{"id":87,"date":"2018-12-20T12:31:45","date_gmt":"2018-12-20T11:31:45","guid":{"rendered":"http:\/\/blog.nosland.com\/?p=87"},"modified":"2018-12-20T12:31:47","modified_gmt":"2018-12-20T11:31:47","slug":"rancid","status":"publish","type":"post","link":"http:\/\/blog.nosland.com\/?p=87","title":{"rendered":"RANCID"},"content":{"rendered":"\n

Cet article\/documentation a \u00e9t\u00e9 faite avec un coll\u00e8gue de l’Universit\u00e9 Paris 8. Ce coll\u00e8gue disparu aujourd’hui, je d\u00e9sirais publier cette documentation qui peut s’av\u00e9rer int\u00e9ressante et tr\u00e8s utile \u00e0 la communaut\u00e9. Les captures d’\u00e9cran et le texte n’a pas \u00e9t\u00e9 retouch\u00e9 depuis qu’elle a \u00e9t\u00e9 \u00e9crite. Micka\u00ebl Fortier est d\u00e9c\u00e9d\u00e9 en d\u00e9cembre 2017. Merci \u00e0 lui pour cette doc. <\/em> <\/p>\n\n\n\n

1\u00a0RANCID<\/p>\n\n\n\n

En tant qu\u2019administrateur, on cherche toujours \u00e0 am\u00e9liorer et \u00e0 s\u00e9curiser les r\u00e9seaux, mais malheureusement, la sauvegarde des actifs r\u00e9seau n\u2019est pas toujours une priorit\u00e9, on fait une modification en urgence, on se dit qu\u2019on fera la sauvegarde un peu plus tard…<\/p>\n\n\n\n

Mais le jour o\u00f9 on conna\u00eet une panne, il faudra bien refaire la configuration, avec une sauvegarde ce serait mieux, et si elle est \u00e0 jour ce serait parfait.<\/p>\n\n\n\n

D\u2019o\u00f9 l\u2019utilit\u00e9 de la mise en place d\u2019un syst\u00e8me de backup automatis\u00e9 pour les actifs r\u00e9seau.<\/p>\n\n\n\n

Rancid (Really Awesome New Cisco confIg Differ) est un outil qui permet de sauvegarder automatiquement les configurations d\u2019\u00e9quipements r\u00e9seaux.<\/p>\n\n\n\n

Il peut comparer les diff\u00e9rences entre les sauvegardes avec CVS (Concurrent Version System), ou subversion (SVN), et \u00e9ventuellement vous en informer par courriel.<\/p>\n\n\n\n

\nhttp:\/\/www.shrubbery.net\/rancid\/\n<\/div><\/figure>\n\n\n\n

Pour sauvegarder les configurations, Rancid se connecte sur l\u2019\u00e9quipement r\u00e9seau et copie les configurations sur le serveur.<\/p>\n\n\n\n

Ainsi, il n\u2019est pas\/plus n\u00e9cessaire d\u2019activer le SNMP sur l\u2019\u00e9quipement r\u00e9seau.<\/p>\n\n\n\n

Rancid n\u2019est pas seulement capable de sauvegarder les configurations de mat\u00e9riel Cisco mais \u00e9galement celles d\u2019un grand nombre d\u2019autres \u00e9quipementiers comme Juniper, Foundry ou Netscreen.<\/p>\n\n\n\n

\"PIC\"\/<\/figure>\n\n\n\n
\"PIC\"\/<\/figure>\n\n\n\n

2 ARCHITECTURE<\/h3>\n\n\n\n

Nous utilisons un serveur d\u00e9di\u00e9 pour h\u00e9berger le syst\u00e8me Rancid qui comprend :<\/p>\n\n\n\n

  • le logiciel rancid<\/li>
  • un d\u00e9p\u00f4t subversion pour stocker les diff\u00e9rentes versions des configurations des \u00e9l\u00e9ments actifs<\/li>
  • un serveur apache pour visualiser les diff\u00e9rentes versions<\/li><\/ul>\n\n\n\n

