporté
	&agrave; partir d'une adresse IP, alors que <filename
	class="directory">/host</filename> est utilisé pour
	monter un système de fichiers exporté &agrave;
	partir d'un nom de machine distant.</para>

      <para>Un accès &agrave; un fichier dans <filename
	class="directory">/host/foobar/usr</filename> demandera
	&agrave; <application>amd</application> de tenter de monter
	l'export <filename class="directory">/usr</filename> sur la
	machine <hostid>foobar</hostid>.</para>

      <example>
	<title>Monter un systèmes de fichiers exporté
	  avec <application>amd</application></title>

	<para>Vous pouvez voir les systèmes de fichiers
	  exportés par une machine distante avec la commande
	  <command>showmount</command>.  Par exemple, pour voir les
	  répertoires exportés par une machine
	  appelée <hostid>foobar</hostid>, vous pouvez
	  utiliser:</para>

	<screen>&prompt.user; <userinput>showmount -e foobar</userinput>
Exports list on foobar:
/usr                               10.10.10.0
/a                                 10.10.10.0
&prompt.user; <userinput>cd /host/foobar/usr</userinput></screen>
      </example>

      <para>Comme on le voit dans l'exemple,
	<command>showmount</command> liste <filename
	class="directory">/usr</filename> comme une exportation.  Quand
	on change de répertoire pour
	<filename>/host/foobar/usr</filename>,
	<application>amd</application> tente de résoudre le nom
	de machine <hostid>foobar</hostid> et de monter
	automatiquement le système exporté
	désiré.</para>

      <para><application>amd</application> peut être
	lancé par les procédures de démarrage en
	ajoutant les lignes suivantes dans le fichier
	<filename>/etc/rc.conf</filename>:</para>

      <programlisting>amd_enable="YES"</programlisting>

      <para>De plus, des paramètres peuvent être
	passés &agrave; <application>amd</application> &agrave;
	l'aide de l'option <literal>amd_flags</literal>.  Par
	défaut, l'option <varname>amd_flags</varname> est
	possitionnée &agrave;:</para>

      <programlisting>amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map"</programlisting>

      <para>Le fichier <filename>/etc/amd.map</filename>
	définit les options par défaut avec lesquelles
	les systèmes exportés sont montés.  Le
	fichier <filename>/etc/amd.conf</filename> définit
	certaines des fonctionnalités les plus avancées
	de <application>amd</application>.</para>

      <para>Consultez les pages de manuel de &man.amd.8; et
	&man.amd.conf.5; pour plus d'informations.</para>
    </sect2>

    <sect2 id="network-nfs-integration">
      <sect2info>
	<authorgroup>
	  <author>
	    <firstname>John</firstname>
	    <surname>Lind</surname>
	    <contrib>Contribution de </contrib>
	  </author>
	</authorgroup>
      </sect2info>
      <title>Problèmes d'intégration avec d'autres
	systèmes</title>

      <para>Certaines cartes Ethernet ISA présentent des
	limitations qui peuvent poser de sérieux
	problèmes sur un réseau, en particulier avec
	NFS.  Ce n'est pas une particularité de &os;, mais &os;
	en est également affecté.</para>

      <para>Ce problème se produit pratiquement &agrave; chaque
	fois que des systèmes (&os;) PC sont sur le même
	réseau que des stations de travail très
	performantes, comme celles de Silicon Graphics, Inc. et Sun
	Microsystems, Inc.  Les montages NFS se feront sans
	difficulté, et certaines opérations pourront
	réussir, puis soudain le serveur semblera ne plus
	répondre au client, bien que les requêtes vers ou
	en provenance d'autres systèmes continueront &agrave;
	être traitées normalement.  Cela se manifeste
	sur la machine cliente, que ce soit le système &os; ou
	la station de travail.  Sur de nombreux systèmes, il
	n'est pas possible d'arrêter le client proprement une
	fois que ce problème apparaît.  La seule solution
	est souvent de réinitialiser le client parce que le
	problème NFS ne peut être résolu.</para>

      <para>Bien que la solution &ldquo;correcte&rdquo; est
	d'installer une carte Ethernet plus performante et de plus
	grande capacité sur le système &os;, il existe
	une solution simple qui donnera satisfaction.  Si le
	système &os; est le <emphasis>serveur</emphasis>,
	ajoutez l'option <option>-w=1024</option> lors du montage sur
	le client.  Si le système &os; est le
	<emphasis>client</emphasis>, alors montez le système de
	fichiers NFS avec l'option <option>-r=1024</option>.  Ces
	options peuvent être spécifiées dans le
	quatrième champ de l'entrée
	<filename>fstab</filename> sur le client pour les montages
	automatiques, ou en utilisant le paramètre
	<option>-o</option> de la commande &man.mount.8; pour les
	montages manuels.</para>

      <para>Il faut noter qu'il existe un problème
	différent, que l'on confond parfois avec le
	précédent, qui peut se produire lorsque les
	serveurs et les clients NFS sont sur des réseaux
	différents.  Si c'est le cas,
	<emphasis>assurez-vous</emphasis> que vos routeurs
	transmettent bien les informations UDP nécessaires, ou
	vous n'irez nulle part, quoi que vous fassiez par
	ailleurs.</para>

      <para>Dans les exemples suivants, <hostid>fastws</hostid> est le
	nom de la station de travail (interface) performante, et
	<hostid>freebox</hostid> celui d'une machine (interface) &os;
	avec une carte Ethernet moins performante.  <filename
	class="directory">/sharedfs</filename> est le système de
	fichiers NFS qui sera exporté (consulter la page de
	manuel &man.exports.5;), et <filename
	class="directory">/project</filename> sera le point de montage
	sur le client pour le système de fichiers
	exporté.  Dans tous les cas, des options
	supplémentaires, telles que <option>hard</option>
	<option>soft</option> et <option>bg</option> seront
	peut-être nécessaires pour vos
	applications.</para>

      <para>Exemple d'extrait du fichier
	<filename>/etc/fstab</filename> sur <hostid>freebox</hostid>
	quand le système &os; (<hostid>freebox</hostid>) est le
	client:</para>

      <programlisting>fastws:/sharedfs /project nfs rw,-r=1024 0 0</programlisting>

      <para>Commande de montage manuelle sur
	<hostid>freebox</hostid>:</para>

      <screen>&prompt.root; <userinput>mount -t nfs -o -r=1024 fastws:/sharedfs /project</userinput></screen>

      <para>Exemple d'extrait du fichier
	<filename>/etc/fstab</filename> sur <hostid>fastws</hostid>
	quand le système &os; est le serveur:</para>

      <programlisting>freebox:/sharedfs /project nfs rw,-w=1024 0 0</programlisting>

      <para>Commande de montage manuelle sur
	<hostid>fastws</hostid>:</para>

      <screen>&prompt.root; <userinput>mount -t nfs -o -w=1024 freebox:/sharedfs /project</userinput></screen>

      <para>Presque n'importe quelle carte Ethernet 16&nbsp;bits
	permettra d'opérer sans l'utilisation des
	paramètres restrictifs précédents sur les
	tailles des tampons de lecture et d'écriture.</para>

      <para>Pour ceux que cela intéresse, voici ce qui se passe
	quand le problème survient, ce qui explique
	également pourquoi ce n'est pas
	récupérable.  NFS travaille
	généralement avec une taille de
	&ldquo;bloc&rdquo; de 8&nbsp;k (bien qu'il arrive qu'il les
	fragmente en de plus petits morceaux).  Comme la taille
	maximale d'un paquet Ethernet est de 1500&nbsp;octets, le
	&ldquo;bloc&rdquo; NFS est divisé en plusieurs paquets
	Ethernet, bien qu'il soit toujours vu comme quelque chose
	d'unitaire par les couches supérieures du code, et doit
	être réceptionné, assemblé, et
	<emphasis>acquitté</emphasis> comme tel.  Les stations
	de travail performantes peuvent traiter les paquets qui
	composent le bloc NFS les uns après les autres,
	pratiquement aussi rapidement que le standard le permet.  Sur
	les cartes les plus petites, de moindre capacité, les
	derniers paquets d'un même bloc écrasent les
	paquets précédents avant qu'ils aient pu
	être transmis &agrave; la machine et le bloc ne peut
	être réassemblé ou acquitté.  Avec
	pour conséquence, le dépassement du délai
	d'attente sur la station de travail qui recommence alors la
	transmission, mais en renvoyant l'intégralité
	des 8&nbsp;K, et ce processus se répète &agrave;
	l'infini.</para>

      <para>En définissant la taille de bloc inférieure
	&agrave; la taille d'un paquet Ethernet, nous nous assurons
	que chaque paquet Ethernet complet sera acquitté
	individuellement, évitant ainsi la situation de
	blocage.</para>

      <para>Des écrasements peuvent toujours survenir quand des
	stations de travail performantes surchargent un système
	PC de données, mais avec de meilleures cartes, de tels
	écrasements ne sont pas systématiques pour les
	&ldquo;blocs&rdquo; NFS.  Quand un écrasement
	apparaît, les blocs affectés sont retransmis, et
	ils y a de fortes chances pour qu'ils soient reçus,
	assemblés et acquittés.</para>
    </sect2>
  </sect1>

  <sect1 id="network-nis">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Bill</firstname>
	  <surname>Swingle</surname>
	  <contrib>Ecrit par </contrib>
	</author>
      </authorgroup>
      <authorgroup>
	<author>
	  <firstname>Eric</firstname>
	  <surname>Ogren</surname>
	  <contrib>Augmenté par </contrib>
	</author>
	<author>
	  <firstname>Udo</firstname>
	  <surname>Erdelhoff</surname>
	</author>
      </authorgroup>
    </sect1info>
    <title>Services d'information réseau (NIS/YP)</title>

    <sect2>
      <title>Qu'est-ce que c'est?</title>
      <indexterm><primary>NIS</primary></indexterm>
      <indexterm><primary>Solaris</primary></indexterm>
      <indexterm><primary>HP-UX</primary></indexterm>
      <indexterm><primary>AIX</primary></indexterm>
      <indexterm><primary>Linux</primary></indexterm>
      <indexterm><primary>NetBSD</primary></indexterm>
      <indexterm><primary>OpenBSD</primary></indexterm>
      <para>NIS, qui signifie &ldquo;Network Information
	Services&rdquo; (services d'information réseau), fut
	développé par Sun Microsystems pour centraliser
	l'administration de systèmes &unix; (&agrave; l'origine
	&sunos;).  C'est devenu aujourd'hui un standard industriel; tous
	les systèmes importants de type &unix; (&solaris;, HP-UX,
	&aix;, Linux, NetBSD, OpenBSD, &os;, etc.) supportent
	NIS.</para>

      <indexterm><primary>yellow pages</primary><see>NIS</see></indexterm>
      <para>NIS était appelé au départ
	&ldquo;Yellow Pages&rdquo; (page jaunes), mais étant
	donné que c'était marque déposée,
	Sun changea le nom.  L'ancienne appelation (et yp) est toujours
	rencontrée et utilisée.</para>

      <indexterm>
	<primary>NIS</primary>
	<secondary>domaines</secondary>
      </indexterm>
      <para>C'est un système client/serveur basé sur les
	RPCs qui permet &agrave; un groupe de machines d'un domaine NIS
	de partager un ensemble de fichiers de configuration communs.
	Cela permet &agrave; un administrateur système de mettre
	en place des clients NIS avec un minimum de configuration et
	d'ajouter, modifier ou supprimer les informations de
	configuration &agrave; partir d'un unique emplacement.</para>

      <indexterm><primary>Windows NT</primary></indexterm>
      <para>C'est similaire au système de domaine &windowsnt;;
	bien que l'implémentation interne des deux n'est pas du
	tout identique, les fonctionnalités de base sont
	comparables.</para>
    </sect2>

    <sect2>
      <title>Termes/processus &agrave; connaître</title>

      <para>Il existe plusieurs termes et processus utilisateurs que
	vous rencontrerez lors de la configuration de NIS sous &os;,
	que vous vouliez mettre en place un serveur NIS ou un client
	NIS:</para>

      <indexterm>
	<primary><application>rpcbind</application></primary>
      </indexterm>
      <indexterm>
	<primary><application>portmap</application></primary>
      </indexterm>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <colspec colwidth="1*"/>
	  <colspec colwidth="3*"/>

	  <thead>
	    <row>
	      <entry>Terme</entry>
	      <entry>Description</entry>
	    </row>
	  </thead>
	  <tbody>
	    <row>
	      <entry>Nom de domaine NIS</entry>
	      <entry>Un serveur maître NIS et tous ses clients
		(y compris ses serveurs esclaves) ont un domaine NIS.
		Similaire au nom de domaine &windowsnt;, le nom de
		domaine NIS n'a rien &agrave; voir avec le
		système DNS.</entry>
	    </row>
	    <row>
	      <entry><application>rpcbind</application></entry>
	      <entry>Doit tourner afin d'activer les RPC (Remote
		Procedure Call, appel de procédures distantes, un
		protocole réseau utilisé par NIS).  Si
		<application>rpcbind</application> ne tourne pas, il
		sera impossible de faire fonctionner un serveur NIS, ou
		jouer le rôle d'un client NIS.</entry>
	    </row>
	    <row>
	      <entry><application>ypbind</application></entry>
	      <entry>Fait pointer un client NIS vers son serveur NIS.
		Il récupérera le nom de domaine NIS
		auprès du système, et en utilisant les
		RPC, se connectera au serveur.
		<application>ypbind</application> est le coeur de la
		communication client-serveur dans un environnement NIS;
		si <application>ypbind</application> meurt sur une
		machine cliente, elle ne sera pas en mesure
		d'accéder au serveur NIS.</entry>
	    </row>
	    <row>
	      <entry><application>ypserv</application></entry>
	      <entry>Ne devrait tourner que sur les serveurs NIS,
		c'est le processus serveur en lui-même.  Si
		&man.ypserv.8; meurt, alors le serveur ne pourra plus
		répondre aux requêtes NIS (avec un peu de
		chance, un serveur esclave prendra la relève).
		Il existe des implémentations de NIS (mais ce
		n'est pas le cas de celle de &os;), qui n'essayent pas
		de se reconnecter &agrave; un autre serveur si le
		serveur utilisé précédemment meurt.
		Souvent, la seule solution dans ce cas est de relancer
		le processus serveur (ou même redémarrer le
		serveur) ou le processus
		<application>ypbind</application> sur le client.</entry>
	    </row>
	    <row>
	      <entry><application>rpc.yppasswdd</application></entry>
	      <entry>Un autre processus qui ne devrait tourner que sur
		les serveurs maître NIS; c'est un
		&ldquo;daemon&rdquo; qui permettra aux clients de
		modifier leur mot de passe NIS.  Si ce
		&ldquo;daemon&rdquo; ne tourne pas, les utilisateurs
		devront ouvrir une session sur le serveur maître
		NIS et y changer &agrave; cet endroit leur mot de
		passe.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>
      <!-- XXX Missing: rpc.ypxfrd (not important, though) May only run
      on the master -->
    </sect2>

    <sect2>
      <title>Comment cela fonctionne-t-il?</title>

      <para>Dans un environnement NIS il y a trois types de machines:
	les serveurs maîtres, les serveurs esclaves et les
	clients.  Les serveurs centralisent les informations de
	configuration des machines.  Les serveurs maîtres
	détiennent l'exemplaire de référence de
	ces informations, tandis que les serveurs esclaves en ont un
	double pour assurer la redondance.  Les clients attendent des
	serveurs qu'ils leur fournissent ces informations.</para>

      <para>Le contenu de nombreux fichiers peut être
	partagé de cette manière.  Les fichiers
	<filename>master.passwd</filename>,
	<filename>group</filename>, et <filename>hosts</filename> sont
	fréquemment partagés par l'intermédiaire
	de NIS.  A chaque fois qu'un processus d'une machine cliente a
	besoin d'une information qu'il trouverait normalement
	localement dans un de ces fichiers, il émet une
	requête au serveur NIS auquel il est rattaché
	pour obtenir cette information.</para>

      <sect3>
	<title>Type de machine</title>

	<itemizedlist>
	  <listitem>
	    <indexterm>
	      <primary>NIS</primary>
	      <secondary>serveur maître</secondary>
	    </indexterm>

	    <para>Un <emphasis>serveur NIS maître</emphasis>.
	      Ce serveur, analogue &agrave; un contrôleur de
	      domaine &windowsnt; primaire, gère les fichiers
	      utilisés par tous les clients NIS.  Les fichiers
	      <filename>passwd</filename>, <filename>group</filename>,
	      et les autres fichiers utilisés par les clients NIS
	      résident sur le serveur maître.</para>

	    <note>
	      <para>Il est possible pour une machine d'être
		un serveur NIS maître pour plus qu'un domaine NIS.
		Cependant, ce cas ne sera pas abordé dans cette
		introduction, qui suppose un environnement NIS
		relativement petit.</para>
	    </note>
	  </listitem>

	  <listitem>
	    <indexterm>
	      <primary>NIS</primary>
	      <secondary>serveur esclave</secondary>
	    </indexterm>

	    <para><emphasis>Serveurs NIS esclaves</emphasis>.
	      Similaire aux contrôleurs de domaine &windowsnt; de
	      secours, les serveurs NIS esclaves possèdent une
	      copie des fichiers du serveur NIS maître.  Les
	      serveurs NIS esclaves fournissent la redondance
	      nécessaire dans les environnements importants.  Ils
	      aident également &agrave; &agrave; la
	      répartition de la charge du serveur maître:
	      les clients NIS s'attachent toujours au serveur NIS dont
	      ils reçoivent la réponse en premier, y
	      compris si c'est la réponse d'un serveur
	      esclave.</para>
	  </listitem>

	  <listitem>
	    <indexterm>
	      <primary>NIS</primary>
	      <secondary>client</secondary>
	    </indexterm>

	    <para><emphasis>Clients NIS</emphasis>.
	      Les clients NIS, comme la plupart des stations de
	      travail &windowsnt;, s'identifient auprès du
	      serveur NIS (ou le contrôleur de domaine
	      &windowsnt; dans le cas de stations de travail
	      &windowsnt;) pour l'ouverture de sessions.</para>
	  </listitem>
	</itemizedlist>
      </sect3>
    </sect2>

    <sect2>
      <title>Utiliser NIS/YP</title>

      <para>Cette section traitera de la configuration d'un
	exemple d'environnement NIS.</para>

      <sect3>
	<title>Planification</title>

	<para>Supposons que vous êtes l'administrateur d'un
	  petit laboratoire universitaire.  Ce laboratoire dispose de
	  15 machines &os;, et ne possède pas actuellement de
	  point central d'administration; chaque machine a ses propres
	  fichiers <filename>/etc/passwd</filename> et
	  <filename>/etc/master.passwd</filename>.  Ces fichiers sont
	  maintenus &agrave; jour entre eux grâce &agrave; des
	  interventions manuelles; actuellement quand vous ajoutez un
	  utilisateur pour le laboratoire, vous devez exécuter
	  <command>adduser</command> sur les 15 machines.  Cela doit
	  changer, vous avez donc décidé de convertir le
	  laboratoire &agrave; l'utilisation de NIS en utilisant deux
	  machines comme serveurs.</para>

	<para>La configuration du laboratoire ressemble &agrave;
	  quelque chose comme:</para>

	<informaltable frame="none" pgwide="1">
	  <tgroup cols="3">
	    <thead>
	      <row>
		<entry>Nom de machine</entry>
		<entry>Adresse IP</entry>
		<entry>Rôle de la machine</entry>
	      </row>
	    </thead>
	    <tbody>
	      <row>
		<entry><hostid>ellington</hostid></entry>
		<entry><hostid role="ipaddr">10.0.0.2</hostid></entry>
		<entry>Maître NIS</entry>
	      </row>
	      <row>
		<entry><hostid>coltrane</hostid></entry>
		<entry><hostid role="ipaddr">10.0.0.3</hostid></entry>
		<entry>Esclave NIS</entry>
	      </row>
	      <row>
		<entry><hostid>basie</hostid></entry>
		<entry><hostid role="ipaddr">10.0.0.4</hostid></entry>
		<entry>Station de travail</entry>
	      </row>
	      <row>
		<entry><hostid>bird</hostid></entry>
		<entry><hostid role="ipaddr">10.0.0.5</hostid></entry>
		<entry>Machine cliente</entry>
	      </row>
	      <row>
		<entry><hostid>cli[1-11]</hostid></entry>
		<entry><hostid role="ipaddr">10.0.0.[6-17]</hostid></entry>
		<entry>Autres machines clientes</entry>
	      </row>
	    </tbody>
	  </tgroup>
	</informaltable>

	<para>Si vous mettez en place un système NIS pour la
	  première fois, c'est une bonne idée de penser
	  &agrave; ce que vous voulez en faire.  Peu importe la taille
	  de votre réseau, il y a quelques décisions
	  &agrave; prendre.</para>

