ecole polytechnique – dsi
Transcription
ecole polytechnique – dsi
ECOLE POLYTECHNIQUE – DSI Utilisation des serveurs mandataires (« proxy ») avec les protocoles d’usage courant V2.1 – ® Michel CHABANNE – EP/DSI – Février 2010 Table des matières A. B. C. D. E. Navigateurs web, clients HTTP .................................................... 4 Clients FTP ............................................................................... 6 Messagerie électronique POP3S/IMAPS ........................................ 7 Connexion SSH et transferts de fichiers SFTP/SCP ......................... 9 Configuration client CNRS XLAB ................................................ 13 Historique : 1.0-1.3 : Versions de travail 1.4 : Première version publique 1.5 : Support SCP, tunneling X-Window par SSH 1.6 : Rappel configuration XLAB 1.7 : Modifications des IP proxies 1.75 : Ajout de quelques configurations pour logiciels Linux 2.0 : Refonte, modifications httport/corkscrew et màj captures d’écran 2.1 : Mise à jour config XLAB PC Principe général d’un serveur mandataire Un serveur mandataire ou serveur « proxy » représente un relais entre votre poste de travail et l’extérieur. Pour un protocole donné, il agit à votre place pour récupérer les données demandées sur Internet. Selon le protocole réseau auquel on s’intéresse, la « proxification » peut demander une modification de la trame réseau envoyée (dans notre exemple, l’adresse de destination des données HTML reçues n’est pas celle du client final). Dans d’autres cas, il s’agit simplement de mettre en œuvre une redirection de ports TCP/UDP sur le serveur mandataire. Rappel : Charte d’usage des moyens informatiques Vous êtes astreint à respecter la charte d’usage des moyens informatiques de l’Ecole Polytechnique, que vous avez signée à votre arrivée sur le site, lorsque vous utilisez les serveurs mandataires. Nous vous rappelons que l’usage de ces serveurs implique une journalisation de votre activité, qui pourra vous être opposée en cas d’usage constaté contraire à la charte. Retrouvez la charte au format PDF sur http://intranet.polytechnique.fr/documents/chartes.php A. Navigateurs web, clients HTTP Pour la majorité des systèmes de l’Ecole, l’usage des proxies est obligatoire pour la navigation sur Internet. La configuration à utiliser est la suivante. Dans le panneau de configuration Windows, cliquez sur Options Internet. Sélectionnez l’onglet Connexions. Cliquez sur le bouton Paramètres réseau. Remplissez ensuite les champs comme suit : http://cache.polytechnique.fr/proxy.pac Avec Firefox1, sélectionnez le menu Outils, puis Options. Cliquez sur le menu Avancé, puis l’onglet Réseau. Remplissez ensuite les champs comme suit : 1 http://www.getfirefox.com/ En ligne de commande, vous pouvez également accéder aux proxies lors de l’utilisation d’applications comme wget, lynx… Il suffit de spécifier la variable http_proxy dans votre environnement : bash$ export http_proxy = ‘http://cache.polytechnique.fr:8080/’ WindowsUpdate ne fonctionne plus! Vous avez suivi à la lettre les étapes de configuration ci-dessus, et vous ne pouvez plus mettre à jour votre système Windows XP au travers de WindowsUpdate (erreurs 0x8…). Il s’agit d’un problème de configuration du service de mise à jour. Indiquez à ce service d’utiliser le proxy HTTP au moyen de la commande : C:\> proxycfg –u Réseau « visiteur » Le réseau visiteur de l’Ecole, composé de prises physiques dédiées aux séjours de courte durée sur le site, est compatible avec l’autoconfiguration des navigateurs. Cochez la case « Détecter automatiquement les paramètres de connexion » (menu Outils, Options Internet, Connexion, bouton Paramètres LAN) et Internet Explorer recevra automatiquement la configuration adéquate. Rapprochez-vous de l’administrateur