    Le serveur rancid est plac\u00e9 dans le r\u00e9seau des serveurs. Par d\u00e9faut, il n\u2019a pas acc\u00e8s au r\u00e9seau des switchs, on lui ajoute donc une deuxi\u00e8me interface d\u00e9di\u00e9e aux connexions avec les mat\u00e9riels r\u00e9seau.<\/p>\n\n\n\n

    Pour davantage de souplesse est une plus grande efficacit\u00e9, on va permettre au serveur webdsi (serveur web de la DSI) de faire office de reverse proxy pour le serveur rancid.<\/p>\n\n\n\n

    De cette fa\u00e7on, les informations seront disponibles \u00e0 toutes les personnes autoris\u00e9es via un simple navigateur web.<\/p>\n\n\n\n

    Enfin, disposant d\u00e9j\u00e0 d\u2019un serveur SVN officiel, on va synchroniser le d\u00e9p\u00f4t rancid sur ce serveur.<\/p>\n\n\n\n

    Le sch\u00e9ma suivant pr\u00e9sente les diff\u00e9rents \u00e9l\u00e9ments de l\u2019architecture du syst\u00e8me Rancid mise en place \u00e0 l\u2019Universit\u00e9 Paris 8.<\/p>\n\n\n\n

    \"PIC\"\/<\/figure>\n\n\n\n

    2.1 INFRASTRUCTURE RESEAU<\/h4>\n\n\n\n

    Le sch\u00e9ma suivant pr\u00e9sente le sch\u00e9ma de l\u2019infrastructure r\u00e9seau mise en place.<\/p>\n\n\n\n

    \"PIC\"\/<\/figure>\n\n\n\n

    3 INSTALLATION<\/h3>\n\n\n\n

    3.1 SERVEUR<\/h4>\n\n\n\n

    3.1.1 SALT<\/h5>\n\n\n\n

    Nous int\u00e9grons l\u2019installation du serveur rancid dans le syst\u00e8me salt<\/strong>. 
    : <\/strong>\/src\/salt\/top.sls<\/strong>… 
    <\/strong>  \u2019rancid.infra.up8\u2019: 
    <\/strong>    \u2212 postfix 
    <\/strong>    \u2212 rancid 
    <\/strong>…
    : <\/strong>\/src\/salt\/rancid\/init.sls<\/strong>rancid.packages: 
    <\/strong>  pkg.installed: 
    <\/strong>    \u2212 pkgs: 
    <\/strong>      \u2212 rancid 
    <\/strong>      \u2212 subversion 
    <\/strong>      \u2212 websvn 
    <\/strong>      \u2212 apache2
    : <\/strong>\/src\/pillar\/top.sls<\/strong>… 
    <\/strong> \u2019rancid\u2217\u2019: 
    <\/strong>    \u2212 users.fortier 
    <\/strong>    \u2212 munin 
    <\/strong>…<\/p>\n\n\n\n

    3.1.2 RANCID<\/h5>\n\n\n\n

    Une fois rancid et les d\u00e9pendances de paquets install\u00e9s avec Salt, nous pouvons modifier la configuration de rancid en modifiant le repository CVS de base par un d\u00e9p\u00f4t SVN : 
    : <\/strong>\/etc\/rancid\/rancid.conf<\/strong>RCSSYS=svn; export RCSSYS 
    <\/strong>LIST_OF_GROUPS=\u00a0\u00bbdsi\u00a0\u00bb 
    <\/strong># Location of the CVS\/SVN repository. Be careful changing this. 
    <\/strong>CVSROOT=$BASEDIR\/SVN; export CVSROOT<\/p>\n\n\n\n