	<sect4>
	  <title>Choisir un nom de domaine NIS</title>

	  <indexterm>
	    <primary>NIS</primary>
	    <secondary>nom de domaine</secondary>
	  </indexterm>
	  <para>Ce n'est pas le &ldquo;nom de domaine&rdquo; dont vous
	    avez l'habitude.  Il est plus exactement appelé
	    &ldquo;nom de domaine NIS&rdquo;.  Quand un client diffuse
	    des requêtes pour obtenir des informations, il y
	    inclut le nom de domaine NIS auquel il appartient.  C'est
	    ainsi que plusieurs serveurs d'un même réseau
	    peuvent savoir lequel d'entre eux doit répondre aux
	    différentes requêtes.  Pensez au nom de domaine
	    NIS comme le nom d'un groupe de machines qui sont
	    reliées entre elles.</para>

	  <para>Certains choisissent d'utiliser leur nom de domaine
	    Internet pour nom de domaine NIS.  Ce n'est pas
	    conseillé parce que c'est une source de confusion
	    quand il faut résoudre un problème
	    réseau.  Le nom de domaine NIS devrait être
	    unique sur votre réseau et est utile s'il
	    décrit le groupe de machines qu'il
	    représente.  Par exemple, le département
	    artistique de Acme Inc. pourrait avoir
	    &ldquo;acme-art&rdquo; comme nom de domaine NIS.  Pour
	    notre exemple, nous supposerons que vous avez choisi le
	    nom <emphasis>test-domain</emphasis>.</para>

	  <indexterm><primary>SunOS</primary></indexterm>
	  <para>Cependant, certains systèmes d'exploitation
	    (notamment &sunos;) utilisent leur nom de domaine NIS pour
	    nom de domaine Internet.  Si une ou plusieurs machines sur
	    votre réseau présentent cette restriction,
	    vous <emphasis>devez</emphasis> utiliser votre nom de
	    domaine Internet pour nom de domaine NIS.</para>
	</sect4>

	<sect4>
	  <title>Contraintes au niveau du serveur</title>

	  <para>Il y a plusieurs choses &agrave; garder &agrave;
	    l'esprit quand on choisit une machine destinée
	    &agrave; être un serveur NIS.  Un des
	    problèmes du NIS est le degré de
	    dépendance des clients vis &agrave; vis du serveur.
	    Si un client ne peut contacter le serveur de son domaine
	    NIS, la plupart du temps la machine n'est plus utilisable.
	    L'absence d'information sur les utilisateurs et les
	    groupes bloque la plupart des systèmes.  Vous devez
	    donc vous assurer de choisir une machine qui ne sera pas
	    redémarré fréquemment, ni
	    utilisée pour du développement.
	    Idéalement, le serveur NIS devrait être une
	    machine dont l'unique utilisation serait d'être un
	    serveur NIS.  Si vous avez un réseau qui n'est pas
	    très chargé, il peut être
	    envisagé de mettre le serveur NIS sur une machine
	    fournissant d'autres services, gardez juste &agrave;
	    l'esprit que si le serveur NIS n'est pas disponible
	    &agrave; un instant donné, cela affectera
	    <emphasis>tous</emphasis> vos clients NIS.</para>
	</sect4>
      </sect3>

      <sect3>
	<title>Serveurs NIS</title>

	<para>La copie de référence de toutes les
	  informations NIS est stockée sur une seule machine
	  appelée serveur NIS maître.  Les bases de
	  données utilisées pour le stockage de ces
	  informations sont appelées tables NIS (&ldquo;NIS
	  maps&rdquo;).  Sous &os; ces tables se trouvent dans
	  <filename>/var/yp/[domainname]</filename> où
	  <filename>[domainname]</filename> est le nom du domaine NIS
	  concerné.  Un seul serveur NIS peut gérer
	  plusieurs domaines &agrave; la fois, il peut donc y avoir
	  plusieurs de ces répertoires, un pour chaque domaine.
	  Chaque domaine aura son propre jeu de tables.</para>

	<para>Les serveurs NIS maîtres et esclaves traitent
	  toutes les requêtes NIS &agrave; l'aide du
	  &ldquo;daemon&rdquo; <application>ypserv</application>.
	  <application>ypserv</application> reçoit les
	  requêtes des clients NIS, traduit le nom de domaine et
	  le nom de table demandés en chemin d'accès
	  &agrave; la base de données correspondante et
	  transmet l'information de la base de données au
	  client.</para>

        <sect4>
	  <title>Configurer un serveur NIS maître</title>
	  <indexterm>
	    <primary>NIS</primary>
	    <secondary>configuration du serveur</secondary>
	  </indexterm>
	  <para>Selon vos besoins, la configuration d'un serveur NIS
	    maître peut être relativement simple.  &os;
	    offre par défaut un support direct du NIS.  Tout ce
	    dont vous avez besoin est d'ajouter les lignes qui suivent
	    au fichier <filename>/etc/rc.conf</filename>, et &os;
	    s'occupera du reste pour vous.</para>

	  <procedure>
	    <step>
	      <para><programlisting>nisdomainname="test-domain"</programlisting>
		Cette ligne définie le nom de domaine NIS,
		<literal>test-domain</literal>, &agrave; la
		configuration du réseau (e.g. au
		démarrage).</para>
	    </step>
	    <step>
	      <para><programlisting>nis_server_enable="YES"</programlisting>
		Demandera &agrave; &os; de lancer les processus du
		serveur NIS dès que le réseau est en
		fonctionnement.</para>
	    </step>
	    <step>
	      <para><programlisting>nis_yppasswdd_enable="YES"</programlisting>
		Ceci activera le &ldquo;daemon&rdquo;
		<application>rpc.yppasswdd</application>, qui, comme
		mentionné précedement, permettra aux
		utilisateurs de modifier leur mot de passe &agrave;
		partir d'une machine cliente.</para>
	    </step>
	  </procedure>

	  <note>
	    <para>Selon votre configuration NIS, vous aurez
	      peut-être &agrave; ajouter des entrées
	      supplémentaires.  Consultez la <link
	      linkend="network-nis-server-is-client">section sur les
	      serveurs NIS qui sont également des clients
	      NIS</link>, plus bas, pour plus de détails.</para>
	  </note>

	  <para>Maintenant, tout ce que vous devez faire est
	    d'exécuter la commande
	    <command>/etc/netstart</command> en tant que
	    super-utilisateur.  Elle configurera tout en utilisant les
	    valeurs que vous avez définies dans
	    <filename>/etc/rc.conf</filename>.</para>
	</sect4>

	<sect4>
	  <title>Initialisation des tables NIS</title>
	  <indexterm>
	    <primary>NIS</primary>
	    <secondary>tables</secondary>
	  </indexterm>
	  <para>Les <emphasis>tables NIS</emphasis> sont des fichiers
	    de base de données, qui sont conservés dans le
	    répertoire <filename
	    class="directory">/var/yp</filename>.  Elles sont
	    générées &agrave; partir des fichiers
	    de configuration du répertoire <filename
	    class="directory">/etc</filename> du serveur NIS
	    maître, avec une exception: le fichier
	    <filename>/etc/master.passwd</filename>.  Et cela pour une
	    bonne raison, vous ne voulez pas divulguer les mots de passe
	    pour l'utilisateur <username>root</username> et autres
	    comptes d'administration aux autres serveurs du domaine NIS.
	    Par conséquent, avant d'initialiser les tables NIS,
	    vous devrez faire:</para>

	  <screen>&prompt.root; <userinput>cp /etc/master.passwd /var/yp/master.passwd</userinput>
  &prompt.root; <userinput>cd /var/yp</userinput>
  &prompt.root; <userinput>vi master.passwd</userinput></screen>

	  <para>Vous devrez effacer toutes les entrées
	    concernant les comptes système
	    (<username>bin</username>, <username>tty</username>,
	    <username>kmem</username>, <username>games</username>,
	    etc.), tout comme les comptes que vous ne désirez
	    pas propager aux clients NIS (par exemple
	    <username>root</username> et tout autre compte avec un UID
	    0 (super-utilisateur)).</para>

	  <note><para>Assurez-vous que le fichier
	    <filename>/var/yp/master.passwd</filename> n'est pas
	    lisible par son groupe ou le reste du monde (mode 600)!
	    Utilisez la commande <command>chmod</command> si
	    nécessaire.</para></note>

	  <indexterm><primary>Tru64 UNIX</primary></indexterm>
	  <para>Cela achevé, il est temps d'initialiser les
	    tables NIS!  &os; dispose d'une procédure
	    appelée <command>ypinit</command> pour le faire
	    &agrave; votre place (consultez sa page de manuel pour plus
	    d'informations).  Notez que cette procédure est
	    disponible sur la plupart des systèmes d'exploitation
	    du type &unix;, mais pas tous.  Sur Digital UNIX/Compaq
	    Tru64 UNIX, elle est appelée
	    <command>ypsetup</command>.  Comme nous voulons
	    générer les tables pour un maître NIS,
	    nous passons l'option <option>-m</option> &agrave;
	    <command>ypinit</command>.  Pour générer les
	    tables NIS, en supposant que vous avez effectué les
	    étapes précédentes, lancez:</para>

	  <screen>ellington&prompt.root; <userinput>ypinit -m test-domain</userinput>
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] <userinput>n</userinput>
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a &lt;control D&gt;.
master server   :  ellington
next host to add:  <userinput>coltrane</userinput>
next host to add:  <userinput>^D</userinput>
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct?  [y/n: y] <userinput>y</userinput>

[..output from map generation..]

NIS Map update completed.
ellington has been setup as an YP master server without any errors.</screen>

	  <para><command>ypinit</command> devrait avoir
	    créé <filename>/var/yp/Makefile</filename>
	    &agrave; partir de
	    <filename>/var/yp/Makefile.dist</filename>.  Une fois
	    créé, ce fichier suppose que vous être
	    dans un environnement composé uniquement de
	    machines &os; et avec un seul serveur.  Comme
	    <literal>test-domain</literal> dispose également
	    d'un serveur esclave, vous devez éditer
	    <filename>/var/yp/Makefile</filename>:</para>

	  <screen>ellington&prompt.root; <userinput>vi /var/yp/Makefile</userinput></screen>

	  <para>Vous devez commenter la ligne</para>

	  <programlisting>NOPUSH = "True"</programlisting>

	  <para>(si elle n'est pas déj&agrave;
	    commentée).</para>
	</sect4>

	<sect4>
	  <title>Configurer un serveur NIS esclave</title>
	  <indexterm>
	    <primary>NIS</primary>
	    <secondary>serveur esclave</secondary>
	  </indexterm>
	  <para>Configurer un serveur NIS esclave est encore plus
	    simple que de configurer un serveur maître.  Ouvrez
	    une session sur le serveur esclave et éditez le
	    fichier <filename>/etc/rc.conf</filename> comme
	    précédemment.  La seule différence est
	    que nous devons maintenant utiliser l'option
	    <option>-s</option> avec <command>ypinit</command>.
	    L'option <option>-s</option> a besoin du nom du serveur NIS
	    maître, donc notre ligne de commande ressemblera
	    &agrave;:</para>

	  <screen>coltrane&prompt.root; <userinput>ypinit -s ellington test-domain</userinput>

Server Type: SLAVE Domain: test-domain Master: ellington

Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.

Do you want this procedure to quit on non-fatal errors? [y/n: n]  <userinput>n</userinput>

Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred

coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.</screen>

	  <para>Vous devriez avoir un répertoire appelé
	    <filename>/var/yp/test-domain</filename>.  Des copies des
	    tables du serveur NIS maître devraient se trouver
	    dans ce répertoire.  Vous devrez vous assurer que
	    ces tables restent &agrave; jour.  Les entrées
	    suivantes dans <filename>/etc/crontab</filename> sur vos
	    serveurs esclaves s'en chargeront:</para>

	  <programlisting>20      *       *       *       *       root   /usr/libexec/ypxfr passwd.byname
21      *       *       *       *       root   /usr/libexec/ypxfr passwd.byuid</programlisting>

	  <para>Ces deux lignes obligent le serveur esclave &agrave;
	    synchroniser ses tables avec celles du serveur
	    maître.  Bien que ces entrées ne soient pas
	    indispensables puisque le serveur maître essaye de
	    s'assurer que toute modification de ses tables NIS soit
	    répercutée &agrave; ses serveurs esclaves et
	    comme l'information sur les mots de passe est vitale pour
	    les systèmes qui dépendent du serveur, il
	    est bon de forcer les mises &agrave; jour.  C'est d'autant
	    plus important sur les réseaux chargés
	    où il n'est pas certain que les mises &agrave; jour
	    soient intégrales.</para>

	  <para>Maintenant, exécutez la commande
	    <command>/etc/netstart</command> sur le serveur esclave,
	    ce qui lancera le serveur NIS.</para>
	</sect4>
      </sect3>

      <sect3>
	<title>Clients NIS</title>

	<para>Un client NIS établit une connexion avec un
	  serveur NIS donné par l'intermédiaire du
	  &ldquo;daemon&rdquo; <application>ypbind</application>.
	  <application>ypbind</application> consulte le nom de domaine
	  par défaut du système (défini par la
	  commande <command>domainname</command>), et commence
	  &agrave; diffuser des requêtes RPC sur le
	  réseau local.  Ces requêtes précisent le
	  nom de domaine auquel <application>ypbind</application>
	  essaye de se rattacher.  Si un serveur configuré pour
	  ce domaine reçoit une des requêtes
	  diffusées, il répond &agrave;
	  <application>ypbind</application>, qui enregistrera
	  l'adresse du serveur.  S'il y a plusieurs serveurs
	  disponibles (un maître et plusieurs esclaves par
	  example), <application>ypbind</application> utilisera
	  l'adresse du premier &agrave; répondre.  Dès
	  lors, le système client dirigera toutes ses
	  requêtes NIS vers ce serveur.
	  <application>ypbind</application> enverra de temps en temps
	  des requêtes &ldquo;ping&rdquo; au serveur pour
	  s'assurer qu'il fonctionne toujours.  S'il ne reçoit
	  pas de réponse dans un laps de temps raisonnable,
	  <application>ypbind</application> considérera ne plus
	  être attaché au domaine et recommencera
	  &agrave; diffuser des requêtes dans l'espoir de
	  trouver un autre serveur.</para>

	<sect4>
	  <title>Configurer un client NIS</title>
	  <indexterm>
	    <primary>NIS</primary>
	    <secondary>configuration du client</secondary>
	  </indexterm>
	  <para>Configurer une machine &os; en client NIS est assez
	    simple.</para>

	  <procedure>
	    <step>
	      <para>Editez le fichier
		<filename>/etc/rc.conf</filename> et ajoutez les lignes
		suivantes afin de définir le nom de domaine NIS
		et lancez <application>ypbind</application> au
		démarrage du réseau:</para>

	      <programlisting>nisdomainname="test-domain"
nis_client_enable="YES"</programlisting>
	    </step>

	    <step>
	      <para>Pour importer tous les mots de passe disponibles
		du serveur NIS, effacez tous les comptes utilisateur de
		votre fichier <filename>/etc/master.passwd</filename> et
		utilisez <command>vipw</command> pour ajouter la ligne
		suivante &agrave; la fin du fichier:</para>

	      <programlisting>+:::::::::</programlisting>

	      <note>
		<para>Cette ligne permet &agrave; chaque utilisateur
		  ayant un compte valide dans les tables de mots de
		  passe du serveur d'avoir un compte sur le client.  Il
		  y a plusieurs façons de configurer votre client
		  NIS en modifiant cette ligne.  Consultez la section
		  <link linkend="network-netgroups">groupes
		  réseau</link> plus bas pour plus
		  d'informations.  Pour en savoir plus, reportez-vous
		  &agrave; l'ouvrage <literal>Managing NFS and
		  NIS</literal> de chez O'Reilly.</para>
	      </note>

	      <note>
		<para>Vous devriez conservez au moins un compte local
		  (i.e. non-importé via NIS) dans votre fichier
		  <filename>/etc/master.passwd</filename> et ce compte
		  devrait également être membre du groupe
		  <groupname>wheel</groupname>.  Si quelque chose se
		  passe mal avec NIS, ce compte peut être
		  utilisé pour ouvrir une session &agrave;
		  distance, devenir <username>root</username>, et
		  effectuer les corrections nécessaires.</para>
	      </note>
	    </step>

	    <step>
	      <para>Pour importer tous les groupes disponibles du
		serveur NIS, ajoutez cette ligne &agrave; votre fichier
		<filename>/etc/group</filename>:</para>

	      <programlisting>+:*::</programlisting>
	    </step>
	  </procedure>

	  <para>Une fois que c'est fait, vous devriez être en
	    mesure d'exécuter <command>ypcat passwd</command>
	    et voir la table des mots de passe du serveur NIS.</para>
	</sect4>
      </sect3>
    </sect2>

    <sect2>
      <title>Sécurité du NIS</title>

      <para>De façon générale, n'importe quel
	utilisateur distant peut émettre une requête RPC
	&agrave; destination de &man.ypserv.8; et
	récupérer le contenu de vos tables NIS, en
	supposant que l'utilisateur distant connaisse votre nom de
	domaine.  Pour éviter ces transactions non
	autorisées, &man.ypserv.8; dispose d'une
	fonctionnalité appelée &ldquo;securenets&rdquo;
	qui peut être utilisée pour restreindre
	l'accès &agrave; un ensemble donné de machines.
	Au démarrage, &man.ypserv.8; tentera de charger les
	informations sur les &ldquo;securenets&rdquo; &agrave; partir
	d'un fichier nommé
	<filename>/var/yp/securenets</filename>.</para>

      <note>
	<para>Ce chemin d'accès peut varier en fonction du
	  chemin d'accès défini par l'option
	  <option>-p</option>.  Ce fichier contient des entrées
	  sous la forme de définitions de réseau et d'un
	  masque de sous-réseau séparé par une
	  espace.  Les lignes commençant par un &ldquo;#&rdquo;
	  sont considérées comme des commentaires.  Un
	  exemple de fichier <filename>securenets</filename> peut
	  ressembler &agrave; ceci:</para>
      </note>

      <programlisting># autorise les connexions depuis la machine locale -- obligatoire
127.0.0.1     255.255.255.255
# autorise les connexions de n'importe quelle machine
# du réseau 192.168.128.0
192.168.128.0 255.255.255.0
# autorise les connexions de n'importe quelle machine
# entre 10.0.0.0 et 10.0.15.255
# y compris les machines du laboratoire de test
10.0.0.0      255.255.240.0</programlisting>

      <para>Si &man.ypserv.8; reçoit une requête d'une
	adresse qui satisfait &agrave; ces règles, il la traite
	normalement.  Si une adresse ne correspond pas aux
	règles, la requête sera ignorée et un
	message d'avertissement sera enregistré.  Si le fichier
	<filename>/var/yp/securenets</filename> n'existe pas,
	<command>ypserv</command> autorisera les connexions &agrave;
	partir de n'importe quelle machine.</para>

      <para>Le programme <command>ypserv</command> supporte
	également l'outil <application>TCP Wrapper</application>
	de Wietse Venema.  Cela permet &agrave; l'administrateur
	d'utiliser les fichiers de configuration de
	<application>TCP Wrapper</application> pour contrôler les
	accès &agrave; la place de
	<filename>/var/yp/securenets</filename>.</para>

      <note>
	<para>Bien que ces deux mécanismes de contrôle
	  d'accès offrent une certaine sécurité, il
	  sont, de même que le test du port
	  privilégié, vulnérables aux attaques par
	  &ldquo;usurpation&rdquo; d'adresses.  Tout le trafic relatif
	  &agrave; NIS devrait être bloqué par votre
	  coupe-feu.</para>

	<para>Les serveurs utilisant
	  <filename>/var/yp/securenets</filename> pourront
	  échouer &agrave; traiter les requêtes de
	  clients NIS légitimes avec des implémentation
	  TCP/IP archaïques.  Certaines de ces
	  implémentations positionnent &agrave; zéro les
	  bits de la partie machine de l'adresse IP lors de diffusions
	  et/ou sont incapables respecter le masque de
	  sous-réseau lors du calcul de l'adresse de diffusion.
	  Alors que certains de ces problèmes peuvent
	  être corrigés en modifiant la configuration du
	  client, d'autres problèmes peuvent forcer le retrait
	  des systèmes clients fautifs ou l'abandon de
	  <filename>/var/yp/securenets</filename>.</para>

	<para>Utiliser <filename>/var/yp/securenets</filename> sur un
	  serveur avec une implémentation TCP/IP archaïque
	  est une mauvaise idée et sera &agrave; l'origine de
	  pertes de la fonctionnalité NIS pour une grande
	  partie de votre réseau.</para>