système et réseaux de votre laboratoire d’accueil pour plus d’informations. B. Clients FTP Les clients FTP peuvent bénéficier des services du proxy FTP en place sur cache.polytechnique.fr, port 21. Ce proxy est de type « user@host ». Il accepte les connexions sur les serveurs anonymes et authentifiés. Utilisez par exemple le client FileZilla2. Cliquez sur le menu Edition, puis Paramètres, et remplissez les champs comme suit. L’hôte proxy est cache.polytechnique.fr. En ligne de commande, vous pouvez également accéder aux proxies FTP. Il suffit de spécifier la variable ftp_proxy dans votre environnement : $ export ftp_proxy = ftp://cache.polytechnique.fr/ Pour votre plate-forme : Fetch 5 : http://fetchsoftworks.com/fetch/download/Fetch_5.5.1.dmg gFTP: http://gftp.seul.org/ 2 http://filezilla-project.org/download.php?type=client C. Messagerie électronique POP3S/IMAPS Il est possible de relever son courrier électronique sur un serveur extérieur au travers des serveurs mandataires de l’Ecole. Pour cela, l’usage d’un logiciel supplémentaire et une reconfiguration du client de courrier électronique sont nécessaires. Note : De passage à l’Ecole, pour faciliter votre travail, renseignez-vous au préalable auprès de votre organisme d’origine sur les moyens de consulter plus facilement votre courrier. Ceci peut être au travers d’un webmail, d’une redirection temporaire… Vous devez exécuter sur votre poste de travail le logiciel HTTPort qui va se charger du relais entre votre client de courrier électronique et le proxy http. A l’extérieur de l’Ecole A l’Ecole Le logiciel client de courrier initie une connexion réseau vers le serveur de courrier, en utilisant le protocole POP3. Le serveur lui répond selon le même protocole. Vous exécutez HTTPort sur votre poste de travail. Ce logiciel ouvre localement un port 9110 sur votre poste de travail. Vous configurez votre client de courrier pour se connecter à votre propre machine (localhost) sur ce port 9110, comme si elle devenait le serveur de courrier. Lors du relevé des messages, le client de courrier envoie sa requête à HTTPort, qui la transmet en protocole HTTP (en rouge) au serveur mandataire, qui la relaie vers le serveur externe POP3 hébergeant le courrier (en bleu, protocole POP3). La réponse arrive selon le chemin inverse. Port 110/ tcp Port 8080/ tcp Port 9110/ tcp local Réponse Port 110/ tcp Réponse Réponse Serveur POP3 Serveur Proxy Serveur POP3 Téléchargez et installez le logiciel HTTPort.3.SNFM3. Lancez le logiciel et allez à l’onglet Port Mapping. Cliquez sur le bouton Remove pour supprimer toutes les entrées existantes, et créez-en une nouvelle à l’aide du bouton Add. Donnez un nom à cette nouvelle entrée en cliquant avec le bouton droit sur New Mapping, puis menu Edit. Dans l’exemple, l’entrée a été baptisée MonLabo. Entrez ensuite le numéro de port local de redirection puis le nom du serveur distant et le numéro du port distant selon la table suivante : Protocole supporté POP3 IMAP POP3S (SSL) IMPAS (SSL) 3 Port local 9110 9143 9995 9993 http://www.htthost.com/httport3snfm.exe Port distant 110 143 995 993 Ce qui donne par exemple, pour un serveur distant « pop.monlabo.fr » accessible en POP3 la configuration ci-dessous. Vous pouvez entrer plusieurs configurations en cliquant une nouvelle fois sur Add. Dans l’onglet Proxy, renseignez ensuite les champs comme suit. Cliquez sur le bouton Start pour lancer la redirection. Minimisez l’application (ne la fermez pas !) Note : Envoi du courrier L’envoi du courrier électronique utilise le protocole SMTP. Pour des raisons de sécurité, l’utilisation d’un serveur de courrier hors du site sur lequel votre poste de travail est connecté est prohibée. Pour répondre à vos messages, vous devez donc reconfigurer votre client de courrier