    3.1.3 REPOSITORY SVN<\/h5>\n\n\n\n

    Une fois l\u2019utilisateur rancid ajout\u00e9, on cr\u00e9e le repository subversion :<\/strong># adduser rancid 
    <\/strong># \/usr\/lib\/rancid\/bin\/rancid\u2212cvs 
    <\/strong>
    <\/strong>Revision 1 propagee. 
    <\/strong>Revision 1 extraite. 
    <\/strong>Mise a jour de \u2019.\u2019 : 
    <\/strong>A la revision 1. 
    <\/strong>A         configs 
    <\/strong>Ajout          configs 
    <\/strong>
    <\/strong>Revision 2 propagee. 
    <\/strong>A         router.db 
    <\/strong>Ajout          router.db 
    <\/strong>Transmission des donnees . 
    <\/strong>Revision 3 propagee. 
    <\/strong># chown \u2212Rf rancid \/var\/lib\/rancid\/ 
    <\/strong># chown \u2212Rf rancid \/var\/log\/rancid\/<\/p>\n\n\n\n

    Le d\u00e9p\u00f4t est cr\u00e9\u00e9 dans \/var\/lib\/rancid\/SVN (comm indiqu\u00e9 dans le configuration), et la derni\u00e8re copie des fichiers se trouve dans \/var\/lib\/rancid\/dsi.<\/p>\n\n\n\n

    3.1.4 WEBSVN<\/h5>\n\n\n\n

    Nous utilisons websvn pour visualiser les documents plac\u00e9s dans le d\u00e9p\u00f4t rancid.<\/p>\n\n\n\n

    Le paquet websvn est install\u00e9, mais non configur\u00e9.<\/p>\n\n\n\n

    On peut utiliser la commande :<\/strong># dpkg\u2212reconfigure websvn<\/p>\n\n\n\n

    Cela g\u00e9n\u00e8re ou modifie les fichiers contenus dans \/etc\/websvn : 
    : <\/strong>svn_deb_conf.inc<\/strong><?php 
    <\/strong>$config\u2212>parentPath(\u00ab\u00a0\/var\/lib\/rancid\u00a0\u00bb); 
    <\/strong>$config\u2212>setEnscriptPath(\u00ab\u00a0\/usr\/bin\u00a0\u00bb); 
    <\/strong>$config\u2212>setSedPath(\u00ab\u00a0\/bin\u00a0\u00bb); 
    <\/strong>$config\u2212>useEnscript(); 
    <\/strong>?><\/p>\n\n\n\n

    Il faut ensuite ajouter la configuration dans apache :<\/strong># cd \/etc\/apache2\/conf\u2212enabled 
    <\/strong># ln \u2212s \/etc\/websvn\/svn_deb_conf.inc .
    : <\/strong>\/etc\/apache2\/sites-enabled\/000-default.conf<\/strong><VirtualHost \u2217:80> 
    <\/strong>  ServerName rancid 
    <\/strong>  ServerAdmin webmaster@localhost 
    <\/strong>  DocumentRoot \/var\/www\/html 
    <\/strong>  ErrorLog ${APACHE_LOG_DIR}\/error.log 
    <\/strong>  CustomLog ${APACHE_LOG_DIR}\/access.log combined 
    <\/strong>
    <\/strong>  Alias \/reseau \/usr\/share\/websvn 
    <\/strong>  <Directory \/usr\/share\/websvn> 
    <\/strong>    DirectoryIndex index.php 
    <\/strong>    Options FollowSymLinks 
    <\/strong>  <\/Directory> 
    <\/strong>
    <\/strong><\/VirtualHost><\/p>\n\n\n\n

    Enfin, il faut autoriser l\u2019utilisateur www-data (apache) \u00e0 acc\u00e9der aux fichiers du d\u00e9p\u00f4t rancid :<\/strong># usermod www\u2212data \u2212G rancid 
    <\/strong># \/etc\/init.d\/apache2 reload<\/p>\n\n\n\n

    A ce stade, on peut se connecter sur l\u2019interface web du serveur rancid sans authentification.<\/p>\n\n\n\n

    Les pages web de websvn se trouve dans \/usr\/share\/websvn\/<\/p>\n\n\n\n

    De base, 3 templates sont pr\u00e9sents et chaque utilisateur peut choisir le sien.<\/p>\n\n\n\n