	<indexterm><primary>TCP Wrapper</primary></indexterm>
	<para>L'utilisation du système
	  <application>TCP Wrapper</application> augmente les temps de
	  latence de votre serveur NIS.  Le délai
	  supplémentaire peut être suffisamment long pour
	  dépasser le délai d'attente des programmes
	  clients, tout particulièrement sur des réseaux
	  chargés ou avec des serveurs NIS lents.  Si un ou
	  plusieurs de vos systèmes clients souffrent de ces
	  symptômes, vous devrez convertir les systèmes
	  clients en question en serveurs esclaves NIS et les forcer
	  &agrave; se rattacher &agrave; eux-mêmes.</para>
      </note>
    </sect2>

    <sect2>
      <title>Interdire l'accès &agrave; certains
	utilisateurs</title>

      <para>Dans notre laboratoire, il y a une machine
	<hostid>basie</hostid> qui est supposée être une
	station de travail de la faculté.  Nous ne voulons pas
	retirer cette machine du domaine NIS, le fichier
	<filename>passwd</filename> sur le serveur maître NIS
	contient les comptes pour la faculté et les
	étudiants.  Que pouvons-nous faire?</para>

      <para>Il existe une méthode pour interdire &agrave;
	certains utilisateurs d'ouvrir une session sur une machine,
	même s'ils sont présents dans la base de
	données NIS.  Pour cela, tout ce dont vous avez besoin
	de faire est d'ajouter
	<emphasis>-<replaceable>nom_utilisateur</replaceable></emphasis>
	&agrave; la fin du fichier
	<filename>/etc/master.passwd</filename> sur la machine
	cliente, où <replaceable>nom_utilisateur</replaceable>
	est le nom de l'utilisateur auquel vous désirez refuser
	l'accès.  Ceci doit être fait de
	préférence avec <command>vipw</command>, puisque
	<command>vipw</command> contrôlera vos changements au
	fichier <filename>/etc/master.passwd</filename>, et
	régénérera automatiquement la base de
	données &agrave; la fin de l'édition.  Par
	exemple, si nous voulions interdire l'ouverture de session
	&agrave; l'utilisateur <username>bill</username> sur la
	machine <hostid>basie</hostid> nous ferions:</para>

      <screen>basie&prompt.root; <userinput>vipw</userinput>
<userinput>[add -bill to the end, exit]</userinput>
vipw: rebuilding the database...
vipw: done

basie&prompt.root; <userinput>cat /etc/master.passwd</userinput>

root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &amp;:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill

basie&prompt.root;</screen>
    </sect2>

    <sect2 id="network-netgroups">
      <sect2info>
	<authorgroup>
	  <author>
	    <firstname>Udo</firstname>
	    <surname>Erdelhoff</surname>
	    <contrib>Contribution de </contrib>
	  </author>
	</authorgroup>
      </sect2info>

      <title>Utiliser les groupes réseau
	(&ldquo;netgroups&rdquo;)</title>
      <indexterm><primary>groupes réseau</primary></indexterm>

      <para>La méthode présentée dans la section
	précédente fonctionne relativement bien si vous
	avez besoin de règles spécifiques pour un petit
	nombre d'utilisateurs et/ou de machines.  Sur les
	réseaux plus important, vous
	<emphasis>oublierez</emphasis> d'interdire l'accès aux
	machines sensibles &agrave; certains utilisateurs, ou vous
	devrez même modifier chaque machine
	séparément, perdant par l&agrave; même les
	avantages du NIS: l'administration
	<emphasis>centralisée</emphasis>.</para>

      <para>La solution des développeurs du NIS pour ce
	problème est appelé <emphasis>groupes
	réseau</emphasis> (&ldquo;netgroups&rdquo;).  Leur
	objet et définition peuvent être comparés
	aux groupes utilisés par les systèmes &unix;.
	La principale différence étant l'absence
	d'identifiants (ID) numériques et la capacité de
	définir un groupe réseau &agrave; l'aide de
	comptes utilisateur et d'autres groupes réseau.</para>

      <para>Les groupes réseau furent développés
	pour gérer des réseaux importants et complexes
	avec des centaines de machines et d'utilisateurs.  C'est une
	bonne option si vous êtes forcés de faire avec
	une telle situation.  Cependant leur complexité rend
	impossible une explication avec des exemples simples.
	L'exemple utilisé dans le reste de cette section met en
	évidence ce problème.</para>

      <para>Supposons que l'introduction avec succès de NIS
	dans votre laboratoire a retenu l'attention de vos
	supérieurs.  Votre mission suivante est
	d'étendre la couverture de votre domaine NIS &agrave;
	d'autres machines sur le campus.  Les deux tables contiennent
	les noms des nouveaux utilisateurs et des nouvelles machines
	ainsi qu'une courte description de chacun.</para>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <thead>
	    <row>
	      <entry>Nom(s) d'utilisateurs</entry>
	      <entry>Description</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry><username>alpha</username>,
		<username>beta</username></entry>
	      <entry>Les employés du département IT
		(&ldquo;Information Technology&ldquo;)</entry>
	    </row>

	    <row>
	      <entry><username>charlie</username>,
		<username>delta</username></entry>
	      <entry>Les nouveaux apprentis du département
		IT</entry>
	    </row>

	    <row>
	      <entry><username>echo</username>,
		<username>foxtrott</username>,
		<username>golf</username>, ...</entry>
	      <entry>Les employés ordinaires</entry>
	    </row>

	    <row>
	      <entry><username>able</username>,
		<username>baker</username>, ...</entry>
	      <entry>Les internes actuels</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <thead>
	    <row>
	      <entry>Nom(s) de machines</entry>
	      <entry>Description</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <!--  Names taken from "Good Omens" by Neil Gaiman and Terry
		    Pratchett.  Many thanks for a brilliant book.  -->
	      <entry><hostid>war</hostid>, <hostid>death</hostid>,
		<hostid>famine</hostid>,
		<hostid>pollution</hostid></entry>
	      <entry>Vos serveurs les plus importants.  Seuls les
		employés du département IT sont
		autorisés &agrave; ouvrir des sessions sur ces
		machines.</entry>
	    </row>
	    <row>
	      <!-- gluttony was omitted because it was too fat -->
	      <entry><hostid>pride</hostid>, <hostid>greed</hostid>,
		<hostid>envy</hostid>, <hostid>wrath</hostid>,
		<hostid>lust</hostid>, <hostid>sloth</hostid></entry>
	      <entry>Serveurs moins importants.  Tous les membres du
		laboratoire IT sont autorisés &agrave; ouvrir des
		sessions sur ces machines.</entry>
	    </row>

	    <row>
	      <entry><hostid>one</hostid>, <hostid>two</hostid>,
		<hostid>three</hostid>, <hostid>four</hostid>,
		...</entry>
	      <entry>Stations de travail ordinaires.  Seuls les
		employés <emphasis>réels</emphasis> sont
		autorisés &agrave; utiliser ces machines.</entry>
	    </row>

	    <row>
	      <entry><hostid>trashcan</hostid></entry>
	      <entry>Une très vielle machine sans
		données sensibles.  Même les internes
		peuvent utiliser cette machine.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <para>Si vous avez essayé d'implémenter ces
	restrictions en bloquant séparément chaque
	utilisateur, vous avez dû ajouter une ligne
	<literal>-<replaceable>utilisateur</replaceable></literal>
	&agrave; chaque fichier <filename>passwd</filename> de chaque
	système pour chaque utilisateur non-autorisé
	&agrave; ouvrir une session sur le système.  Si vous
	omettez ne serait-ce qu'une entrée, vous aurez des
	problèmes.  Il doit être possible de faire cela
	lors de la configuration initiale, cependant vous
	<emphasis>finirez</emphasis> par oublier d'ajouter les lignes
	pour de nouveaux utilisateurs lors d'opérations
	quotidiennes.  Après tout, Murphy était
	quelqu'un d'optimiste.</para>

      <para>Traiter cette situation avec les groupes réseau
	présente plusieurs avantages.  Chaque utilisateur n'a
	pas besoin d'être traité
	séparément; vous assignez un utilisateur
	&agrave; un ou plusieurs groupes réseau et autorisez ou
	refusez l'ouverture de session &agrave; tous les membres du
	groupe réseau.  Si vous ajoutez une nouvelle machine,
	vous n'aurez &agrave; définir les restrictions
	d'ouverture de session que pour les groupes réseau.
	Ces modifications sont indépendantes les unes des
	autres, plus de &ldquo;pour chaque combinaison d'utilisateur
	et de machine faire...&rdquo;  Si votre configuration NIS est
	réfléchie, vous n'aurez &agrave; modifier qu'une
	configuration centrale pour autoriser ou refuser
	l'accès aux machines.</para>

      <para>La première étape est l'initialisation de la
	table NIS du groupe réseau.  La version &os;
	d'&man.ypinit.8; ne crée pas de table par
	défaut, mais son implémentation NIS la
	supportera une fois créée.  Pour créer
	une table vide, tapez simplement</para>

      <screen>ellington&prompt.root; <userinput>vi /var/yp/netgroup</userinput></screen>

      <para>et commencez &agrave; ajouter du contenu.  Pour notre
	exemple, nous avons besoin de quatre groupes réseau:
	les employées du département IT, les apprentis
	du département IT, les employés normaux et les
	internes.</para>

      <programlisting>IT_EMP  (,alpha,test-domain)    (,beta,test-domain)
IT_APP  (,charlie,test-domain)  (,delta,test-domain)
USERS   (,echo,test-domain)     (,foxtrott,test-domain) \
        (,golf,test-domain)
INTERNS (,able,test-domain)     (,baker,test-domain)</programlisting>

      <para><literal>IT_EMP</literal>, <literal>IT_APP</literal> etc.
	sont les noms des groupes réseau.  Chaque groupement
	entre parenthèses ajoute un ou plusieurs comptes
	utilisateurs aux groupes.  Les trois champs dans un groupement
	sont:</para>

      <orderedlist>
	<listitem>
	  <para>Le nom de la/les machine(s) où les
	    éléments suivants sont valides.  Si vous ne
	    précisez pas un nom de machine, l'entrée est
	    valide sur toutes les machines.  Si vous précisez un
	    nom de machine, vous pénétrerez dans un
	    royaume obscure, d'horreur et de confusion totale.</para>
	</listitem>

	<listitem>
	  <para>Le nom du compte qui appartient au groupe
	    réseau.</para>
	</listitem>

	<listitem>
	  <para>Le domaine NIS pour le compte.  Vous pouvez importer
	    les comptes d'autres domaines NIS dans votre groupe
	    réseau si vous êtes une de ces personnes
	    malchanceuses avec plus d'un domaine NIS.</para>
	</listitem>
      </orderedlist>

      <para>Chacun de ces champs peut contenir des jokers.  Consultez
	la page de manuel &man.netgroup.5; pour plus de
	détails.</para>

      <note>
	<indexterm><primary>groupes réseau</primary></indexterm>
	<para>Les noms de groupes réseau plus long que 8
	  caractères ne devraient pas être utilisés,
	  tout particulièrement si vous avez des machines
	  utilisant d'autres systèmes d'exploitation dans votre
	  domaine NIS.  Les noms sont sensibles &agrave; la casse des
	  caractères; utiliser des majuscules pour vos noms de
	  groupes réseau est une méthode simple pour
	  distinguer les utilisateurs, les machines et les noms de
	  groupes réseau.</para>

	<para>Certains clients NIS (autres que &os;) ne peuvent
	  gérer les groupes réseau avec un grand nombre
	  d'entrées.  Par exemple, certaines anciennes versions
	  de &sunos; commencent &agrave; causer des problèmes
	  si un groupe réseau contient plus de 15
	  <emphasis>entrées</emphasis>.  Vous pouvez contourner
	  cette limite en créant plusieurs sous-groupes
	  réseau avec 15 utilisateurs ou moins et un
	  véritable groupe réseau constitué des
	  sous-groupes réseau:</para>

	<programlisting>BIGGRP1  (,joe1,domain)  (,joe2,domain)  (,joe3,domain) [...]
BIGGRP2  (,joe16,domain)  (,joe17,domain) [...]
BIGGRP3  (,joe31,domain)  (,joe32,domain)
BIGGROUP  BIGGRP1 BIGGRP2 BIGGRP3</programlisting>

	<para>Vous pouvez répéter ce processus si vous
	  avez besoin de plus de 255 utilisateurs dans un seul groupe
	  réseau.</para>
      </note>

      <para>Activer et propager votre nouvelle table NIS est
	simple:</para>

      <screen>ellington&prompt.root; <userinput>cd /var/yp</userinput>
ellington&prompt.root; <userinput>make</userinput></screen>

      <para>Ceci générera les trois tables NIS
	<filename>netgroup</filename>,
	<filename>netgroup.byhost</filename> et
	<filename>netgroup.byuser</filename>.  Utilisez &man.ypcat.1;
	pour contrôler si vos nouvelles tables NIs sont
	disponibles:</para>

      <screen>ellington&prompt.user; <userinput>ypcat -k netgroup</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byhost</userinput>
ellington&prompt.user; <userinput>ypcat -k netgroup.byuser</userinput></screen>

      <para>La sortie devrait être semblable au contenu de
	<filename>/var/yp/netgroup</filename>.  La deuxième
	commande ne produira pas de sortie si vous n'avez pas
	précisé les groupes réseau
	spécifiques &agrave; une machine.  La troisième
	commande peut être utilisée pour obtenir les
	listes des groupes réseau pour un utilisateur.</para>

      <para>La configuration du client est plutôt simple.  Pour
	configurer le serveur <hostid>war</hostid>, vous devez lancer
	&man.vipw.8; et remplacer la ligne</para>

      <programlisting>+:::::::::</programlisting>

      <para>par</para>

      <programlisting>+@IT_EMP:::::::::</programlisting>

      <para>Maintenant, seules les données pour les
	utilisateurs définis dans le groupe réseau
	<literal>IT_EMP</literal> sont importées dans la base
	de données de mots de passe de <hostid>war</hostid> et
	seuls ces utilisateurs sont autorisés &agrave; ouvrir
	une session.</para>

      <para>Malheureusement, cette limitation s'applique
	également &agrave; la fonction <literal>~</literal> de
	l'interpréteur de commandes et toutes les routines de
	conversion entre nom d'utilisateur et identifiant
	numérique d'utilisateur.  En d'autres termes,
	<command>cd ~<replaceable>utilisateur</replaceable></command>
	ne fonctionnera pas, et <command>ls -l</command> affichera
	l'ID numérique &agrave; la place du nom d'utilisateur
	et <command>find . -user joe -print</command> échouera
	avec le message d'erreur <errorname>No such user</errorname>.
	Pour corriger cela, vous devrez importer toutes les
	entrées d'utilisateurs <emphasis>sans leur autoriser
	l'ouverture de session sur vos serveurs</emphasis>.</para>

      <para>Cela peut être fait en ajoutant une autre ligne au
	fichier <filename>/etc/master.passwd</filename>.  Cette ligne
	devrait contenir:</para>

      <para><literal>+:::::::::/sbin/nologin</literal>, signifiant
	&ldquo;Importer toutes les entrées mais remplacer
	l'interpréteur de commandes avec
	<filename>/sbin/nologin</filename> dans les entrées
	importées&rdquo;.  Vous pouvez remplacer n'importe quel
	champ dans l'entrée <literal>passwd</literal> en
	plaçant une valeur par défaut dans votre fichier
	<filename>/etc/master.passwd</filename>.</para>

      <!-- Been there, done that, got the scars to prove it - ue -->
      <warning>
	<para>Assurez-vous que
	  <literal>+:::::::::/sbin/nologin</literal> est placée
	  après <literal>+@IT_EMP:::::::::</literal>.  Sinon,
	  tous les comptes utilisateur importés du NIS auront
	  <filename>/sbin/nologin</filename> comme interpréteur
	  de commandes.</para>
      </warning>

      <para>Après cette modification, vous ne devrez uniquement
	que modifier une des tables NIS si un nouvel employé
	rejoint le département IT.  Vous pourrez utiliser une
	approche similaire pour les serveurs moins importants en
	remplaçant l'ancienne ligne
	<literal>+:::::::::</literal> dans leur version locale de
	<filename>/etc/master.passwd</filename> avec quelque chose de
	semblable &agrave; ceci:</para>

      <programlisting>+@IT_EMP:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Les lignes correspondantes pour les stations de travail
	normales seraient:</para>

      <programlisting>+@IT_EMP:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Tout était parfait jusqu'au changement de politique
	quelques semaines plus tard:  le département IT
	commença &agrave; engager des internes.  Les internes
	du département IT sont autorisés &agrave;
	utiliser les stations de travail normales et les serveurs les
	moins importants; les apprentis du département IT sont
	autorisés &agrave; ouvrir des sessions sur les serveurs
	principaux.  Vous ajoutez alors un nouveau groupe
	réseau <literal>IT_INTERN</literal>, ajoutez les
	nouveaux internes IT &agrave; ce groupe réseau et
	commencez &agrave; modifier la configuration sur chaque
	machine...  Comme disait l'ancien: &ldquo;Erreurs dans la
	planification centralisée mènent &agrave; un
	désordre général&rdquo;.</para>

      <para>La capacité de NIS &agrave; créer des
	groupes réseau &agrave; partir d'autres groupes
	réseau peut être utilisée pour
	éviter de telles situations.  Une possibilité
	est la création de groupes réseau basés
	sur le rôle du groupe.  Par exemple vous pourriez
	créer un groupe réseau appelé
	<literal>BIGSRV</literal> pour définir les restrictions
	d'ouverture de session pour les serveurs importants, un autre
	groupe réseau appelé <literal>SMALLSRV</literal>
	pour les serveurs moins importants et un troisième
	groupe réseau nommé <literal>USERBOX</literal>
	pour les stations de travail normales.  Chacun de ces groupes
	réseau contient les groupes réseau
	autorisés &agrave; ouvrir des sessions sur ces
	machines.  Les nouvelles entrées pour la table NIS de
	groupes réseau devrait ressembler &agrave; ceci:</para>

      <programlisting>BIGSRV    IT_EMP  IT_APP
SMALLSRV  IT_EMP  IT_APP  ITINTERN
USERBOX   IT_EMP  ITINTERN USERS</programlisting>

      <para>Cette méthode qui consiste &agrave; définir
	des restrictions d'ouverture de session fonctionne
	relativement bien si vous pouvez définir des groupes de
	machines avec des restrictions identiques.  Malheureusement,
	ceci est une exception et pas une
	généralité.  La plupart du temps, vous
	aurez besoin de définir des restrictions d'ouverture de
	session par machine.</para>

      <para>La définition de groupes réseau
	spécifiques aux machines est une autre
	possibilité pour traiter la modification de politique
	soulignée précédemment.  Dans ce
	scénario, le fichier
	<filename>/etc/master.passwd</filename> de chaque machine
	contient deux lignes débutant par &ldquo;+&rdquo;.  La
	première ajoute un groupe réseau avec les
	comptes autorisés &agrave; ouvrir une session sur cette
	machine, la seconde ajoute tous les comptes avec
	l'interpréteur de commandes
	<filename>/sbin/nologin</filename>.  C'est une bonne
	idée d'utiliser des majuscules pour le nom de la
	machine ainsi que celui du groupe réseau.  Dans
	d'autres termes, les lignes en question devraient être
	semblables &agrave;:</para>

      <programlisting>+@<replaceable>NOMMACHINE</replaceable>:::::::::
+:::::::::/sbin/nologin</programlisting>

      <para>Une fois cette tâche achevée pour toutes vos
	machines, vous n'aurez plus jamais &agrave; modifier les
	versions locales du fichier
	<filename>/etc/master.passwd</filename>.  Tous les changements
	futurs peuvent être gérés en modifiant la
	table NIS.  Voici un exemple d'une table de groupes
	réseau possible pour ce scénario avec quelques
	petits plus:</para>

      <programlisting># Définir tout d'abord les groupes d'utilisateurs
IT_EMP    (,alpha,test-domain)    (,beta,test-domain)
IT_APP    (,charlie,test-domain)  (,delta,test-domain)
DEPT1     (,echo,test-domain)     (,foxtrott,test-domain)
DEPT2     (,golf,test-domain)     (,hotel,test-domain)
DEPT3     (,india,test-domain)    (,juliet,test-domain)
ITINTERN  (,kilo,test-domain)     (,lima,test-domain)
D_INTERNS (,able,test-domain)     (,baker,test-domain)
#
# Définir, maintenant, des groupes basés sur les rôles
USERS     DEPT1   DEPT2     DEPT3
BIGSRV    IT_EMP  IT_APP
SMALLSRV  IT_EMP  IT_APP    ITINTERN
USERBOX   IT_EMP  ITINTERN  USERS
#
# Et un groupe pour les tâches spéciales
# Permettre &agrave; echo et golf d'accéder &agrave; notre machine anti-virus
SECURITY  IT_EMP  (,echo,test-domain)  (,golf,test-domain)
#
# les groupes réseau basés sur un ensemble de machines
# Nos principaux serveurs
WAR       BIGSRV
FAMINE    BIGSRV
# L'utilisateur india a besoin d'un accès &agrave; ce serveur
POLLUTION  BIGSRV  (,india,test-domain)
#
# Celle-ci est très importante et nécessite plus de restrictions d'accès
DEATH     IT_EMP
#
# La machine anti-virus mentionnée précédemment
ONE       SECURITY
#
# Restreindre l'accès &agrave; une machine &agrave; un seul utilisateur
TWO       (,hotel,test-domain)
# [...d'autres groupes suivent]</programlisting>