pour utiliser le serveur SMTP de votre laboratoire ou de l’Ecole (mx.polytechnique.fr). La connexion réclame l’installation du logiciel proxytunnel4. Selon les plateformes, une compilation peut être nécessaire. Une fois le binaire disponible et/ou installé, vous pouvez lancer la redirection de ports (voir le tableau de ports ci-dessus pour le choix des éléments en rouge) dans une fenêtre Terminal comme suit : # /usr/local/bin/proxytunnel -a 9110 -g cache.polytechnique.fr \ -G 8080 -d pop.monlabo.fr -D 110 D. Connexion SSH et transferts de fichiers SFTP/SCP Une connexion SSH peut être relayée par un serveur proxy HTTP, cela à condition que votre client le supporte, ou que vous utilisiez un logiciel tiers le permettant. Le client le plus polymorphe est PuTTY5. Il supporte totalement l’usage des proxies HTTP sur toutes les plateformes. Sous Mac OS X, vous devrez recompiler PuTTY à partir des sources, ou utiliser la méthode « ligne de commande » décrite plus loin. Configurez les paramètres « Connection -> Proxy » de PuTTY comme indiqué dans l’image ci-contre. Connectez-vous ensuite en renseignant les champs de la page « Session ». 4 5 http://proxytunnel.sourceforge.net/download.php http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Pour pouvoir utiliser le déport d’affichage d’un serveur X-Window distant, vous devez : installer sur votre système un serveur X local6, qui accueillera les connexions provenant des logiciels clients exécutés sur le serveur distant ; configurer PuTTY comme indiqué ci-dessous afin d’activer le déport de l’affichage. Lancez votre serveur X local avant d’initier la connexion SSH. Une fois la connexion établie, tout logiciel graphique exécuté sur le serveur s’affichera sur votre machine. Remarque : Il peut être nécessaire de positionner manuellement la variable DISPLAY sur le serveur à la bonne valeur (votre_machine:0). 6 Par exemple, vous trouverez un serveur gratuit pour Windows sur http://freedesktop.org/wiki/Xming Si vous ne pouvez disposer de PuTTY, ou que vous devez utiliser la ligne de commande, procurez-vous le logiciel Corkscrew7. Lancez ensuite une console. Modifiez votre ~/.ssh/config comme suit : # utiliser le proxy http pour toutes les connexions Host * ProxyCommand corkscrew cache.polytechnique.fr 8080 %h %p # ou utiliser le proxy http pour une connexion donnée Host monserveurssh.dehors.com ProxyCommand corkscrew cache.polytechnique.fr 8080 %h %p Vous êtes alors prêt à utiliser votre client SSH en ligne de commande. Connectez-vous de manière habituelle sur le serveur distant. Remarque : Il n’est pas possible de détailler l’ensemble des configurations pour tous les programmes tournant sous Linux et pouvant utiliser les proxies. Merci de vous référer à la documentation en ligne pour connaître le support et la configuration nécessaire. Suivent quelques exemples pour des programmes communs : Lynx : Modifier le fichier lynx.cfg et ajouter http_proxy:http://cache.polytechnique.fr:8080/ https_proxy:http://cache.polytechnique.fr:8080/ W3M : w3m –o 7 http://cache.polytechnique.fr:8080/ <site distant> http://www.agroman.net/corkscrew/ Si vous désirez réaliser des transferts de fichiers, utilisez WinSCP8 qui permet l’utilisation d’un proxy HTTP pour une connexion SCP/SFTP. Lors de l’installation, cochez la case demandant l’affichage des options de connexion avancées. Lancez ensuite le programme et configurez-le comme indiqué ci-dessous. 8 http://winscp.sourceforge.net E. Configuration client CNRS XLAB9 Dans l’application, choisissez : DossierAdministration puis ParamétrageParamétrage de transfert. Choisissez votre centre de transfert puis cliquez sur « Modifier ». Renseignez les paramètres comme suit. Pour plus d’informations, voir http://www.dsi.cnrs.fr/labo/documentation/documentation.htm