    Nous decidons de n\u2019utiliser qu\u2019un seul template (calm) en d\u00e9sactivant les autres.<\/p>\n\n\n\n

    Les fichiers modifi\u00e9s se trouvent dans \/usr\/share\/websvn\/templates\/calm :<\/p>\n\n\n\n

    • header.tmpl<\/li>
    • blame.tmpl<\/li><\/ul>\n\n\n\n

      Nous modifions \u00e9galement le fichier \/etc\/websvn\/config.php pour n\u2019afficher que les \u00e9l\u00e9ments n\u00e9cessaires (on d\u00e9gage les RSS, les autres d\u00e9p\u00f4ts potentiels…)<\/p>\n\n\n\n

      3.1.5 SECURISATION APACHE<\/h5>\n\n\n\n

      On utilise le module authnz_ldap pour s\u2019authentifier sur l\u2019annuaire LDAP de l\u2019Universit\u00e9.<\/p>\n\n\n\n

      On active ce module via la commande :<\/strong># a2enmod  authnz_ldap<\/p>\n\n\n\n

      Seuls quelques utilisateurs ont droit d\u2019acc\u00e8s aux configuration, et on modifie la configuration d\u2019Apache en cons\u00e9quence : 
      : <\/strong>\/etc\/apache2\/sites-enabled\/000-default.conf<\/strong><VirtualHost \u2217:80> 
      <\/strong>  ServerName rancid 
      <\/strong>  ServerAdmin webmaster@localhost 
      <\/strong>  DocumentRoot \/var\/www\/html 
      <\/strong>  ErrorLog ${APACHE_LOG_DIR}\/error.log 
      <\/strong>  CustomLog ${APACHE_LOG_DIR}\/access.log combined 
      <\/strong>
      <\/strong>  Alias \/reseau \/usr\/share\/websvn 
      <\/strong>  <Directory \/usr\/share\/websvn> 
      <\/strong>    DirectoryIndex index.php 
      <\/strong>    Options FollowSymLinks 
      <\/strong>    # Autortisation LDAP 
      <\/strong>    AuthType Basic 
      <\/strong>    AuthName \u00ab\u00a0Depots de la DSI\u00a0\u00bb 
      <\/strong>    AuthBasicProvider ldap 
      <\/strong>    AuthLDAPURL \u00ab\u00a0ldap:\/\/192.168.0.5\/ou=people,dc=univ\u2212paris8,dc=fr?uid?sub?(objectClass=\u2217)\u00a0\u00bb 
      <\/strong>    AuthLDAPBindDN \u00ab\u00a0cn=Manager,dc=univ\u2212paris8,dc=fr\u00a0\u00bb 
      <\/strong>    AuthLDAPBindPassword XXXXXXX 
      <\/strong>    Require user hmr dcamerol ggeniaut obia fprovin ttian\u2212sio\u2212po tchambon lotfi mfortier 
      <\/strong>  <\/Directory> 
      <\/strong>
      <\/strong><\/VirtualHost><\/p>\n\n\n\n

      3.2 CONFIGURATION DES ELEMENTS ACTIFS<\/h4>\n\n\n\n

      Une fois rancid et websvn configur\u00e9s, il faut modifier plusieurs fichiers pour activer l\u2019acc\u00e8s de l\u2019outil aux switchs :<\/p>\n\n\n\n

      1. \/etc\/hosts : pour d\u00e9clarer le mapping ip \u2212\u2192 nom (simuler le DNS)<\/li>
      2. \/var\/lib\/rancid\/dsi\/routed.db : contient la liste des \u00e9l\u00e9ments actifs<\/li>
      3. \/home\/rancid\/.cloginrc : contient les acc\u00e8s (login\/mdp) aux \u00e9l\u00e9ments actifs<\/li><\/ol>\n\n\n\n
        3.2.1 DECLARATION<\/h5>\n\n\n\n