      <para>Si vous utilisez une sorte de base de données pour
	gérer vos comptes utilisateur, vous devriez pouvoir
	créer la première partie de la table avec les
	outils de votre base de données.  De cette
	façon, les nouveaux utilisateurs auront automatiquement
	accès aux machines.</para>

      <para>Dernier avertissement: il n'est pas toujours
	conseillé d'utiliser des groupes réseau
	basés sur les machines.  Si vous déployez
	quelques douzaines ou même centaines de machines
	identiques pour des laboratoires pour étudiants, vous
	devriez utiliser des groupes basés sur les types
	d'utilisateurs plutôt que sur les machines pour
	conserver la taille de la table NIS dans des limites
	raisonnables.</para>
    </sect2>

    <sect2>
      <title>Les choses importantes &agrave; ne pas oublier</title>

      <para>Il y a un certain nombre de choses que vous devrez
	effectuer différemment maintenant que vous êtes
	dans un environnement NIS.</para>

      <itemizedlist>
	<listitem>
	  <para>A chaque fois que vous désirez ajouter un
	    utilisateur au laboratoire, vous devez l'ajouter
	    <emphasis>uniquement</emphasis> sur le serveur NIS et
	    <emphasis>vous devez ne pas oublier de reconstruire les
	    tables NIS</emphasis>.  Si vous oubliez de le faire, le
	    nouvel utilisateur ne pourra pas ouvrir de session en dehors
	    du serveur maître NIS.  Par exemple, si nous devons
	    ajouter au laboratoire un nouvel utilisateur
	    <username>jsmith</username>, nous ferions:</para>

	  <screen>&prompt.root; <userinput>pw useradd jsmith</userinput>
&prompt.root; <userinput>cd /var/yp</userinput>
&prompt.root; <userinput>make test-domain</userinput></screen>

	  <para>Vous pouvez lancer <command>adduser jsmith</command>
	    &agrave; la place de <command>pw useradd
	    jsmith</command>.</para>
	</listitem>
	<listitem>
	  <para><emphasis>Conservez les comptes d'administration en
	    dehors des tables NIS</emphasis>.  Vous ne voulez pas
	    propager les comptes et mots de passe d'administration sur
	    les machines qui auront des utilisateurs qui ne devraient
	    pas avoir accès &agrave; ces comptes.</para>
	</listitem>
	<listitem>
	  <para><emphasis>Sécurisez les serveurs maître
	    et esclave NIS, et réduisez leur temps
	    d'arrêt</emphasis>.  Si quelqu'un tente soit
	    d'attaquer soit de simplement arrêter ces machines, de
	    nombreuses personnes ne pourront plus ouvrir de session dans
	    le laboratoire.</para>

	  <para>C'est la principale faiblesse d'un système
	    d'administration centralisée.  Si vous ne
	    protégez pas vos serveurs NIS, vous aurez &agrave;
	    faire face &agrave; de nombreux utilisateurs
	    mécontents!</para>
	</listitem>
      </itemizedlist>
    </sect2>

    <sect2>
      <title>Compatibilité NIS version 1</title>

      <para><application>ypserv</application> sous &os; offre un
	support des clients NIS version 1.  L'implémentation
	NIS de &os; utilise uniquement le protocole NIS version 2,
	cependant d'autres implémentations disposent du support
	pour le protocole version 1 pour des raisons de
	compatibilité avec d'anciens systèmes.  Les
	&ldquo;daemons&rdquo; <application>ypbind</application>
	fournis avec ces systèmes tenteront de s'attacher
	&agrave; un serveur NIS version 1 même s'ils n'en ont
	pas besoin (et ils pourront continuer &agrave; diffuser des
	requêtes pour en trouver un même après
	avoir reçu une réponse d'un serveur NIS version
	2).  Notez que bien que les requêtes des clients normaux
	soient supportées, cette version
	d'<application>ypserv</application> ne supporte pas les
	requêtes de transfert de tables version 1; par
	conséquent il n'est pas possible de l'utiliser comme
	serveur maître ou esclave avec des serveurs NIS plus
	anciens qui ne supportent que la version 1 du protocole.
	Heureusement, il n'y a, aujourd'hui, presque plus de serveurs
	de ce type actifs.</para>
    </sect2>

    <sect2 id="network-nis-server-is-client">
      <title>Serveurs NIS qui sont aussi des clients NIS</title>

      <para>Il faut faire attention quand on utilise
	<application>ypserv</application> dans un domaine avec
	plusieurs serveurs NIS qui sont également des clients
	NIS.  Il est en général préférable
	de forcer les serveurs de se rattacher &agrave;
	eux-mêmes plutôt que de les laisser diffuser des
	requêtes de rattachement et éventuellement se rattacher
	réciproquement les uns aux autres.  Il peut en
	résulter de curieux problèmes si l'un des
	serveurs tombe et que d'autres en dépendent.  Tous les
	clients finiront par dépasser leur délai
	d'attente et se tenteront de se rattacher &agrave; d'autres
	serveurs, mais ce délai peut être
	considérable et le problème persistera puisque
	les serveurs peuvent &agrave; nouveau se rattacher les uns aux
	autres.</para>

      <para>Vous pouvez obliger une machine &agrave; se rattacher
	&agrave; un serveur particulier en exécutant
	<command>ypbind</command> avec l'option <option>-S</option>.
	Si vous ne désirez pas faire cela &agrave; la main
	&agrave; chaque fois que vous redémarrez votre serveur
	NIS, vous pouvez ajouter les lignes suivantes &agrave; votre
	fichier <filename>/etc/rc.conf</filename>:</para>

      <programlisting>nis_client_enable="YES"	# run client stuff as well
nis_client_flags="-S <replaceable>NIS domain</replaceable>,<replaceable>server</replaceable>"</programlisting>

      <para>Voir la page de manuel de &man.ypbind.8; pour plus
	d'informations.</para>
    </sect2>

    <sect2>
      <title>Formats des mots de passe</title>
      <indexterm>
	<primary>NIS</primary>
	<secondary>formats des mots de passe</secondary>
      </indexterm>
      <para>Un des problèmes les plus courants que l'on
	rencontre en mettant en oeuvre NIS est celui de la
	compatibilité des formats de mots de passe.  Si votre
	serveur NIS utilise des mots de passe chiffrés avec
	l'algorithme DES, il ne supportera que les clients utilisant
	également DES.  Par exemple, si vous avez des client NIS
	&solaris; sur votre réseau, alors vous aurez presque
	certainement besoin d'utiliser des mots de passe chiffrés
	avec le système DES.</para>

      <para>Pour déterminer quel format vos serveurs et clients
	utilisent, consultez le fichier
	<filename>/etc/login.conf</filename>.  Si la machine est
	configurée pour utiliser des mots de passe
	chiffrés avec DES, alors la classe
	<literal>default</literal> contiendra une entrée comme
	celle-ci:</para>

      <programlisting>default:\
	:passwd_format=des:\
	:copyright=/etc/COPYRIGHT:\
	[Entrées suivantes omises]</programlisting>

      <para>D'autres valeurs possibles pour la capacité
	<literal>passwd_format</literal> sont <literal>blf</literal>
	et <literal>md5</literal> (respectivement pour les chiffrages
	de mots de passe Blowfish et MD5).</para>

      <para>Si vous avez modifié le fichier
	<filename>/etc/login.conf</filename>, vous devrez
	également regénérer la base de
	données des capacités de classes de session, ce
	qui est accompli en exécutant la commande suivante en
	tant que <username>root</username>:</para>

      <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>

      <note><para>Le format des mots de passe utilisés dans
	<filename>/etc/master.passwd</filename> ne sera pas mis
	&agrave; jour avant qu'un utilisateur ne change son mot de
	passe pour la première fois
	<emphasis>après</emphasis> la
	régénération de la base de données des
	capacités de classes de session.</para></note>

      <para>Ensuite, afin de s'assurer que les mots de passe sont
	chiffrés avec le format que vous avez choisi, vous
	devez vérifier que l'entrée
	<literal>crypt_default</literal> dans le fichier
	<filename>/etc/auth.conf</filename> donne la priorité
	au format de mots de passe choisi.  Par exemple, quand les
	mots de passe DES sont utilisés, l'entrée
	serait:</para>

      <programlisting>crypt_default	=	des blf md5</programlisting>

      <para>En suivant les points précédents sur chaque
	serveur et client NIS sous &os;, vous pouvez être
	sûr qu'ils seront tous d'accord sur le format de mot de
	passe utilisé dans le réseau.  Si vous avez des
	problèmes d'authentification sur un client NIS, c'est
	probablement la première chose &agrave;
	vérifier.  Rappelez-vous: si vous désirez mettre
	en place un serveur NIS pour un réseau
	hétérogène, vous devrez probablement
	utiliser DES sur tous les systèmes car c'est le
	standard le plus courant.</para>
    </sect2>
  </sect1>

  <sect1 id="network-dhcp">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Greg</firstname>
	  <surname>Sutter</surname>
	  <contrib>Ecrit par </contrib>
	</author>
      </authorgroup>
    </sect1info>
    <title>Configuration réseau automatique (DHCP)</title>

    <sect2>
      <title>Qu'est-ce que DHCP?</title>
      <indexterm>
	<primary>Dynamic Host Configuration Protocol</primary>
	<see>DHCP</see>
      </indexterm>
      <indexterm>
	<primary>Internet Software Consortium (ISC)</primary>
      </indexterm>

      <para>DHCP, le protocole d'attribution dynamique des adresses
	(&ldquo;Dynamic Host Configuration Protocol&rdquo;),
	décrit les moyens par lesquels un système peut
	se connecter &agrave; un réseau et obtenir les
	informations nécessaires pour dialoguer sur ce
	réseau.  Les versions de &os; antérieures
	&agrave; la version 6.0 utilisent l'implémentation du
	client DHCP (&man.dhclient.8;) de l'ISC (Internet Software
	Consortium).  Les versions suivantes utilisent le programme
	<command>dhclient</command> d'OpenBSD issu d'OpenBSD&nbsp;3.7.
	Toutes les informations données ici au sujet de
	<command>dhclient</command> sont valables aussi bien pour le
	client DHCP d'ISC que pour celui d'OpenBSD.  Le serveur DHCP
	est celui distribué par le consortium ISC.</para>
    </sect2>

    <sect2>
      <title>Ce que traite cette section</title>

      <para>Cette section décrit les composants
	côté client des clients DHCP d'ISC et d' OpenBSD et côté serveur du
	système DHCP ISC.  Le programme client,
	<command>dhclient</command>, est intégré
	&agrave; &os;, la partie serveur est disponible &agrave;
	partir du logiciel porté <filename
	role="package">net/isc-dhcp3-server</filename>.  Les pages de
	manuel &man.dhclient.8;, &man.dhcp-options.5;, et
	&man.dhclient.conf.5;, en plus des références
	données plus bas, sont des ressources utiles.</para>
    </sect2>

    <sect2>
      <title>Comment cela fonctionne-t-il?</title>
      <indexterm><primary>UDP</primary></indexterm>

      <para>Quand <command>dhclient</command>, le client DHCP, est
	exécuté sur la machine cliente, il commence
	&agrave; diffuser des requêtes de demandes d'information
	de configuration.  Par défaut, ces requêtes sont
	effectuées sur le port UDP 68.  Le serveur
	répond sur le port UDP 67, fournissant au client une
	adresse IP et d'autres informations réseau importantes
	comme le masque de sous-réseau, les routeurs, et les
	serveurs DNS.  Toutes ces informations viennent sous la forme
	d'un &ldquo;bail&rdquo; DHCP qui est uniquement valide pendant
	un certain temps (configuré par l'administrateur du
	serveur DHCP).  De cette façon, les adresses IP
	expirées pour les clients qui ne sont plus
	connectés peuvent être automatiquement
	récupérées.</para>

      <para>Les clients DHCP peuvent obtenir une grande
	quantité d'informations &agrave; partir du serveur.
	Une liste exhaustive est donnée dans la page de manuel
	&man.dhcp-options.5;.</para>
    </sect2>

    <sect2>
      <title>Intégration dans &os;</title>

      <para>Le client DHCP ISC ou OpenBSD (en fonction de la version de &os; que vous utilisez), <command>dhclient</command>, est
	complètement intégré &agrave; &os;.  Le
	support du client DHCP est fourni avec l'installeur et le
	système de base, rendant évident le besoin d'une
	connaissance détaillée des configurations
	réseaux pour n'importe quel réseau utilisant un
	serveur DHCP.  <command>dhclient</command> fait partie de
	toutes les versions de &os; depuis la version 3.2.</para>
      <indexterm>
	<primary><application>sysinstall</application></primary>
      </indexterm>

      <para>DHCP est supporté par
	<application>sysinstall</application>.  Quand on configure une
	interface réseau sous
	<application>sysinstall</application>, la deuxième
	question posée est: &ldquo;Voulez-vous tenter la
	configuration DHCP de l'interface?&rdquo;.
	Répondre par l'affirmative &agrave; cette question
	lancera <command>dhclient</command>, et en cas de
	succès, complétera automatiquement les
	informations de configuration réseau.</para>

      <para>Vous devez faire deux choses pour que votre système
	utilise DHCP au démarrage:</para>
      <indexterm>
	<primary>DHCP</primary>
	<secondary>prérequis</secondary>
      </indexterm>

      <itemizedlist>
	<listitem>
	  <para>Assurez-vous que le périphérique
	    <devicename>bpf</devicename> est compilé dans votre
	    noyau.  Pour cela, vous devez ajouter la ligne
	    <literal>device bpf</literal> &agrave; votre fichier
	    de configuration du noyau, et recompiler le noyau.  Pour
	    plus d'informations sur la compilation de noyaux,
	    consultez le <xref linkend="kernelconfig"/>.</para>

	  <para>Le périphérique
	    <devicename>bpf</devicename> est déj&agrave;
	    présent dans le noyau <filename>GENERIC</filename>
	    qui est fourni avec &os;, vous ne devez donc pas
	    créer de noyau spécifique pour faire
	    fonctionner DHCP.</para>

	  <note>
	    <para>Ceux qui sont particulièrement conscients de
	      l'aspect sécurité devraient noter que
	      <devicename>bpf</devicename> est également le
	      périphérique qui permet le fonctionnement de
	      &ldquo;renifleurs&rdquo; de paquets (de tels programmes
	      doivent être lancés sous l'utilisateur
	      <username>root</username>).  <devicename>bpf</devicename>
	      <emphasis>est</emphasis> nécessaire pour utiliser
	      DHCP, mais si vous êtes très sensible
	      &agrave; la sécurité, vous ne devriez
	      probablement pas ajouter <devicename>bpf</devicename>
	      &agrave; votre noyau parce que vous projetez d'utiliser
	      DHCP dans le futur.</para>
	  </note>
	</listitem>
	<listitem>
	  <para>Editez votre fichier <filename>/etc/rc.conf</filename>
	    pour y ajouter ce qui suit:</para>

	  <programlisting>ifconfig_fxp0="DHCP"</programlisting>

	  <note>
	    <para>Assurez-vous de bien remplacer
	      <literal>fxp0</literal> par l'interface que vous voulez
	      configurer de façon dynamique comme décrit
	      dans la <xref linkend="config-network-setup"/>.</para>
	  </note>

	  <para>Si vous utilisez un emplacement différent pour
	    <command>dhclient</command>, ou si vous désirez
	    passer des arguments supplémentaires &agrave;
	    <command>dhclient</command>, ajoutez ce qui suit (en
	    effectuant des modifications si nécessaire):</para>

	  <programlisting>dhcp_program="/sbin/dhclient"
dhcp_flags=""</programlisting>
	</listitem>
      </itemizedlist>

      <indexterm>
	<primary>DHCP</primary>
	<secondary>serveur</secondary>
      </indexterm>
      <para>Le serveur DHCP, <application>dhcpd</application>, fait
	partie du logiciel porté <filename
	role="package">net/isc-dhcp3-server</filename> disponible dans
	le catalogue des logiciels portés.  Ce logiciel
	porté contient le serveur DHCP ISC et sa
	documentation.</para>
    </sect2>

    <sect2>
      <title>Fichiers</title>
      <indexterm>
	<primary>DHCP</primary>
	<secondary>fichiers de configuration</secondary>
      </indexterm>
      <itemizedlist>
	<listitem><para><filename>/etc/dhclient.conf</filename></para>
	  <para><command>dhclient</command> nécessite un
	    fichier de configuration,
	    <filename>/etc/dhclient.conf</filename>.
	    Généralement le fichier ne contient que des
	    commentaires, les valeurs par défaut étant
	    suffisantes.  Ce fichier de configuration est décrit
	    par la page de manuel &man.dhclient.conf.5;.</para>
	</listitem>

	<listitem><para><filename>/sbin/dhclient</filename></para>
	  <para><command>dhclient</command> est lié
	    statiquement et réside dans le répertoire
	    <filename class="directory">/sbin</filename>.  La page de
	    manuel &man.dhclient.8; donne beaucoup plus d'informations
	    au sujet de <command>dhclient</command>.</para>
	</listitem>

	<listitem><para><filename>/sbin/dhclient-script</filename></para>
	  <para><command>dhclient-script</command> est la
	    procédure de configuration du client DHCP
	    spécifique &agrave; &os;.  Elle est décrite
	    dans la page de manuel &man.dhclient-script.8;, mais ne
	    devrait pas demander de modification de la part de
	    l'utilisateur pour fonctionner correctement.</para>
	</listitem>

	<listitem><para><filename>/var/db/dhclient.leases</filename></para>
	  <para>Le client DHCP conserve une base de données des
	    baux valides, qui est écrite comme un fichier
	    journal.  La page de manuel &man.dhclient.leases.5; en donne
	    une description légèrement plus longue.</para>
	</listitem>
      </itemizedlist>
    </sect2>

    <sect2>
      <title>Lecture supplémentaire</title>

      <para>Le protocole DHCP est intégralement décrit
	dans la <ulink url="http://www.freesoft.org/CIE/RFC/2131/">RFC
	2131</ulink>.  Des informations sont également
	disponibles &agrave; l'adresse <ulink
	url="http://www.dhcp.org/"></ulink>.</para>
    </sect2>

    <sect2 id="network-dhcp-server">
	<title>Installer et configurer un serveur DHCP</title>

	<sect3>
	  <title>Ce que traite cette section</title>

	  <para>Cette section fournit les informations
	    nécessaires &agrave; la configuration d'un
	    système &os; comme serveur DHCP en utilisant
	    l'implémentation ISC (Internet Software Consortium)
	    du serveur DHCP.</para>

	  <para>Le serveur n'est pas fourni dans le
	    système de base de &os;, et vous devrez installer
	    le logiciel porté <filename
	    role="package">net/isc-dhcp3-server</filename> pour
	    bénéficier de ce service.  Lisez le <xref
	    linkend="ports"/> pour plus d'information sur l'utilisation
	    du catalogue des logiciels portés.</para>
	</sect3>

	<sect3>
	  <title>Installation d'un serveur DHCP</title>
	  <indexterm>
	    <primary>DHCP</primary>
	    <secondary>installation</secondary>
	  </indexterm>

	  <para>Afin de configurer votre système &os; en
	    serveur DHCP, vous devrez vous assurer que le support du
	    périphérique &man.bpf.4; est compilé
	    dans votre noyau.  Pour cela ajouter la ligne
	    <literal>device bpf</literal> dans votre fichier de
	    configuration du noyau.  Pour plus d'information sur la
	    compilation de noyaux, consultez le <xref
	    linkend="kernelconfig"/>.</para>

	  <para>Le périphérique
	    <devicename>bpf</devicename> est déj&agrave;
	    présent dans le noyau <filename>GENERIC</filename>
	    qui est fourni avec &os;, vous ne devez donc pas
	    créer de noyau spécifique pour faire
	    fonctionner DHCP.</para>

	  <note>
	    <para>Ceux qui sont particulièrement conscients de
	      l'aspect sécurité devraient noter que
	      <devicename>bpf</devicename> est également le
	      périphérique qui permet le fonctionnement de
	      &ldquo;renifleurs&rdquo; de paquets (de tels programmes
	      nécessitent également un accès avec
	      privilèges).  <devicename>bpf</devicename>
	      <emphasis>est</emphasis> nécessaire pour utiliser
	      DHCP, mais si vous êtes très sensible
	      &agrave; la sécurité, vous ne devriez
	      probablement pas ajouter <devicename>bpf</devicename>
	      &agrave; votre noyau parce que vous projetez d'utiliser
	      DHCP dans le futur.</para>
	  </note>

	  <para>Il vous reste ensuite &agrave; éditer le
	    fichier <filename>dhcpd.conf</filename> d'exemple qui a
	    été installé par le logiciel
	    porté <filename
	    role="package">net/isc-dhcp3-server</filename>.  Par
	    défaut, cela sera
	    <filename>/usr/local/etc/dhcpd.conf.sample</filename>, et
	    vous devriez le copier vers
	    <filename>/usr/local/etc/dhcpd.conf</filename> avant de
	    commencer vos modifications.</para>
	</sect3>

	<sect3>
	  <title>Configuration du serveur DHCP</title>
	  <indexterm>
	    <primary>DHCP</primary>
	    <secondary>dhcpd.conf</secondary>
	  </indexterm>

	  <para><filename>dhcpd.conf</filename> est composé de
	    déclarations concernant les masques de
	    sous-réseaux et les machines, il est
	    peut-être plus facile &agrave; expliquer &agrave;
	    l'aide d'un exemple:</para>

	  <programlisting>option domain-name "example.com";<co id="domain-name"/>
option domain-name-servers 192.168.4.100;<co id="domain-name-servers"/>
option subnet-mask 255.255.255.0;<co id="subnet-mask"/>

default-lease-time 3600;<co id="default-lease-time"/>
max-lease-time 86400;<co id="max-lease-time"/>
ddns-update-style none;<co id="ddns-update-style"/>

subnet 192.168.4.0 netmask 255.255.255.0 {
  range 192.168.4.129 192.168.4.254;<co id="range"/>
  option routers 192.168.4.1;<co id="routers"/>
}

host mailhost {
  hardware ethernet 02:03:04:05:06:07;<co id="hardware"/>
  fixed-address mailhost.example.com;<co id="fixed-address"/>
}</programlisting>

	  <calloutlist>
	    <callout arearefs="domain-name">
	      <para>Cette option spécifie le domaine qui sera
		donné aux clients comme domaine par
		défaut.  Consultez la page de manuel de
		&man.resolv.conf.5; pour plus d'information sur sa
		signification.</para>
	    </callout>

	    <callout arearefs="domain-name-servers">
	      <para>Cette option donne une liste,
		séparée par des virgules, de serveurs DNS
		que le client devrait utiliser.</para>
	    </callout>

	    <callout arearefs="subnet-mask">
	      <para>Le masque de sous-réseau qui sera fourni
		aux clients.</para>
	    </callout>

	    <callout arearefs="default-lease-time">
	      <para>Un client peut demander un bail d'une durée
		bien précise.  Sinon par défaut le serveur
		alloue un bail avec cette durée avant expiration
		(en secondes).</para>
	    </callout>

	    <callout arearefs="max-lease-time">
	      <para>C'est la durée maximale d'allocation
		autorisée par le serveur.  Si un client demande
		un bail plus long, le bail sera accordé mais il
		ne sera valide que durant
		<literal>max-lease-time</literal> secondes.</para>
	    </callout>

	    <callout arearefs="ddns-update-style">
	      <para>Cette option indique si le serveur DHCP doit
		tenter de mettre &agrave; jour le DNS quand un bail
		est accepté ou révoqué.  Dans
		l'implémentation ISC, cette option est
		<emphasis>obligatoire</emphasis>.</para>
	    </callout>

	    <callout arearefs="range">
	      <para>Ceci indique quelles adresses IP devraient
		être utilisées dans l'ensemble des adresses
		réservées aux clients.  Les adresses
		comprises dans l'intervalle spécifiée sont
		allouées aux clients.</para>
	    </callout>

	    <callout arearefs="routers">
	      <para>Définit la passerelle par défaut
		fournie aux clients.</para>
	    </callout>

	    <callout arearefs="hardware">
	      <para>L'adresse matérielle MAC d'une machine (de
		manière &agrave; ce que le serveur DHCP puisse
		reconnaître une machine quand elle envoie une
		requête).</para>
	    </callout>

	    <callout arearefs="fixed-address">
	      <para>Indique que la machine devrait se voir attribuer
		toujours la même adresse IP.  Notez que
		l'utilisation d'un nom de machine ici est correct,
		puisque le serveur DHCP effectuera une
		résolution de nom sur le nom de la machine
		avant de renvoyer l'information sur le bail.</para>
	    </callout>
	  </calloutlist>

	  <para>Une fois l'écriture de votre fichier
	    <filename>dhcpd.conf</filename> terminée, vous
	    devez activer le serveur DHCP dans le fichier
	    <filename>/etc/rc.conf</filename>, en ajoutant:</para>

	  <programlisting>dhcpd_enable="YES"
dhcpd_ifaces="dc0"</programlisting>

	  <para>Remplacez le nom de l'interface <literal>dc0</literal>
	    avec celui de l'interface (ou des interfaces,
	    séparées par un espace) sur laquelle votre
	    serveur DHCP attendra les requêtes des clients
	    DHCP.</para>

	  <para>Ensuite, vous
	    pouvez lancer le serveur en tapant la commande
	    suivante:</para>

	  <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/isc-dhcpd.sh start</userinput></screen>

	  <para>Si vous devez, dans le futur, effectuer des
	    changements dans la configuration de votre serveur, il est
	    important de savoir que l'envoi d'un signal
	    <literal>SIGHUP</literal> &agrave;
	    <application>dhcpd</application> ne provoque
	    <emphasis>pas</emphasis> le rechargement de la
	    configuration, contrairement &agrave; la plupart des
	    &ldquo;daemons&rdquo;.  Vous devrez envoyer un signal
	    <literal>SIGTERM</literal> pour arrêter le
	    processus, puis le relancer en utilisant la commande
	    ci-dessus.</para>
	</sect3>

	<sect3>
	  <title>Fichiers</title>
	  <indexterm>
	    <primary>DHCP</primary>
	    <secondary>fichier de configuration</secondary>
	  </indexterm>
	  <itemizedlist>
	    <listitem><para><filename>/usr/local/sbin/dhcpd</filename></para>
	      <para><application>dhcpd</application> est lié
		statiquement et réside dans le répertoire
		<filename class="directory">/usr/local/sbin</filename>.
		La page de manuel &man.dhcpd.8; installée avec le
		logiciel porté donne beaucoup plus d'informations
		au sujet de <application>dhcpd</application>.</para>
	    </listitem>

	    <listitem><para><filename>/usr/local/etc/dhcpd.conf</filename></para>
	      <para><application>dhcpd</application> nécessite
		un fichier de configuration,
		<filename>/usr/local/etc/dhcpd.conf</filename> avant de
		pouvoir commencer &agrave; offrir ses services aux
		client.  Ce fichier doit contenir toutes les
		informations &agrave; fournir aux clients qui seront
		traités, en plus des informations concernant le
		fonctionnement du serveur.  Ce fichier de configuration
		est décrit par la page de manuel
		&man.dhcpd.conf.5; installée par le logiciel
		porté.</para>
	    </listitem>

	    <listitem><para><filename>/var/db/dhcpd.leases</filename></para>

	      <para>Le serveur DHCP conserve une base de
		données des baux qu'il a délivré,
		qui est écrite comme un fichier journal.  La page
		de manuel &man.dhcpd.leases.5; installée par le
		logiciel porté en donne une description
		légèrement plus longue.</para>
	    </listitem>

	    <listitem><para><filename>/usr/local/sbin/dhcrelay</filename></para>
	      <para><application>dhcrelay</application> est
		utilisé dans les environnements avancés
		où un serveur DHCP fait suivre la requête
		d'un client vers un autre serveur DHCP sur un
		réseau séparé.  Si vous avez besoin
		de cette fonctionnalité, installez alors le
		logiciel porté <filename
		role="package">net/isc-dhcp3-server</filename>.  La page
		de manuel &man.dhcrelay.8; fournie avec le logiciel
		porté contient plus de détails.</para>
	    </listitem>
	  </itemizedlist>
	</sect3>
      </sect2>
  </sect1>

  <sect1 id="network-dns">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Chern</firstname>
	  <surname>Lee</surname>
	  <contrib>Contribution de </contrib>
	</author>

	<author>
	  <firstname>Tom</firstname>
	  <surname>Rhodes</surname>
	</author>

	<author>
	  <firstname>Daniel</firstname>
	  <surname>Gerzo</surname>
	</author>
      </authorgroup>
    </sect1info>
    <title>Serveurs de noms (<acronym>DNS</acronym>)</title>

    <sect2>
      <title>Généralités</title>
      <indexterm><primary>BIND</primary></indexterm>

      <para>&os; utilise, par défaut, BIND (Berkeley Internet
	Name Domain), qui est l'implémentation la plus courante
	du protocole DNS.  Le DNS est le protocole qui effectue la
	correspondance entre noms et adresses IP, et inversement.  Par
	exemple une requête pour <hostid
	role="fqdn">www.FreeBSD.org</hostid> aura pour réponse
	l'adresse IP du serveur Web du projet &os;, et une
	requête pour <hostid
	role="fqdn">ftp.FreeBSD.org</hostid> renverra l'adresse IP de
	la machine FTP correspondante.  De même, l'opposé
	est possible.  Une requête pour une adresse IP retourne
	son nom de machine.  Il n'est pas nécessaire de faire
	tourner un serveur DNS pour effectuer des requêtes DNS
	sur un système.</para>

      <para>&os; est actuellement fourni par défaut avec le
	serveur <acronym>DNS</acronym> <acronym>BIND</acronym>9.
	Notre installation est dotée de fonctionnalités
	étendues au niveau de la sécurité, d'une
	nouvelle organisation du système de fichiers et d'une
	configuration en environnement &man.chroot.8;
	automatisée.</para>

      <indexterm><primary>DNS</primary></indexterm>
      <para>Le DNS est coordonné sur l'Internet &agrave;
	travers un système complexe de serveurs de noms racines
	faisant autorité, de domaines de premier niveau
	(<quote>Top Level Domain</quote>, <acronym>TLD</acronym>), et
	d'autres serveurs de noms de plus
	petites tailles qui hébergent, directement ou font office
	de &ldquo;cache&rdquo;, l'information pour des domaines
	individuels.</para>

      <para>Actuellement, BIND est maintenu par l'Internet Software
	Consortium <ulink url="http://www.isc.org/"></ulink>.</para>
    </sect2>

    <sect2>
      <title>Terminologie</title>

      <para>Pour comprendre ce document, certains termes relatifs
	au DNS doivent être maîtrisés.</para>

      <indexterm><primary>résolveur</primary></indexterm>
      <indexterm><primary>DNS inverse</primary></indexterm>
      <indexterm><primary>zone racine</primary></indexterm>
      <informaltable frame="none">
	<tgroup cols="2">
	  <colspec colwidth="1*"/>
	  <colspec colwidth="3*"/>

	  <thead>
	    <row>
	      <entry>Terme</entry>
	      <entry>Definition</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry>&ldquo;Forward&ldquo; DNS</entry>
	      <entry>Correspondance noms de machine vers adresses
		IP.</entry>
	    </row>

	    <row>
	      <entry>Origine</entry>
	      <entry>Fait référence au domaine couvert
		par un fichier de zone particulier.</entry>
	    </row>

	    <row>
	      <entry><application>named</application>, BIND, serveur
		de noms</entry>
	      <entry>Noms courants pour le serveur de noms BIND de
		&os;</entry>
	    </row>

	    <row>
	      <entry>Resolveur</entry>
	      <entry>Un processus système par
		l'intermédiaire duquel une machine contacte un
		serveur de noms pour obtenir des informations sur une
		zone.</entry>
	    </row>

	    <row>
	      <entry>DNS inverse</entry>
	      <entry>C'est l'inverse du DNS &ldquo;classique&rdquo;
		(&ldquo;Forward&ldquo; DNS).  C'est la correspondance
		adresses IP vers noms de machine.</entry>
	    </row>

	    <row>
	      <entry>Zone racine</entry>

	      <entry>Début de la hiérarchie de la zone
		Internet.  Toutes les zones sont rattachées
		&agrave; la zone racine, de la même
		manière qu'un système de fichier est
		rattaché au répertoire racine.</entry>
	    </row>

	    <row>
	      <entry>Zone</entry>
	      <entry>Un domaine individuel, un sous-domaine, ou une
		partie des noms administrés par un même
		serveur faisant autorité.</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <indexterm>
	<primary>zones</primary>
	<secondary>exemples</secondary>
      </indexterm>

      <para>Exemples de zones:</para>

      <itemizedlist>
	<listitem>
	  <para><hostid>.</hostid> est la zone racine</para>
	</listitem>
	<listitem>
	  <para><hostid>org.</hostid> est un domaine de premier niveau
	    (<acronym>TLD</acronym>) sous la
	    zone racine</para>
	</listitem>
	<listitem>
	  <para><hostid role="domainname">example.org.</hostid> est une
	    zone sous le <acronym>TLD</acronym>
	    <hostid>org.</hostid></para>
	</listitem>
	<listitem>
	  <para>
	    <hostid>1.168.192.in-addr.arpa</hostid> est une zone faisant
	    référence &agrave; toutes les adresses IP
	    qui appartiennent l'espace d'adresse <hostid
	    role="ipaddr">192.168.1.*</hostid>.</para>
	</listitem>
      </itemizedlist>

      <para>Comme on peut le remarquer, la partie la plus
	significative d'un nom de machine est &agrave; sa gauche.  Par
	exemple, <hostid role="domainname">example.org.</hostid> est
	plus spécifique que <hostid>org.</hostid>, comme
	<hostid>org.</hostid> est &agrave; son tour plus
	spécifique que la zone racine.  La constitution de
	chaque partie d'un nom de machine est proche de celle d'un
	système de fichiers: le répertoire <filename
	class="directory">/dev</filename> se trouve sous la racine, et
	ainsi de suite.</para>
    </sect2>

    <sect2>
      <title>Les raisons de faire tourner un serveur de noms</title>

      <para>Les serveurs de noms se présentent
	généralement sous deux formes: un serveur de
	noms faisant autorité, et un serveur de noms
	cache.</para>

      <para>Un serveur de noms faisant autorité est
	nécessaire quand:</para>

      <itemizedlist>
	<listitem>
	  <para>on désire fournir des informations DNS au reste
	    du monde, être le serveur faisant autorité lors
	    des réponses aux requêtes.</para>
	</listitem>
	<listitem>
	  <para>un domaine, comme par exemple
	    <hostid role="domainname">example.org</hostid>, est
	    enregistré et des adresses IP doivent être
	    assignées &agrave; des noms de machine appartenant
	    &agrave; ce domaine.</para>
	</listitem>
	<listitem>
	  <para>un bloc d'adresses IP nécessite des
	    entrées DNS inverses (IP vers nom de machine).</para>
	</listitem>
	<listitem>
	  <para>un second serveur de noms ou de secours, appelé esclave,
	    qui répondra aux requêtes.</para>
	  </listitem>
      </itemizedlist>

      <para>Un serveur de noms cache est nécessaire
	quand:</para>

      <itemizedlist>
	<listitem>
	  <para>un serveur de noms local peut faire office de cache
	    et répondre plus rapidement que l'interrogation
	    d'un serveur de noms extérieur.</para>
	</listitem>
      </itemizedlist>

      <para>Quand on émet des requêtes pour <hostid
	role="fqdn">www.FreeBSD.org</hostid>, le résolveur
	interroge généralement le serveur de noms du
	fournisseur d'accès, et récupère la
	réponse.  Avec un serveur DNS cache local, la
	requête doit être effectuée qu'une seule
	fois vers le monde extérieur par le serveur DNS cache.
	Chaque interrogation suivante n'aura pas &agrave; être
	transmise en dehors du réseau local, puisque
	l'information est désormais disponible localement dans
	le cache.</para>
    </sect2>

    <sect2>
      <title>Comment cela fonctionne-t-il?</title>

      <para>Sous &os; le &ldquo;daemon&rdquo; BIND est appelé
	<application>named</application> pour des raisons
	évidentes.</para>

      <informaltable frame="none" pgwide="1">
	<tgroup cols="2">
	  <thead>
	    <row>
	      <entry>Fichier</entry>
	      <entry>Description</entry>
	    </row>
	  </thead>

	  <tbody>
	    <row>
	      <entry>&man.named.8;</entry>
	      <entry>le &ldquo;daemon&rdquo; BIND</entry>
	    </row>

	    <row>
	      <entry>&man.rndc.8;</entry>
	      <entry>le programme de contrôle du
		serveur de noms</entry>
	    </row>

	    <row>
	      <entry><filename
		class="directory">/etc/namedb</filename></entry>
	      <entry>répertoire où se trouvent les
		informations sur les zones de BIND</entry>
	    </row>

	    <row>
	      <entry><filename>/etc/namedb/named.conf</filename></entry>
	      <entry>le fichier de configuration du
		&ldquo;daemon&rdquo;</entry>
	    </row>
	  </tbody>
	</tgroup>
      </informaltable>

      <para>En fonction de la manière dont est
	configurée sur le serveur une zone donnée, les
	fichiers relatifs &agrave; cette zone pourront être
	trouvés dans les sous-répertoires <filename
	class="directory">master</filename>, <filename
	class="directory">slave</filename>, ou <filename
	class="directory">dynamic</filename> du répertoire
	<filename class="directory">/etc/namedb</filename>.  Ces
	fichiers contiennent les informations <acronym>DNS</acronym>
	qui seront données par le serveur de noms en
	réponse aux requêtes.</para>
    </sect2>

    <sect2>
      <title>Lancer BIND</title>

      <indexterm>
	<primary>BIND</primary>
	<secondary>lancement</secondary>
      </indexterm>
      <para>Puisque BIND est installé par défaut, sa
	configuration est relativement simple.</para>

      <para>La configuration par défaut de
	<application>named</application> est un serveur de noms
	résolveur basique, tournant dans un environnement
	&man.chroot.8;.  Pour lancer le serveur avec cette
	configuration, utilisez la commande suivante:</para>

      <screen>&prompt.root; <userinput>/etc/rc.d/named forcestart</userinput></screen>

      <para>Pour s'assurer que le &ldquo;daemon&rdquo;
	<application>named</application> est lancé &agrave; chaque
	démarrage, ajoutez la ligne suivante dans
	<filename>/etc/rc.conf</filename>:</para>

      <programlisting>named_enable="YES"</programlisting>

      <para>Il existe, bien évidemment, de nombreuses options de
	configuration pour <filename>/etc/namedb/named.conf</filename>
	qui dépassent le cadre de ce document.  Si vous êtes intéressé
	par les options de démarrage de
	<application>named</application> sous &os;, jetez un oeil aux
	paramètres
	<literal>named_<replaceable>*</replaceable></literal> dans
	<filename>/etc/defaults/rc.conf</filename> et consultez la
	page de manuel &man.rc.conf.5;.  La section <xref
	linkend="configtuning-rcd"/> constitue également une bonne
	lecture.</para>
    </sect2>

    <sect2>
      <title>Fichiers de configuration</title>

      <indexterm>
	<primary>BIND</primary>
	<secondary>fichiers de configuration</secondary>
      </indexterm>

      <para>Les fichiers de configuration pour
	<application>named</application> se trouvent dans le
	répertoire <filename
	class="directory">/etc/namedb</filename> et devront être
	adaptés avant toute utilisation, &agrave; moins que
	l'on ait besoin que d'un simple résolveur.  C'est dans
	ce répertoire où la majeure partie de la
	configuration se fera.</para>

      <sect3>
	<title>Utilisation de
	  <command>make-localhost</command></title>

	<para>Pour configurer une zone maître, il faut se rendre
	  dans le répertoire <filename
	  class="directory">/etc/namedb/</filename> et exécuter
	  la commande suivante:</para>

	<screen>&prompt.root; <userinput>sh make-localhost</userinput></screen>

	<para>Si tout s'est bien passé, un nouveau fichier
	  devrait apparaître dans le sous-répertoire
	  <filename class="directory">master</filename>.  Les noms de
	  fichiers devraient être
	  <filename>localhost.rev</filename> pour le nom de domaine
	  local et <filename>localhost-v6.rev</filename> pour les
	  configurations <acronym>IPv6</acronym>.  Tout comme le
	  fichier de configuration par défaut, les informations
	  nécessaires seront présentes dans le fichier
	  <filename>named.conf</filename>.</para>
      </sect3>

      <sect3>
        <title><filename>/etc/namedb/named.conf</filename></title>

        <programlisting>// &dollar;FreeBSD&dollar;
//
// Reportez-vous aux pages de manuel named.conf(5) et named(8), et &agrave;
// la documentation se trouvant dans /usr/share/doc/bind9 pour plus de
// détails.
//
// Si vous devez configurer un serveur primaire, assurez-vous d'avoir
// compris les détails épineux du fonctionnement du DNS.  Même avec de
// simples erreurs, vous pouvez rompre la connexion entre les parties
// affectées, ou causer un important et inutile trafic Internet.