        On d\u00e9clare les \u00e9l\u00e9ments dans \/etc\/hosts : 
        : <\/strong>\/etc\/hosts<\/strong>127.0.0.1      localhost 
        <\/strong>
        <\/strong>192.168.49.254CC65P8 
        <\/strong>192.168.49.31  CC29AB2 
        <\/strong>192.168.49.37  CC29AC2 
        <\/strong>192.168.49.61  CC29AF2 
        <\/strong>…<\/p>\n\n\n\n

        On d\u00e9clare les \u00e9l\u00e9ments \u00e0 rancid : 
        : <\/strong>\/var\/lib\/rancid\/dsi\/router.db<\/strong>CC65P8:cisco:up 
        <\/strong>CC29AB2:cisco:up 
        <\/strong>CC29AC2:cisco:up 
        <\/strong>CC29AF2:cisco:up 
        <\/strong>…<\/p>\n\n\n\n

        3.2.2 ACCES<\/h5>\n\n\n\n

        La configuration des acc\u00e8s se fait dans fichier .cloginrc le homedir de l\u2019utilisateur rancid :<\/strong>$ mkdir .cloginrc 
        <\/strong>$ chmod 600 ~\/.cloginrc
        : <\/strong>\/home\/rancid\/.cloginrc<\/strong>add user cc65p8 {user} 
        <\/strong>add method cc65p8 {ssh} 
        <\/strong>add password cc65p8 {XXXX} {YYYY} 
        <\/strong>
        <\/strong>add password cc29ab2 {XXXX} {YYYY} 
        <\/strong>
        <\/strong>add user cc29ac2 {user} 
        <\/strong>add password cc29ac2 {XXXX} {YYYY}<\/p>\n\n\n\n

        Dans cet exemple, 3 \u00e9l\u00e9ments sont configur\u00e9s :<\/p>\n\n\n\n

        1. cc65p8 : acc\u00e8s via ssh avec l\u2019utilisateur user et le mot de passe XXXX. YYYY repr\u00e9sente le mot de passe enable<\/li>
        2. cc29ab2 : acc\u00e8s via telnet avec le mot de passe XXXX, et le mot de passe enable YYYY<\/li>
        3. cc29ac2 : acc\u00e8s via telnet avec l\u2019utilisateur user et le mot de passe XXXX. YYYY repr\u00e9sente le mot de passe enable<\/li><\/ol>\n\n\n\n

          3.3 MIROIR<\/h4>\n\n\n\n

          La DSI dispose d\u00e9j\u00e0 d\u2019un serveur subversion.<\/p>\n\n\n\n

          L\u2019id\u00e9e est de cr\u00e9er un miroir du d\u00e9p\u00f4t g\u00e9r\u00e9 par rancid sur le serveur SVN officiel.<\/p>\n\n\n\n

          Pour r\u00e9aliser cela, plusieurs op\u00e9rations sont n\u00e9cessaires sur le SVN officiel (le miroir) :<\/p>\n\n\n\n

          1. on cr\u00e9e un utilisateur rancid qui va se connecter sur le serveur du m\u00eame nom, via une cl\u00e9 SSH.<\/li>
          2. on cr\u00e9e ensuite le d\u00e9p\u00f4t qui servira de miroir (qui appartient \u00e0 l\u2019utilisateur rancid)<\/li>
          3. on r\u00e8gle les droits d\u2019acc\u00e8s aux utilisateurs via apache<\/li><\/ol>\n\n\n\n
            3.3.1 ETAPE 1 : UTILISATEUR RANCID<\/h5>\n\n\n\n

            Sur le SVN officiel, on cr\u00e9e l\u2019utilisateur rancid ainsi que ses cl\u00e9s ssh de connexion :<\/strong># adduser rancid 
            <\/strong>Ajout de l\u2019utilisateur \u2019rancid … 
            <\/strong>Ajout du nouveau groupe \u2019rancid\u2019 (1002) … 
            <\/strong>Ajout du nouvel utilisateur \u2019rancid\u2019 (1002) avec le groupe \u2019rancid\u2019 … 
            <\/strong>Creation du repertoire personnel \u2019\/home\/rancid\u2019… 
            <\/strong>Copie des fichiers depuis \u2019\/etc\/skel\u2019… 
            <\/strong>Entrez le nouveau mot de passe UNIX : 
            <\/strong>Retapez le nouveau mot de passe UNIX : 
            <\/strong>passwd : le mot de passe a ete mis a jour avec succes 
            <\/strong>Modification des informations relatives a l\u2019utilisateur rancid 
            <\/strong>Entrez la nouvelle valeur ou \u2019Entree\u2019 pour conserver la valeur proposee 
            <\/strong>        Nom complet []: 
            <\/strong>        N de bureau []: 
            <\/strong>        Telephone professionnel []: 
            <\/strong>        Telephone personnel []: 
            <\/strong>        Autre []: 
            <\/strong>Cette information est\u2212elle correcte ? [O\/n]O 
            <\/strong># su rancid 
            <\/strong>$ ssh\u2212keygen 
            <\/strong>Generating public\/private rsa key pair. 
            <\/strong>Enter file in which to save the key (\/home\/rancid\/.ssh\/id_rsa): 
            <\/strong>Created directory \u2019\/home\/rancid\/.ssh\u2019. 
            <\/strong>Enter passphrase (empty for no passphrase): 
            <\/strong>Enter same passphrase again: 
            <\/strong>Your identification has been saved in \/home\/rancid\/.ssh\/id_rsa. 
            <\/strong>Your public key has been saved in \/home\/rancid\/.ssh\/id_rsa.pub. 
            <\/strong>The key fingerprint is: 
            <\/strong>a1:eb:88:42:6a:5c:12:38:fc:20:a5:fc:09:20:85:db rancid@subversion 
            <\/strong>The key\u2019s randomart image is: 
            <\/strong>+\u2212\u2212\u2212[RSA 2048]\u2212\u2212\u2212\u2212+ 
            <\/strong>| o.              | 
            <\/strong>|+ .              | 
            <\/strong>|\u2217=      .        | 
            <\/strong>|\u2217\u2217E    . .       | 
            <\/strong>|..\u2217 . . S        | 
            <\/strong>| o =   .         | 
            <\/strong>|+ o   .          | 
            <\/strong>|oo . o           | 
            <\/strong>|… . .          | 
            <\/strong>+\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212\u2212+ 
            <\/strong>$ ssh\u2212copy\u2212id \u2212i ~\/.ssh\/id_rsa.pub rancid@rancid.infra.up8 
            <\/strong>The authenticity of host \u2019rancid.infra.up8 (192.168.0.215)\u2019 can\u2019t be established. 
            <\/strong>ECDSA key fingerprint is c4:c0:11:79:5c:cb:3c:4b:da:2b:89:39:f9:bd:5b:5d. 
            <\/strong>Are you sure you want to continue connecting (yes\/no)? yes 
            <\/strong>\/usr\/bin\/ssh\u2212copy\u2212id: INFO: attempting to log in with the new key(s), to filter out any 
            <\/strong>\/usr\/bin\/ssh\u2212copy\u2212id: INFO: 1 key(s) remain to be installed \u2212\u2212 
            <\/strong>rancid@rancid.infra.up8\u2019s password: 
            <\/strong>
            <\/strong>Number of key(s) added: 1 
            <\/strong>
            <\/strong>Now try logging into the machine, with:   \u00ab\u00a0ssh \u2019rancid@rancid.infra.up8\u2019\u00a0\u00bb 
            <\/strong>and check to make sure that only the key(s) you wanted were added.<\/p>\n\n\n\n

            A ce stade, l\u2019utilisateur rancid peut se connecter sur le serveur rancid.<\/p>\n\n\n\n