options {
        directory "/etc/namedb";
	pid-file	"/var/run/named/pid";
	dump-file	"/var/dump/named_dump.db";
	statistics-file	"/var/stats/named.stats";

// Si named est utilisé uniquement en tant que résolveur local, ceci
// est un bon réglage par défaut.  Pour un named qui doit être
// accessible &agrave; l'ensemble du réseau, commentez cette option, précisez
// l'adresse IP correcte, ou supprimez cette option.
	listen-on	{ 127.0.0.1; };

// Si l'IPv6 est activé sur le système, décommentez cette option pour
// une utilisation en résolveur local.  Pour donner l'accès au réseau,
// précisez une adresse IPv6, ou le mot-clé "any".
//	listen-on-v6	{ ::1; };

// En plus de la clause "forwarders", vous pouvez forcer votre serveur
// de noms &agrave; ne jamais être &agrave; l'origine de
// requêtes, mais plutôt faire suivre les demandes en
// activant la ligne suivante:
//
//      forward only;

// Si vous avez accès &agrave; un serveur de noms au niveau de
// votre fournisseur d'accès, ajoutez ici son adresse IP, et
// activez la ligne ci-dessous.  Cela vous permettra de
// bénéficier de son cache, réduisant ainsi le
// trafic Internet.
/*
        forwarders {
                127.0.0.1;
        };
*/</programlisting>

	<para>Comme les commentaires le précisent, pour
	  bénéficier d'un cache en amont de votre
	  connexion, le paramètre <literal>forwarders</literal>
	  peut être activé.  Dans des circonstances
	  normales, un serveur de noms interrogera de façon
	  récursive certains serveurs de noms jusqu'&agrave;
	  obtenir la réponse &agrave; sa requête.  Avec
	  ce paramètre activé, votre serveur interrogera
	  le serveur de noms en amont (ou le serveur de noms fourni)
	  en premier, en bénéficiant alors de son cache.
	  Si le serveur en question gère beaucoup de trafic, et
	  est un serveur rapide, activer cette option peut en valoir
	  la peine.</para>

	<warning><para><hostid role="ipaddr">127.0.0.1</hostid>
	  ne fonctionnera <emphasis>pas</emphasis> ici.  Remplacez
	  cette adresse IP par un serveur de noms en amont de votre
	  connexion.</para>
        </warning>

        <programlisting>        /*
         * S'il y a un coupe-feu entre vous et les serveurs de noms
         * avec lesquels vous voulez communiquer, vous aurez
         * peut-être besoin de décommenter la directive
         * query-source ci-dessous.  Les versions
         * précédentes de BIND lançaient des
         * requêtes &agrave; partir du port 53, mais depuis la
         * version 8, BIND utilise
         * par défaut un port pseudo-aléatoire quelconque non
         * réservé.
         */
        // query-source address * port 53;
};

// Si vous activez un serveur de noms local, n'oubliez pas d'entrer
// 127.0.0.1 dans votre fichier /etc/resolv.conf de sorte que ce
// serveur soit interrogé le premier.  Assurez-vous
// également de l'activer dans /etc/rc.conf.

zone "." {
        type hint;
        file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
        type master;
	file "master/localhost.rev";
};

// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
	type master;
	file "master/localhost-v6.rev";
};

// NB: N'utilisez pas les adresses IP ci-dessous, elles sont factices,
// et ne servent que pour des besoins de
// démonstration/documentation!
//
// Exemple d'entrées de configuration de zone esclave.
// Il peut être pratique de devenir serveur esclave pour la
// zone &agrave; laquelle appartient votre domaine.  Demandez &agrave;
// votre administrateur réseau l'adresse IP du serveur primaire
// responsable de la zone.
//
// N'oubliez jamais d'inclure la résolution de la zone inverse
// (IN-ADDR.ARPA)!
// (Ce sont les premiers octets de l'adresse IP, en ordre inverse,
// auxquels ont a ajouté ".IN-ADDR.ARPA".)
//
// Avant de commencer &agrave; configurer une zone primaire, il faut
// être sûr que vous avez parfaitement compris comment le
// DNS et BIND fonctionnent.  Il apparaît parfois des pièges
// peu évidents &agrave; saisir.  En comparaison, configurer une
// zone esclave est plus simple.
//
// NB: N'activez pas aveuglément les exemples ci-dessous. :-)
// Utilisez des noms et des adresses réelles.

/* Un exemple de zone maître
zone "example.net" {
	type master;
	file "master/example.net";
};
*/

/* Un exemple de zone dynamique
key "exampleorgkey" {
	algorithm hmac-md5;
	secret "sf87HJqjkqh8ac87a02lla==";
};
zone "example.org" {
	type master;
	allow-update {
		key "exampleorgkey";
	};
	file "dynamic/example.org";
};
*/

/* Exemple de zones esclaves directes et inverses
zone "example.com" {
	type slave;
	file "slave/example.com";
	masters {
		192.168.1.1;
	};
};
zone "1.168.192.in-addr.arpa" {
	type slave;
	file "slave/1.168.192.in-addr.arpa";
	masters {
		192.168.1.1;
	};
};
*/</programlisting>

	<para>Dans <filename>named.conf</filename>, ce sont des
	  exemples d'entrées d'un serveur esclave.</para>

	<para>Pour chaque nouvelle zone gérée, une
	  nouvelle entrée de zone doit être
	  ajoutée au fichier
	  <filename>named.conf</filename>.</para>

	<para>Par exemple, l'entrée de zone la plus simple
	  possible pour <hostid role="domainname">example.org</hostid>
	  serait:</para>

        <programlisting>zone "example.org" {
	type master;
	file "master/example.org";
};</programlisting>

	<para>Ce sera un serveur maître pour la zone, comme
	  indiqué par l'option <option>type</option>,
	  concervant ses informations de zone dans le fichier
	  <filename>/etc/namedb/master/example.org</filename> comme
	  précisé par l'option
	  <option>file</option>.</para>

	<programlisting>zone "example.org" {
	type slave;
	file "slave/example.org";
};</programlisting>

	<para>Dans le cas d'un esclave, les informations concernant la
	  zone seront transférées &agrave; partir du
	  serveur maître pour la zone en question, et
	  sauvegardées dans le fichier indiqué.  Si ou
	  lorsque le serveur maître tombe ou est inaccessible,
	  le serveur esclave disposera des informations de la zone
	  transférée et sera capable de les
	  diffuser.</para>
      </sect3>

      <sect3>
	<title>Fichiers de zone</title>
	<indexterm>
	  <primary>BIND</primary>
	  <secondary>fichiers de zone</secondary>
	</indexterm>

	<para>Un exemple de fichier de zone maître pour <hostid
	  role="domainname">example.org</hostid> (défini dans
	  <filename>/etc/namedb/master/example.org</filename>) suit:</para>

	<programlisting>&dollar;TTL 3600        ; 1 hour
example.org.    IN      SOA      ns1.example.org. admin.example.org. (
                                2006051501      ; Serial
                                10800           ; Refresh
                                3600            ; Retry
                                604800          ; Expire
                                86400           ; Minimum TTL
                        )

; Serveurs DNS
                IN      NS      ns1.example.org.
                IN      NS      ns2.example.org.

; Enregistrements MX
                IN      MX 10   mx.example.org.
                IN      MX 20   mail.example.org.

                IN      A       192.168.1.1

; Noms de machine
localhost       IN      A       127.0.0.1
ns1             IN      A       192.168.1.2
ns2             IN      A       192.168.1.3
mx              IN      A       192.168.1.4
mail            IN      A       192.168.1.5

; Alias
www             IN      CNAME   @</programlisting>

	<para>Notez que chaque nom de machine se terminant par un
	  &ldquo;.&rdquo; est un nom de machine complet, alors que
	  tout ce qui se termine pas par un &ldquo;.&rdquo; est
	  référencé par rapport &agrave; une
	  origine.  Par exemple, <literal>www</literal> sera traduit
	  en
	  <literal>www.<replaceable>origine</replaceable></literal>.
	  Dans notre fichier de zone fictif, notre origine est
	  <hostid>example.org.</hostid>, donc <literal>www</literal>
	  sera traduit en <hostid>www.example.org.</hostid> </para>

	<para>Le format d'un fichier de zone est le suivant:</para>

	<programlisting>nom-enregistrement      IN type-enregistrement   valeur</programlisting>

	<indexterm>
	  <primary>DNS</primary>
	  <secondary>enregistrements</secondary>
	</indexterm>
	<para>Les enregistrements DNS les plus couramment
	  utilisés:</para>

	<variablelist>
	  <varlistentry>
	    <term>SOA</term>

	    <listitem>
	      <para>début des données de
		zone</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>NS</term>

	    <listitem>
	      <para>serveur de noms faisant
		autorité</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>A</term>

	    <listitem><para>adresse d'une machine</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>CNAME</term>

	    <listitem><para>alias d'un nom de machine</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>MX</term>

	    <listitem>
	      <para>serveur de messagerie recevant le courrier
		pour le domaine</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term>PTR</term>

	    <listitem>
	      <para>un pointeur sur un nom de domaine
		(utilisé dans le DNS inverse)</para></listitem>
	  </varlistentry>
	</variablelist>

        <programlisting>
example.org. IN SOA ns1.example.org. admin.example.org. (
                        2006051501      ; Serial
                        10800           ; Refresh after 3 hours
                        3600            ; Retry after 1 hour
                        604800          ; Expire after 1 week
                        86400 )         ; Minimum TTL of 1 day</programlisting>

	<variablelist>
	  <varlistentry>
	    <term><hostid role="domainname">example.org.</hostid></term>

	    <listitem>
	      <para>le nom de domaine, également l'origine pour
		ce fichier de zone.</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><hostid role="fqdn">ns1.example.org.</hostid></term>

	    <listitem>
	      <para>le serveur de noms primaire/faisant autorité
		pour cette zone.</para></listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>admin.example.org.</literal></term>

	    <listitem>
	      <para>la personne responsable pour cette zone avec
		le caractère &ldquo;@&rdquo; remplacé.
		(<email>admin@example.org</email> devient
		<literal>admin.example.org</literal>)</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>2006051501</literal></term>

	    <listitem>
	      <para>le numéro de série de ce fichier.
		Celui-ci doit être incrémenté
		&agrave; chaque modification du fichier de zone.  De nos
		jours, de nombreux administrateurs
		préfèrent un format du type
		<literal>aaaammjjrr</literal> pour le numéro de
		série.  <literal>2006051501</literal>
		signifierait dernière modification le 15/05/2006,
		le <literal>01</literal> indiquant que c'est la seconde
		fois que ce fichier a été
		révisé ce jour.  Le numéro de
		série est important puisqu'il indique aux
		serveurs de noms esclaves pour la zone une modification
		de celle-ci.</para>
	    </listitem>
	  </varlistentry>
	</variablelist>

	<programlisting>
       IN NS           ns1.example.org.</programlisting>

	<para>C'est une entrée de type NS.  Tous les serveurs
	  de noms qui doivent faire autorité pour la zone
	  devront inclure une de ces entrées.</para>

	<programlisting>
localhost       IN      A       127.0.0.1
ns1             IN      A       192.168.1.2
ns2             IN      A       192.168.1.3
mx              IN      A       192.168.1.4
mail            IN      A       192.168.1.5</programlisting>

	<para>Un enregistrement de type A indique des noms de machine.
	  Comme présenté ci-dessus <hostid
	  role="fqdn">ns1.example.org</hostid> sera résolu en
	  <hostid role="ipaddr">192.168.1.2</hostid>.</para>

        <programlisting>
                IN      A       192.168.1.1</programlisting>

	<para>Cette ligne assigne l'adresse IP <hostid
	  role="ipaddr">192.168.1.1</hostid> &agrave; l'origine, dans
	  cet exemple <hostid
	  role="domainname">example.org</hostid>.</para>

	<programlisting>
www             IN CNAME        @</programlisting>

	<para>L'enregistrement de type CNAME est
	  généralement utilisé pour créer
	  des alias &agrave; une machine.  Dans l'exemple,
	  <hostid>www</hostid> est un alias de la machine
	  connue sous le nom <hostid
	  role="domainname">localhost.example.org</hostid> (<hostid
	  role="ipaddr">127.0.0.1</hostid>).  Les enregistrements CNAME
	  peuvent être utilisés pour fournir des alias
	  &agrave; des noms de machines, ou permettre la rotation
	  (&ldquo;round robin&rdquo;) d'un nom de machine entre
	  plusieurs machines.</para>

	<indexterm>
	  <primary>MX record</primary>
	</indexterm>

	<programlisting>
               IN MX   10      mail.example.org.</programlisting>

	<para>L'enregistrement MX indique quels serveurs de messagerie
	  sont responsables de la gestion du courrier entrant pour la
	  zone.  <hostid role="fqdn">mail.example.org</hostid> est le
	  nom de machine du serveur de messagerie, et 10 étant
	  la priorité du serveur de messagerie.</para>

	<para>On peut avoir plusieurs serveurs de messagerie, avec des
	  priorités de 10, 20, etc.  Un serveur de messagerie
	  tentant de transmettre du courrier au domaine <hostid
	  role="domainname">example.org</hostid> essaiera en premier
	  le MX avec la plus haute priorité (l'enregistrement
	  avec le numéro de priorité le plus bas), puis
	  celui venant
	  en second, etc, jusqu'&agrave; ce que le courrier puisse
	  être correctement délivré.</para>

	<para>Pour les fichiers de zone in-addr.arpa (DNS inverse), le
	  même format est utilisé, &agrave; l'exception
	  du fait que des entrées PTR seront utilisées
	  en place de A ou CNAME.</para>

	<programlisting>$TTL 3600

1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
                        2006051501      ; Serial
                        10800           ; Refresh
                        3600            ; Retry
                        604800          ; Expire
                        3600 )          ; Minimum

        IN      NS      ns1.example.org.
        IN      NS      ns2.example.org.

1       IN      PTR     example.org.
2       IN      PTR     ns1.example.org.
3       IN      PTR     ns2.example.org.
4       IN      PTR     mx.example.org.
5       IN      PTR     mail.example.org.</programlisting>

	<para>Ce fichier donne la correspondance entre adresses IP et
	  noms de machines de notre domaine fictif.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Serveur de noms cache</title>
      <indexterm>
	<primary>BIND</primary>
	<secondary>serveur de noms cache</secondary>
      </indexterm>
      <para>Un serveur de noms cache est un serveur de noms qui ne
	fait autorité pour aucune zone.  Il émet
	simplement des requêtes, et se souvient du résultat
	pour une utilisation ultérieure.  Pour mettre en place un
	tel serveur, configurez le serveur de noms comme &agrave;
	l'accoutumé, en prenant bien soin de n'inclure aucune
	zone.</para>
    </sect2>

    <sect2>
      <title>Sécurité</title>

      <para>Bien que BIND soit l'implémentation la plus
	courante du DNS, le problème de la
	sécurité subsiste toujours.  De possibles
	problèmes de sécurité exploitables sont
	parfois découvert.</para>

      <para>Bien que &os; enferme automatiquement
	<application>named</application> dans un environnement
	&man.chroot.8;, il existe plusieurs autres mécanismes
	de sécurité qui pourraient aider &agrave; se
	prémunir contre de possibles attaques
	<acronym>DNS</acronym>.</para>

      <para>C'est une bonne idée de lire les avis de
	sécurité du <ulink
	url="http://www.cert.org/">CERT</ulink> et de s'inscrire
	&agrave; la &a.security-notifications; pour se maintenir au
	courant des problèmes de sécurité actuels
	de l'Internet et de &os;.</para>

      <tip>
	<para>Si un problème surgit, conserver les sources
	  &agrave; jour et disposer d'une version compilée de
	  <application>named</application> récente ne seront pas
	  de trop.</para>
      </tip>
    </sect2>

    <sect2>
      <title>Lectures supplémentaires</title>

      <para>Les pages de manuel de
	BIND/<application>named</application>: &man.rndc.8;
	&man.named.8; &man.named.conf.5;.</para>

      <itemizedlist>
	<listitem>
	  <para><ulink url="http://www.isc.org/products/BIND/">Page
	    officielle ISC concernant BIND</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	    url="http://www.isc.org/sw/guild/bf/">Forum officiel
	    ISC concernant BIND</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	    url="http://www.nominum.com/getOpenSourceResource.php?id=6">FAQ
	    BIND</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink url="http://www.oreilly.com/catalog/dns5/">DNS
	    et BIND 5ème Edition de chez O'Reilly</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	    url="ftp://ftp.isi.edu/in-notes/rfc1034.txt">RFC1034
	    - Domain Names - Concepts and Facilities</ulink></para>
	</listitem>

	<listitem>
	  <para><ulink
	    url="ftp://ftp.isi.edu/in-notes/rfc1035.txt">RFC1035
	    - Domain Names - Implementation and
	    Specification</ulink></para>
	</listitem>
      </itemizedlist>
    </sect2>
  </sect1>

  <sect1 id="network-apache">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Murray</firstname>
	  <surname>Stokely</surname>
	  <contrib>Contribution de </contrib>
	</author>
      </authorgroup>
    </sect1info>
    <title>Serveur HTTP Apache</title>

    <indexterm><primary>serveurs web</primary>
      <secondary>configuration</secondary></indexterm>
    <indexterm><primary>Apache</primary></indexterm>

    <sect2>
      <title>Généralités</title>

      <para>&os; est utilisé pour faire tourner certains des
	sites les plus chargés au monde.  La majorité
	des serveurs web sur l'Internet utilisent le serveur HTTP
	<application>Apache</application>.  Les versions
	pré-compilées
	d'<application>Apache</application> devraient se trouver sur
	le support d'installation de &os; que vous avez
	utilisé.  Si vous n'avez pas installé
	<application>Apache</application> &agrave; l'installation de
	&os;, alors vous pouvez installer le serveur &agrave; partir
	du logiciel porté <filename
	role="package">www/apache13</filename> ou <filename
	role="package">www/apache20</filename>.</para>

      <para>Une fois qu'<application>Apache</application> a
	été installé avec succès, il doit
	être configuré.</para>

      <note>
	<para>Cette section traite de la version 1.3.X du serveur
	  HTTP <application>Apache</application> étant
	  donné que  c'est la version la plus largement
	  utilisée sous &os;.
	  <application>Apache</application>&nbsp;2.X introduit de
	  nombreuses nouvelles technologies mais elles ne sont pas
	  abordées ici.  Pour plus d'informations concernant
	  <application>Apache</application>&nbsp;2.X veuillez
	  consulter <ulink
	  url="http://httpd.apache.org/"></ulink>.</para>
      </note>
    </sect2>

    <sect2>
      <title>Configuration</title>

      <indexterm><primary>Apache</primary>
	<secondary>fichier de configuration</secondary></indexterm>

      <para>Le fichier principal de configuration du serveur HTTP
	<application>Apache</application> est, sous &os;, le fichier
	<filename>/usr/local/etc/apache/httpd.conf</filename>.  Ce
	fichier est un fichier texte de configuration &unix; typique
	avec des lignes de commentaires débutant par un
	caractère <literal>#</literal>.  Une description
	complète de toutes les options de configuration
	possibles dépasse le cadre de cet ouvrage, aussi seules
	les directives les plus fréquemment modifiées
	seront décrites ici.</para>

      <variablelist>
	<varlistentry>
	  <term><literal>ServerRoot "/usr/local"</literal></term>

	  <listitem>
	    <para>Indique le répertoire d'installation par
	      défaut pour l'arborescence
	      <application>Apache</application>.  Les binaires sont
	      stockés dans les sous-répertoires <filename
	      class="directory">bin</filename> et <filename
	      class="directory">sbin</filename> de la racine du serveur,
	      et les fichiers de configuration dans <filename
	      class="directory">etc/apache</filename>.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>ServerAdmin you@your.address</literal></term>

	  <listitem>
	    <para>L'adresse électronique &agrave; laquelle tous
	      les problèmes concernant le serveur doivent
	      être rapportés.  Cette adresse apparaît
	      sur certaines pages générées par le
	      serveur, comme des pages d'erreur.</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>ServerName www.example.com</literal></term>

	  <listitem>
	    <para>La directive <literal>ServerName</literal> vous
	      permet de fixer un nom de machine qui est renvoyé
	      aux clients de votre serveur si le nom est
	      différent de celui de la machine (i.e, utilisez
	      <hostid>www</hostid> &agrave; la place du véritable
	      nom de la machine).</para>
	  </listitem>
	</varlistentry>

	<varlistentry>
	  <term><literal>DocumentRoot "/usr/local/www/data"</literal></term>

	  <listitem>
	    <para><literal>DocumentRoot</literal> est le
	      répertoire où se trouvent les documents que
	      votre serveur diffusera.  Par défaut, toutes les
	      requêtes sont prises en compte par rapport &agrave;
	      ce répertoire, mais des liens symboliques et des
	      alias peuvent être utilisés pour pointer vers
	      d'autres emplacements.</para>
	  </listitem>
	</varlistentry>
      </variablelist>

      <para>C'est toujours une bonne idée de faire des copies
	de sauvegarde de votre fichier de configuration
	d'<application>Apache</application> avant de faire des
	modifications.  Une fois que vous êtes satisfait avec
	votre configuration, vous êtes prêt &agrave;
	lancer <application>Apache</application>.</para>

<!-- sect3 for performance tuning directives?  maxservers minservers -->
<!-- etc..?? -->

<!-- Advanced configuration section.

Performance tuning directives.

Log file format -->
    </sect2>

    <sect2>
      <title>Exécuter <application>Apache</application></title>

      <indexterm><primary>Apache</primary>
	<secondary>démarrage ou
	  arrêt</secondary></indexterm>

      <para><application>Apache</application> n'est pas lancé
	&agrave; partir du &ldquo;super-serveur&rdquo;
	<application>inetd</application> comme pour beaucoup d'autres
	serveurs réseau.  Il est configuré pour tourner
	de façon autonome pour de meilleures performances
	&agrave; la réception des requêtes HTTP des
	navigateurs web.  Une procédure est fournie pour rendre
	le démarrage, l'arrêt, et le redémarrage
	du serveur aussi simple que possible.  Pour démarrer
	<application>Apache</application> pour la première
	fois, exécutez:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl start</userinput></screen>

      <para>Vous pouvez arrêter le serveur &agrave; tout moment
	en tapant:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl stop</userinput></screen>

      <para>Après avoir effectué des modifications dans
	le fichier de configuration, vous devez redémarrer le
	serveur:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl restart</userinput></screen>

      <para>Pour redémarrer <application>Apache</application>
	sans faire échouer les connexions en cours,
	exécutez:</para>

      <screen>&prompt.root; <userinput>/usr/local/sbin/apachectl graceful</userinput></screen>

      <para>Des informations supplémentaires sont disponibles
	dans la page de manuel d'&man.apachectl.8;.</para>

      <para>Pour lancer <application>Apache</application> au
	démarrage du système, ajoutez la ligne suivante
	au fichier <filename>/etc/rc.conf</filename>:</para>

      <programlisting>apache_enable="YES"</programlisting>

      <para>Si vous désirez passer des options en ligne de
	commande supplémentaires au programme
	<command>httpd</command> d'<application>Apache</application>
	lancé au démarrage du système, vous
	pouvez les spécifier &agrave; l'aide d'une ligne dans
	<filename>rc.conf</filename>:</para>

      <programlisting>apache_flags=""</programlisting>

      <para>Maintenant que le serveur web tourne, vous pouvez voir
	votre site web en pointant votre navigateur sur
	<literal>http://localhost/</literal>.  La page web
	affichée par défaut est
	<filename>/usr/local/www/data/index.html</filename>.</para>
    </sect2>

    <sect2>
      <title>Serveurs virtuels</title>

      <para><application>Apache</application> supporte deux types
	différents de serveurs virtuels.  Le premier type est
	celui des serveurs virtuels basés sur les noms.  Ce
	type de serveurs virtuels utilise les entêtes HTTP/1.1
	pour déterminer le nom de la machine.  Cela autorise le
	partage de la même adresse IP entre plusieurs domaines
	différents.</para>

      <para>Pour configurer <application>Apache</application> &agrave;
	l'utilisation de serveurs virtuels basés sur les noms,
	ajoutez une entrée comme la suivante &agrave; votre
	fichier <filename>httpd.conf</filename>:</para>

      <programlisting>NameVirtualHost *</programlisting>

      <para>Si votre serveur web est appelé <hostid
	role="fqdn">www.domain.tld</hostid> et que vous voulez mettre
	en place un domain virtuel pour <hostid
	role="fqdn">www.someotherdomain.tld</hostid> alors vous
	ajouterez les entrées suivantes au fichier
	<filename>httpd.conf</filename>:</para>

      <screen>&lt;VirtualHost *&gt;
ServerName www.domain.tld
DocumentRoot /www/domain.tld
&lt;/VirtualHost&gt;

&lt;VirtualHost *&gt;
ServerName www.someotherdomain.tld
DocumentRoot /www/someotherdomain.tld
&lt;/VirtualHost&gt;</screen>

      <para>Remplacez les addresses avec celles que vous
	désirez utiliser et le chemin d'accès des
	documents avec celui que vous utilisez.</para>

      <para>Pour plus d'informations sur la mise en place de serveurs
	virtuels, veuillez consulter la documentation officielle
	d'<application>Apache</application> &agrave; l'adresse <ulink
	url="http://httpd.apache.org/docs/vhosts/"></ulink>.</para>
    </sect2>

    <sect2>
      <title>Modules Apache</title>

      <indexterm><primary>Apache</primary>
	<secondary>modules</secondary></indexterm>

      <para>Il existe de nombreux modules
	<application>Apache</application> disponibles en vue d'ajouter
	des fonctionnalités au serveur de base.  Le catalogue
	des logiciels portés offre une méthode simple
	d'installation d'<application>Apache</application> avec
	certains des modules les plus populaires.</para>

      <sect3>
	<title>mod_ssl</title>

	<indexterm><primary>serveurs web</primary>
	  <secondary>sécurisé</secondary></indexterm>
	<indexterm><primary>SSL</primary></indexterm>
	<indexterm><primary>chiffrement</primary></indexterm>

	<para>Le module <application>mod_ssl</application> utilise la
	  bibliothèque OpenSSL pour offrir un chiffrement
	  solide &agrave; l'aide des protocoles &ldquo;Secure Sockets
	  Layer&rdquo; (SSL v2/v3) et &ldquo;Transport Layer
	  Security&rdquo;.  Ce module fourni tout ce qui est
	  nécessaire &agrave; la demande de certificats
	  signés auprès d'une autorité de
	  certification connue de façon &agrave; pouvoir faire
	  tourner un serveur web sécurisé sous
	  &os;.</para>

	<para>Si vous n'avez pas déj&agrave; installé
	  <application>Apache</application>, alors une version
	  d'<application>Apache</application> 1.3.X comprenant
	  <application>mod_ssl</application> peut être
	  installée &agrave; l'aide du logiciel porté
	  <filename
	  role="package">www/apache13-modssl</filename>.  Le support
	  SSL est également disponible pour
	  <application>Apache</application>&nbsp;2.X avec le logiciel
	  porté <filename
	  role="package">www/apache20</filename>, où il est
	  activé par défaut.</para>

<!-- XXX add more information about configuring mod_ssl here. -->
<!-- Generating keys, getting the key signed, setting up your secure -->
<!-- web server! -->
      </sect3>

      <sect3>
	<title>Sites Web dynamiques avec Perl &amp; PHP</title>

	<para>Ces dernières années, de plus en plus
	  d'entreprises se sont tournées vers l'Internet pour
	  augmenter leurs revenus et renforcer leur exposition.  Cela
	  a eu pour conséquence d'accroître le besoin de
	  contenus Web interactifs.  Quand certaines entreprises,
	  comme &microsoft;, ont introduit dans leurs produits
	  propriétaires des solutions &agrave; ces besoins, la
	  communauté des logiciels libres a également
	  répondu &agrave; l'appel.  Deux options pour obtenir
	  du contenu Web dynamique sont
	  <application>mod_perl</application> et
	  <application>mod_php</application>.</para>

        <sect4>
	<title>mod_perl</title>

	<indexterm>
          <primary>mod_perl</primary>
          <secondary>Perl</secondary>
        </indexterm>

	<para>Le projet d'intégration
	  <application>Apache</application>/Perl réuni la
	  puissance du langage de programmation Perl et le serveur
	  HTTP <application>Apache</application>.  Avec le module
	  <application>mod_perl</application> il est alors possible
	  d'écrire des modules
	  <application>Apache</application> entièrement en
	  Perl.  De plus, la présence d'un interpréteur
	  intégré au serveur évite la surcharge
	  due au lancement d'un interpréteur externe et le
	  délai pénalisant du démarrage de
	  Perl.</para>

	  <para>Le module <application>mod_perl</application> est peut
	    être obtenu de diverses manières.  Pour
	    l'utilisation du module
	    <application>mod_perl</application> souvenez-vous que
	    <application>mod_perl</application> 1.0 ne fonctionne
	    qu'avec <application>Apache</application> 1.3 et
	    <application>mod_perl</application> 2.0 ne fonctionne
	    qu'avec <application>Apache</application> 2.  Le module
	    <application>mod_perl</application> 1.0 est disponible
	    sous <filename role="package">www/mod_perl</filename> et
	    une version compilée en statique sous <filename
	    role="package">www/apache13-modperl</filename>.  Le module
	    <application>mod_perl</application> 2.0 est disponible
	    sous <filename
	    role="package">www/mod_perl2</filename>.</para>
        </sect4>

	<sect4>
	<sect4info>
	  <authorgroup>
	    <author>
	      <firstname>Tom</firstname>
	      <surname>Rhodes</surname>
	      <contrib>Ecrit par </contrib>
	    </author>
	  </authorgroup>
	</sect4info>
	<title>mod_php</title>

	<indexterm>
	  <primary>mod_php</primary>
	  <secondary>PHP</secondary>
	</indexterm>

	<para><acronym>PHP</acronym>, aussi connu sous le nom de
	  <quote>PHP: Hypertext Preprocessor</quote> est un langage de
	  script tout particulièrement adapté au
	  développement Web.  Pouvant être
	  intégré &agrave; du <acronym>HTML</acronym>,
	  sa syntaxe est dérivée du C, &java;, et du
	  Perl avec pour objectif de permettre aux développeurs
	  Web d'écrire rapidement des pages Web au contenu
	  généré dynamiquement.</para>

	<para>Pour ajouter le support de <acronym>PHP</acronym>5 au
	  serveur Web <application>Apache</application>, commencez par
	  installer le logiciel porté <filename
	  role="package">lang/php5</filename>.</para>

	<para>Si c'est la première installation du logiciel
	  <filename role="package">lang/php5</filename>, les
	  <literal>OPTIONS</literal> disponibles seront
	  affichées automatiquement.  Si aucun menu n'est
	  affiché, parce que le logiciel porté <filename
	  role="package">lang/php5</filename> a été
	  installé par le passé, il est toujours
	  possible de forcer l'affichage du menu des options de
	  compilation en utilisant la commande:</para>

	<screen>&prompt.root; <userinput>make config</userinput></screen>

	<para>dans le répertoire du logiciel
	  porté.</para>

	<para>Dans le menu des options de compilation,
	  sélectionnez l'option <literal>APACHE</literal> pour
	  compiler <application>mod_php5</application> sous forme de
	  module chargeable pour le serveur Web
	  <application>Apache</application>.</para>

	<note>
	  <para>De nombreux sites utilisent toujours
	    <acronym>PHP</acronym>4 pour diverses raisons (des
	    problèmes de compatibilité ou des
	    applications Web déj&agrave;
	    déployées).  Si
	    <application>mod_php4</application> est requis &agrave; la
	    place de <application>mod_php5</application>, utilisez
	    alors le logiciel porté <filename
	    role="package">lang/php4</filename>.  Le logiciel
	    porté <filename role="package">lang/php4</filename>
	    supporte plusieurs des options de configuration et de
	    compilation du logiciel porté <filename
	    role="package">lang/php5</filename>.</para>
	</note>

	<para>Cela installera et configurera les modules requis au
	  support des applications dynamiques <acronym>PHP</acronym>.
	  Assurez-vous que les sections suivantes ont
	  été ajoutées au fichier
	  <filename>/usr/local/etc/apache/httpd.conf</filename>:</para>

	<programlisting>LoadModule php5_module        libexec/apache/libphp5.so</programlisting>

        <programlisting>AddModule mod_php5.c
    &lt;IfModule mod_php5.c&gt;
        DirectoryIndex index.php index.html
    &lt;/IfModule&gt;
    &lt;IfModule mod_php5.c&gt;
        AddType application/x-httpd-php .php
        AddType application/x-httpd-php-source .phps
    &lt;/IfModule&gt;</programlisting>

	<para>Ensuite, un simple appel &agrave; la commande
	  <command>apachectl</command> pour un redémarrage
	  élégant est requis pour charger le module
	  <acronym>PHP</acronym>:</para>

	<screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>
	<para>Lors des futures mises &agrave; jour de
	  <acronym>PHP</acronym>, la commande <command>make
	  config</command> ne sera pas nécessaire; les
	  <literal>OPTIONS</literal> précédemment
	  sélectionnées sont automatiquement
	  sauvegardées par le système des logiciels
	  portés de &os;.</para>

	<para>Le support de <acronym>PHP</acronym> sous &os; est
	  extrêmement modulaire ce qui donne lieu &agrave; une
	  installation de base limitée.  Il est très
	  simple d'ajouter une fonctionnalité en utilisant le
	  logiciel porté <filename
	  role="package">lang/php5-extensions</filename>.  Ce logiciel
	  porté fournit un menu pour l'installation des
	  extensions <acronym>PHP</acronym>.  Alternativement, il est
	  possible d'installer les extensions individuellement en
	  utilisant les logiciels portés correspondants.</para>

	<para>Par exemple, pour ajouter &agrave;
	  <acronym>PHP</acronym>5 le support pour le serveur de bases
	  de données <application>MySQL</application>,
	  installez simplement le logiciel porté <filename
	  role="package">databases/php5-mysql</filename>.</para>

	<para>Après l'installation d'une extension, le serveur
	  <application>Apache</application> doit être
	  redémarré pour prendre en compte les
	  changements de configuration:</para>

	<screen>&prompt.root; <userinput>apachectl graceful</userinput></screen>
        </sect4>
      </sect3>
    </sect2>
  </sect1>

  <sect1 id="network-ftp">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Murray</firstname>
	  <surname>Stokely</surname>
	  <contrib>Contribution de </contrib>
	</author>
      </authorgroup>
    </sect1info>
    <title>Protocole de transfert de fichiers (FTP)</title>

    <indexterm><primary>serveurs FTP</primary></indexterm>

    <sect2>
      <title>Généralités</title>

      <para>Le protocol de transfert de fichiers (FTP) offre aux
	utilisateurs une méthode simple pour transférer
	des fichiers vers ou &agrave; partir d'un serveur <acronym
	role="File Transfer Protocol">FTP</acronym>.  &os; comprend un
	serveur <acronym role="File Transfer Protocol">FTP</acronym>,
	<application>ftpd</application>, dans le système de
	base.  Cela rend la configuration et l'administration d'un
	serveur <acronym role="File Transfer Protocol">FTP</acronym>
	sous &os; très simple.</para>
    </sect2>

    <sect2>
      <title>Configuration</title>

      <para>L'étape de configuration la plus important est de
	décider quels comptes seront autorisés &agrave;
	accéder au serveur FTP.  Un système &os;
	classique possède de nombreux comptes système
	utilisés par divers &ldquo;daemon&rdquo;s, mais les
	utilisateurs inconnus ne devraient pas être
	autorisés &agrave; ouvrir de session sous ces comptes.
	Le fichier <filename>/etc/ftpusers</filename> est une liste
	d'utilisateurs interdits d'accès au serveur FTP.  Par
	défaut, il inclut les comptes systèmes
	précédemment mentionnés, mais il est
	possible d'ajouter des utilisateurs précis qui ne
	devraient pas avoir accès au serveur FTP.</para>

      <para>Vous pouvez vouloir restreindre l'accès &agrave;
	certains utilisateurs sans leur refuser complètement
	l'utilisation du serveur FTP.  Cela peut être
	réalisé &agrave; l'aide du fichier
	<filename>/etc/ftpchroot</filename>.  Ce fichier liste les
	utilisateurs et les groupes sujet &agrave; des restrictions
	d'accès FTP.  La page de manuel &man.ftpchroot.5;
	fournit tous les détails, cela ne sera donc pas
	décrit ici.</para>

      <indexterm>
	<primary>FTP</primary>
	<secondary>anonyme</secondary>
      </indexterm>

      <para>Si vous désirez activer l'accès FTP anonyme
	sur votre serveur, vous devez alors créer un
	utilisateur appelé <username>ftp</username> sur votre
	serveur &os;.  Les utilisateurs seront donc en mesure d'ouvrir
	une session FTP sur votre serveur sous le nom d'utilisateur
	<username>ftp</username> ou <username>anonymous</username> et
	sans aucun mot de passe (par convention l'adresse
	électronique de l'utilisateur devrait être
	utilisée comme mot de passe).  Le serveur FTP appellera
	&man.chroot.2; quand un utilisateur anonyme ouvrira une
	session, pour restreindre l'accès juste au
	répertoire personnel de l'utilisateur
	<username>ftp</username>.</para>

      <para>Il existe deux fichiers texte qui spécifient les
	messages de bienvenue &agrave; afficher aux clients FTP.  Le
	contenu du fichier <filename>/etc/ftpwelcome</filename> sera
	affiché aux utilisateurs avant qu'ils atteignent
	l'invite de session.  Après une ouverture de session,
	le contenu du fichier <filename>/etc/ftpmotd</filename> sera
	affiché.  Notez que le chemin d'accès &agrave;
	ce fichier est relatif &agrave; l'environnement de la session,
	aussi le fichier <filename>~ftp/etc/ftpmotd</filename> sera
	affiché aux utilisateurs anonymes.</para>

      <para>Une fois que le serveur FTP a été
	configuré correctement, il doit être
	activé dans le fichier
	<filename>/etc/inetd.conf</filename>.  Ici il faut juste
	retirer le symbole de commentaire &ldquo;#&rdquo; en face de
	la ligne <application>ftpd</application>:</para>

      <programlisting>ftp	stream	tcp	nowait	root	/usr/libexec/ftpd	ftpd -l</programlisting>

      <para>Comme expliqué dans la <xref
	linkend="network-inetd-reread"/>, la configuration
	d'<application>inetd</application> doit être
	rechargée après que le fichier
	de configuration ait été modifié.</para>

      <para>Vous pouvez maintenant ouvrir une session FTP sur votre
	serveur en tapant:</para>

      <screen>&prompt.user; <userinput>ftp localhost</userinput></screen>
    </sect2>

    <sect2>
      <title>Maintenance</title>

      <indexterm><primary>syslog</primary></indexterm>
      <indexterm><primary>fichiers journaux</primary>
	<secondary>FTP</secondary></indexterm>

      <para>Le &ldquo;daemon&rdquo; <application>ftpd</application>
	utilise &man.syslog.3; pour l'enregistrement des messages.  Par
	défaut, le &ldquo;daemon&rdquo; de gestion des journaux
	du système enverra les messages relatifs au FTP dans le
	fichier <filename>/var/log/xferlog</filename>.  L'emplacement
	des journaux FTP peut être modifié en changeant
	la ligne suivante dans le fichier
	<filename>/etc/syslog.conf</filename>:</para>

      <programlisting>ftp.info      /var/log/xferlog</programlisting>

      <indexterm>
	<primary>FTP</primary>
	<secondary>anonyme</secondary>
      </indexterm>

      <para>Soyez conscient des éventuels problèmes
	impliqués par l'utilisation d'un serveur FTP acceptant
	les connexions anonymes.  Vous devriez, tout
	particulièrement, penser &agrave; deux fois avant
	d'autoriser les utilisateurs anonyme &agrave; déposer
	des fichiers sur le serveur.  Votre site FTP pourrait devenir
	un forum d'échange de logiciels commerciaux sans les
	licences ou pire.  Si vous devez autoriser le
	dépôt de fichiers de façon anonyme sur le
	serveur FTP, alors vous devriez fixer les permissions sur ces
	fichiers de telle sorte qu'ils ne puissent être lus par
	d'autres utilisateurs anonymes avant qu'ils n'aient pu
	être contrôlés.</para>
    </sect2>
  </sect1>

  <sect1 id="network-samba">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Murray</firstname>
	  <surname>Stokely</surname>
	  <contrib>Contribution de </contrib>
	</author>
      </authorgroup>
    </sect1info>
    <title>Serveur de fichiers et d'impression pour clients
      &microsoft.windows; (Samba)</title>

    <indexterm><primary>serveur Samba</primary></indexterm>
    <indexterm><primary>Microsoft Windows</primary></indexterm>
    <indexterm>
      <primary>serveur de fichiers</primary>
      <secondary>clients Windows</secondary>
    </indexterm>
    <indexterm>
      <primary>serveur d'impression</primary>
      <secondary>clients Windows</secondary>
    </indexterm>

    <sect2>
      <title>Généralités</title>

      <para><application>Samba</application> est un logiciel libre
	très populaire qui offre des services de partage de
	fichiers et d'imprimantes pour les clients
	&microsoft.windows;.  De tels clients peuvent se connecter et
	utiliser l'espace de fichiers d'une machine &os; comme si
	c'était un disque local, ou utiliser des imprimantes
	&os; comme si elles étaient des imprimantes
	locales.</para>

      <para><application>Samba</application> devrait se trouver sur
	votre support d'installation.  Si vous n'avez pas
	installé <application>Samba</application> &agrave;
	l'installation de &os;, vous pouvez alors l'installer &agrave;
	partir de la version pré-compilée ou
	portée <filename
	role="package">net/samba3</filename>.</para>

<!-- mention LDAP, Active Directory, WinBIND, ACL, Quotas, PAM, .. -->

    </sect2>

    <sect2>
      <title>Configuration</title>

      <para>Le fichier de configuration par défaut de
	<application>Samba</application> est installé sous le
	nom <filename>/usr/local/etc/smb.conf.default</filename>.  Ce
	fichier doit être copié vers
	<filename>/usr/local/etc/smb.conf</filename> et
	personnalisé avant que <application>Samba</application>
	ne puisse être utilisé.</para>

      <para>Le fichier <filename>smb.conf</filename> contient la
	configuration nécessaire &agrave; l'exécution de
	<application>Samba</application>, comme la définition
	des imprimantes et des &ldquo;systèmes de fichiers
	partagés&rdquo; que vous désirez partager avec
	les clients &windows;.  Le logiciel
	<application>Samba</application> comprend une interface Web
	appelé <application>swat</application> qui offre une
	méthode simple de configuration du fichier
	<filename>smb.conf</filename>.</para>

      <sect3>
	<title>Utilisation de l'interface web d'administration de
	  Samba (SWAT)</title>

	<para>L'interface web d'administration de
	  <application>Samba</application> (SWAT) est
	  exécutée sous la forme d'un
	  &ldquo;daemon&rdquo; &agrave; partir
	  d'<application>inetd</application>.  Par conséquent,
	  la ligne suivante dans le fichier
	  <filename>/etc/inetd.conf</filename> doit être
	  décommentée avant que
	  <application>swat</application> ne puisse être
	  utilisé pour configurer
	  <application>Samba</application>:</para>

	<programlisting>swat   stream  tcp     nowait/400      root    /usr/local/sbin/swat    swat</programlisting>

	<para>Comme expliqué dans la <xref
	  linkend="network-inetd-reread"/>, la configuration
	  d'<application>inetd</application> doit être
	  rechargée après modification
	  de ce fichier de configuration.</para>

	<para>Une fois que <application>swat</application> a
	  été activé dans
	  <filename>inetd.conf</filename>, vous pouvez utiliser un
	  navigateur pour vous connecter &agrave; l'adresse <ulink
	  url="http://localhost:901"></ulink>.  Vous devez ouvrir tout
	  d'abord une session sous le compte système
	  <username>root</username>.</para>

<!-- XXX screenshots go here, loader is creating them -->

	<para>Une fois que vous avez ouvert une session sur la page
	  principale de configuration de
	  <application>Samba</application>, vous pouvez naviguer dans
	  la documentation du système, ou commencer par cliquer
	  sur l'onglet <guimenu>Globals</guimenu>.  Le menu
	  <guimenu>Globals</guimenu> correspond aux variables
	  situées dans la section <literal>[global]</literal>
	  du fichier
	  <filename>/usr/local/etc/smb.conf</filename>.</para>
      </sect3>

      <sect3>
	<title>Paramétrages généraux</title>

	<para>Que vous utilisiez <application>swat</application> ou
	  éditiez directement le fichier
	  <filename>/usr/local/etc/smb.conf</filename>, les
	  premières directives que vous allez sûrement
	  rencontrer en configurant <application>Samba</application>
	  seront:</para>

        <variablelist>
	  <varlistentry>
	    <term><literal>workgroup</literal></term>

	    <listitem>
	      <para>Le nom de domaine NT ou le groupe de travail pour
		les ordinateurs qui accéderont &agrave; ce
		serveur.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>netbios name</literal></term>

	    <listitem>
	      <indexterm><primary>NetBIOS</primary></indexterm>

	      <para>Fixe le nom NetBIOS sous lequel est connu le
		serveur <application>Samba</application>.  Par
		défaut c'est le même que la première
		composante du nom de la machine pour le DNS.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>server string</literal></term>

	    <listitem>
	      <para>Cette directive définie la chaîne de
		caractères qui sera affichée lors de
		l'utilisation de la commande <command>net view</command>
		et par d'autres outils réseau recherchant
		&agrave; afficher une description du serveur.</para>
	    </listitem>
	  </varlistentry>
        </variablelist>
      </sect3>

      <sect3>
	<title>Paramètres de sécurité</title>

	<para>Deux des plus importants paramétrages de
	  <filename>/usr/local/etc/smb.conf</filename> sont le mode de
	  sécurité choisi, et le format de mot de passe
	  pour les utilisateurs.  Les directives suivantes
	  contrôlent ces options:</para>

        <variablelist>
	  <varlistentry>
	    <term><literal>security</literal></term>

	    <listitem>
	      <para>Les deux options les plus courantes sont
		<literal>security = share</literal> et <literal>security
		= user</literal>.  Si vos clients utilisent des noms
		d'utilisateur identiques &agrave; ceux sur votre machine
		&os;, alors vous voudrez utiliser un niveau de
		sécurité utilisateur.  C'est le mode de
		sécurité par défaut et qui demande
		aux clients de d'ouvrir une session avant de pouvoir
		accéder aux ressources partagées.</para>

	      <para>Dans le niveau de sécurité partage
		(&ldquo;share&rdquo;), le client n'a pas besoin
		d'ouvrir de session avant de pouvoir se connecter
		&agrave; une ressource partagée.
		C'était le mode de sécurité par
		défaut d'anciennes versions de
		<application>Samba</application>.</para>
	    </listitem>
	  </varlistentry>

	  <varlistentry>
	    <term><literal>passdb backend</literal></term>

	    <listitem>
	      <indexterm><primary>NIS+</primary></indexterm>
	      <indexterm><primary>LDAP</primary></indexterm>
	      <indexterm><primary>base de données
		SQL</primary></indexterm>

	      <para><application>Samba</application> possède
		plusieurs modèles de support d'authentification.
		Vous pouvez authentifier des clients avec LDAP, NIS+,
		une base de données SQL ou un fichier de mot de
		passe modifié.  La méthode
		d'authentification par défaut est appelée
		<literal>smbpasswd</literal>, et c'est celle qui sera
		présentée ici.</para>
	    </listitem>
	  </varlistentry>
	</variablelist>

	<para>En supposant que le modèle
	  <literal>smbpasswd</literal> par défaut est
	  utilisé, le fichier
	  <filename>/usr/local/private/smbpasswd</filename> doit
	  être créé pour permettre &agrave;
	  <application>Samba</application> d'identifier les clients.
	  Si vous désirez donner accès &agrave; vos
	  comptes utilisateur &unix; &agrave; partir de clients
	  &windows;, utilisez la commande suivante:</para>

	<screen>&prompt.root; <userinput>smbpasswd -a username</userinput></screen>

	<para>Veuillez consulter le
	  <ulink
	  url="http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/">tutorial
	  officiel de Samba</ulink> pour des informations
	  supplémentaires sur les options de configuration.
	  Avec les bases présentées ici, vous devriez
	  disposer de tous les éléments
	  nécessaires au démarrage de
	  <application>Samba</application>.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Démarrage de
	<application>Samba</application></title>

      <para>Le logiciel porté <filename
	role="package">net/samba3</filename> amène une nouvelle
	procédure de démarrage qui peut être
	employée pour contrôler
	<application>Samba</application>.  Pour activer cette
	procédure de manière &agrave; ce qu'elle soit
	utilisée pour par exemple lancer, arrêter ou
	relancer <application>Samba</application>, ajoutez la ligne
	suivante au fichier <filename>/etc/rc.conf</filename>:</para>

      <programlisting>samba_enable="YES"</programlisting>

      <para>Ou, pour un contrôle plus fin:</para>

      <programlisting>nmbd_enable="YES"
	smbd_enable="YES"</programlisting>

      <note>
	<para>Avec cela, <application>Samba</application> sera
	  automatiquement lancé au démarrage.</para>
      </note>

      <para>Il est alors possible de démarrer
	<application>Samba</application> &agrave; n'importe quel
	moment en tapant:</para>

      <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba start</userinput>
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.</screen>

      <para>Veuillez consulter la <xref linkend="configtuning-rcd"/>
	pour plus d'information sur les procédures rc.</para>

      <para><application>Samba</application> consiste essentiellement
	en trois &ldquo;daemon&rdquo;s séparés.  Vous
	devriez vous rendre compte que les &ldquo;daemon&rdquo;s
	<application>nmbd</application> et
	<application>smbd</application> sont lancés par la
	procédure <filename>samba</filename>.  Si vous avez
	activé la résolution de noms winbind dans le
	fichier <filename>smb.conf</filename>, alors le
	&ldquo;daemon&rdquo; <application>winbindd</application> sera
	également lancé.</para>

      <para>Vous pouvez arrêter <application>Samba</application>
	&agrave; tout moment en tapant:</para>

      <screen>&prompt.root; <userinput>/usr/local/etc/rc.d/samba stop</userinput></screen>

      <para><application>Samba</application> est une suite logiciels
	complexes avec des fonctionnalités permettant une large
	intégration avec les réseaux
	&microsoft.windows;.  Pour plus d'information sur les
	fonctionnalités non-abordées dans ce document,
	veuillez consulter <ulink
	url="http://www.samba.org"></ulink>.</para>
    </sect2>
  </sect1>

  <sect1 id="network-ntp">
    <sect1info>
      <authorgroup>
	<author>
	  <firstname>Tom</firstname>
	  <surname>Hukins</surname>
	  <contrib>Contribution de </contrib>
	</author>
      </authorgroup>
    </sect1info>
    <title>Synchronisation de l'horloge avec NTP</title>

    <indexterm><primary>NTP</primary></indexterm>

    <sect2>
      <title>Généralités</title>

      <para>Avec le temps, l'horloge d'un ordinateur tend &agrave;
	dériver.  Le protocole NTP (&ldquo;Network Time
	Protocol&rdquo;) est une des manières pour s'assurer
	que votre horloge reste précise.</para>

      <para>De nombreux services Internet ont besoin, ou tirent
	partie, de la précision des horloges des ordinateurs.
	Par exemple, un serveur web, peut recevoir des requêtes
	pour n'envoyer un fichier que s'il a été
	modifié depuis un certain temps.  Sur un réseau
	local, il est essentiel que les ordinateurs partageant des
	fichiers &agrave; partir du même serveur de fichiers
	aient des horloges synchronisées de manière
	&agrave; ce que les dates de création ou de
	dernière modification d'un fichier
	(&ldquo;timestamp&rdquo;) soient cohérentes.  Des
	services comme &man.cron.8; reposent sur une horloge
	système précise pour exécuter des
	commandes &agrave; des moments précis.</para>

      <indexterm>
	<primary>NTP</primary>
	<secondary>ntpd</secondary>
      </indexterm>
      <para>&os; est fourni avec le serveur NTP &man.ntpd.8; qui peut
	être utilisé pour contacter d'autres serveurs NTP
	pour régler l'horloge de votre machine ou pour jouer le
	rôle de serveur de temps pour d'autres.</para>
    </sect2>

    <sect2>
      <title>Choisir les serveurs NTP appropriés</title>

      <indexterm>
	<primary>NTP</primary>
	<secondary>choisir les serveurs</secondary>
      </indexterm>

      <para>Afin de synchroniser votre horloge, vous devrez trouver un
	ou plusieurs serveurs NTP.  Votre administrateur réseau
	ou votre FAI peuvent avoir mis en place un serveur NTP dans
	cet objectif&mdash;consultez leur documentation pour voir si
	c'est le cas.  Il existe une <ulink
	url="http://ntp.isc.org/bin/view/Servers/WebHome">liste
	en ligne de serveurs NTP accessibles par le public</ulink> que
	vous pouvez utiliser pour trouver un serveur NTP proche de
	vous.  Assurez-vous d'avoir pris connaissance de la politique
	d'utilisation des serveurs que vous choisissez, et demandez la
	permission si nécessaire.</para>

      <para>Choisir plusieurs serveurs NTP non-connectés entre
	eux est une bonne idée au cas où un des serveurs
	que vous utilisez devient inaccessible ou que son horloge
	n'est plus fiable.  &man.ntpd.8; utilise intelligemment les
	réponses qu'il reçoit d'autres serveurs&mdash;il
	favorisera les plus fiables par rapport aux moins
	fiables.</para>
    </sect2>

    <sect2>
      <title>Configuration de votre machine</title>

      <indexterm>
	<primary>NTP</primary>
	<secondary>configuration</secondary>
      </indexterm>

      <sect3>
	<title>Configuration de base</title>
	<indexterm><primary>ntpdate</primary></indexterm>

	<para>Si vous désirez synchroniser votre horloge
	  uniquement lors du démarrage de la machine, vous
	  pouvez alors employer &man.ntpdate.8;.  Cela peut être
	  approprié pour certaines machines de bureau qui sont
	  fréquemment redémarrées et qui
	  ne nécessites qu'une synchronisation
	  épisodique, cependant la plupart des machines
	  devraient utiliser &man.ntpd.8;.</para>

	<para>Utiliser &man.ntpdate.8; au moment du démarrage
	  est également une bonne idée pour les machines
	  qui exécutent &man.ntpd.8;.  Le programme
	  &man.ntpd.8; modifie l'horloge graduellement, alors que
	  &man.ntpdate.8; change directement l'horloge, peu importe la
	  différence entre l'heure actuelle de la machine et
	  l'heure correcte.</para>

	<para>Pour activer &man.ntpdate.8; au démarrage,
	  ajoutez la ligne <literal>ntpdate_enable="YES"</literal> au
	  fichier <filename>/etc/rc.conf</filename>.  Vous devrez
	  également préciser tous les serveurs avec
	  lesquels vous désirez vous synchroniser et tous les
	  indicateurs devant être passés &agrave;
	  &man.ntpdate.8; avec
	  <literal>ntpdate_flags</literal>.</para>
      </sect3>

      <sect3>
	<title>Configuration générale</title>

	<indexterm>
	  <primary>NTP</primary>
	  <secondary>ntp.conf</secondary>
	</indexterm>

	<para>NTP est configuré par l'intermédiaire du
	  fichier <filename>/etc/ntp.conf</filename> suivant le format
	  décrit dans la page de manuel &man.ntp.conf.5;.
	  Voici un exemple simple:</para>

	<programlisting>server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net

driftfile /var/db/ntp.drift</programlisting>

	<para>L'option <literal>server</literal> précise quels
	  serveurs doivent être utilisés, avec un serveur
	  listé par ligne.  Si un serveur est
	  spécifié avec l'argument
	  <literal>prefer</literal>, comme c'est le cas pour <hostid
	  role="fqdn">ntplocal.example.com</hostid>, ce serveur est
	  préféré par rapport aux autres
	  serveurs.  Une réponse en provenance d'un serveur
	  <emphasis>préféré</emphasis> sera
	  ignorée si elle diffère de façon
	  significative des réponses des autres serveurs, sinon
	  elle sera utilisée sans considérer les autres
	  réponses.  L'argument <literal>prefer</literal> est
	  normalement employé pour les serveurs NTP qui sont
	  connus pour leur grande précision, comme ceux avec
	  des systèmes spéciaux de contrôle du
	  matériel.</para>

	<para>L'option <literal>driftfile</literal> précise
	  quel fichier est utilisé pour stocker le
	  décalage de fréquence de l'horloge.  Le
	  programme &man.ntpd.8; l'utilise pour compenser
	  automatiquement la dérive naturelle de l'horloge,
	  permettant de maintenir un réglage raisonnablement
	  correct même s'il est coupé d'autres sources
	  extérieures de temps pendant une certaine
	  période.</para>

	<para>L'option <literal>driftfile</literal> précise
	  également quel fichier est utilisé pour
	  stocker l'information concernant les réponses
	  précédentes des serveurs NTP que vous
	  utilisez.  Il ne devrait pas être modifié par
	  un autre processus.</para>
      </sect3>

      <sect3>
	<title>Contrôler l'accès &agrave; votre
	  serveur</title>

	<para>Par défaut, votre serveur NTP sera accessible par
	  toutes les machines sur l'Internet.  L'option
	  <literal>restrict</literal> du fichier
	  <filename>/etc/ntp.conf</filename> vous permet de
	  contrôler quelles machines peuvent accéder
	  &agrave; votre serveur.</para>

	<para>Si vous voulez refuser &agrave; tout le monde
	  l'accès &agrave; votre serveur NTP, ajoutez la ligne
	  suivante au fichier
	  <filename>/etc/ntp.conf</filename>:</para>

        <programlisting>restrict default ignore</programlisting>

	<note>
	  <para>Cela empêchera également &agrave; votre serveur d'accéder
	    &agrave; tout serveur listé dans votre configuration locale.
	    Si vous avez besoin de synchroniser votre serveur NTP avec
	    un serveur NTP externe, vous devez alors autoriser le
	    serveur en question.  Consultez la page de manuel de
	    &man.ntp.conf.5; pour plus d'information.</para>
	</note>

	<para>Si vous désirez autoriser uniquement
	  l'accès aux machines de votre réseau pour
	  qu'elles puissent synchroniser leur horloge, tout en vous
	  assurant qu'elles ne peuvent configurer le serveur ou
	  être utilisées comme point de de
	  synchronisation, ajoutez:</para>

        <programlisting>restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap</programlisting>

	<para>&agrave; la place, où <hostid
	  role="ipaddr">192.168.1.0</hostid> est une adresse IP de
	  votre réseau et <hostid
	  role="netmask">255.255.255.0</hostid> est votre masque de
	  sous-réseau.</para>

	<para>Le fichier <filename>/etc/ntp.conf</filename> peut
	  contenir plusieurs options <literal>restrict</literal>.
	  Pour plus de détails, lisez la section
	  <literal>Access Control Support</literal> de la page de
	  manuel &man.ntp.conf.5;.</para>
      </sect3>
    </sect2>

    <sect2>
      <title>Exécuter le serveur NTP</title>

      <para>Pour s'assurer que le serveur NTP est lancé au
	démarrage, ajoutez la ligne
	<literal>ntpd_enable="YES"</literal> dans le fichier
	<filename>/etc/rc.conf</filename>.  Si vous désirez
	passer des indicateurs supplémentaires &agrave;
	&man.ntpd.8;, éditez les paramètres de l'option
	<varname>ntpd_flags</varname> dans
	<filename>/etc/rc.conf</filename>.</para>

      <para>Pour lancer le serveur sans redémarrer votre
	machine, exécutez <command>ntpd</command> en
	étant sûr de préciser tout
	paramètre supplémentaire de
	<varname>ntpd_flags</varname> dans
	<filename>/etc/rc.conf</filename>.  Par exemple:</para>

      <screen>&prompt.root; <userinput>ntpd -p /var/run/ntpd.pid</userinput></screen>
    </sect2>

    <sect2>
      <title>Utiliser ntpd avec une connexion Internet
	temporaire</title>

      <para>Le programme &man.ntpd.8; n'a pas besoin d'une connexion
	permanente &agrave; l'Internet pour fonctionner correctement.
	Cependant, si vous disposez d'une connexion temporaire qui
	est configurée de telle sorte qu'il y ait
	établissement de la connexion &agrave; la demande,
	c'est une bonne idée d'empêcher le trafic NTP de
	déclencher la numérotation ou de maintenir
	constamment établie la connexion.  Si vous utilisez PPP
	en mode utilisateur, vous pouvez employer les directives
	<literal>filter</literal> dans le fichier
	<filename>/etc/ppp/ppp.conf</filename>.  Par exemple:</para>

      <programlisting> set filter dial 0 deny udp src eq 123
 # Empêche le trafic NTP de lancer une connexion
 set filter dial 1 permit 0 0
 set filter alive 0 deny udp src eq 123
 # Empêche le trafic NTP entrant de garder la connexion établie
 set filter alive 1 deny udp dst eq 123
 # Empêche le trafic NTP sortant de garder la connexion établie
 set filter alive 2 permit 0/0 0/0</programlisting>

      <para>Pour plus de détails lisez la section
	<literal>PACKET FILTERING</literal> de la page de manuel
	&man.ppp.8; et les exemples du répertoire <filename
	class="directory">/usr/share/examples/ppp/</filename>.</para>

      <note>
	<para>Certains fournisseurs d'accès Internet bloquent
	  les ports dont le numéro est faible, empêchant
	  NTP de fonctionner puisque les réponses n'atteignent
	  jamais votre machine.</para>
      </note>
    </sect2>

    <sect2>
      <title>Information supplémentaire</title>

      <para>La documentation pour le serveur NTP peut être
	trouvée dans le répertoire <filename
	class="directory">/usr/share/doc/ntp/</filename> sous le format
	HTML.</para>
    </sect2>
  </sect1>
</chapter>