            Pour plus de s\u00e9curit\u00e9, nous allons restreindre l\u2019acc\u00e8s sur le d\u00e9p\u00f4t rancid \u00e0 la seule commande dont l\u2019officiel ait besoin. La commande en question est \u2019svnserve -t\u2019, nous allons utiliser les possibilit\u00e9s de SSH pour cela en modifiant le fichier : 
            : <\/strong>\/home\/rancid\/.ssh\/authorized_keys<\/strong>command=\u00a0\u00bbsvnserve \u2212t\u00a0\u00bb ssh\u2212rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCiB\\ 
            <\/strong>XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXk0HnfJsW73 rancid@subversion<\/p>\n\n\n\n

            Avec cette m\u00e9thode, \u2019svnserve -t\u2019 sera syst\u00e9matiquement utilis\u00e9e lors d\u2019une connexion avec la cl\u00e9 de l\u2019utilisateur rancid sur le serveur officiel.<\/p>\n\n\n\n

            3.3.2 ETAPE 2 : CREATION DU DEPOT<\/h5>\n\n\n\n

            Sur le serveur officiel, on cr\u00e9e le d\u00e9p\u00f4t :<\/strong># svnadmin create \/home\/svn\/Rancid<\/p>\n\n\n\n

            Certaines op\u00e9ration sur les propri\u00e9t\u00e9s des r\u00e9visions seront chang\u00e9es lors de la synchronisation, il peut donc \u00eatre bienvenu de restreindre ces op\u00e9rations sur le d\u00e9p\u00f4t.<\/p>\n\n\n\n

            Pour ce faire, on cr\u00e9e le fichier : 
            : <\/strong>\/home\/svn\/Rancid\/hooks\/pre-revprop-change<\/strong>#!\/bin\/sh 
            <\/strong>USER=\u00a0\u00bb$3″ 
            <\/strong>
            <\/strong>if [ \u00ab\u00a0$USER\u00a0\u00bb = \u00ab\u00a0rancid\u00a0\u00bb ]; then exit 0; fi 
            <\/strong>
            <\/strong>echo \u00ab\u00a0Only the rancid user can change revprops\u00a0\u00bb >&2 
            <\/strong>exit 1 
            <\/strong>EOF<\/p>\n\n\n\n

            Sur le serveur officiel, on place les droits d\u2019acc\u00e8s, on initialise le d\u00e9p\u00f4t et on synchronise :<\/strong># chmod +x \/home\/svn\/Rancid\/hooks\/pre\u2212revprop\u2212change 
            <\/strong># chown \u2212Rf rancid \/home\/svn\/Rancid 
            <\/strong># su rancid 
            <\/strong>$ svnsync init \u2212\u2212username rancid file:\/\/\/\/home\/svn\/Rancid \\ 
            <\/strong>     svn+ssh:\/\/rancid@rancid.infra.up8\/var\/lib\/rancid\/SVN 
            <\/strong>Proprietes copiees pour la revision 0. 
            <\/strong>$ svnsync sync \u2212\u2212username rancid file:\/\/\/home\/svn\/Rancid 
            <\/strong>Revision 1 propagee. 
            <\/strong>Proprietes copiees pour la revision 1. 
            <\/strong>Revision 2 propagee. 
            <\/strong>Proprietes copiees pour la revision 2. 
            <\/strong>Transmission des donnees . 
            <\/strong>Revision 3 propagee. 
            <\/strong>$<\/p>\n\n\n\n

            Il n\u2019y a plus qu\u2019\u00e0 placer le crontab sur le serveur officiel : 
            : <\/strong>\/etc\/crontab<\/strong># Synchronisation RANCID 
            <\/strong>45 \u2217\/3 \u2217 \u2217 \u2217    rancid svnsync sync \u2212\u2212username rancid file:\/\/\/home\/svn\/Rancid<\/p>\n\n\n\n

            3.3.3 ETAPE 3 : ACCES APACHE<\/h5>\n\n\n\n

            Sur le serveur d\u00e9p\u00f4t officiel, apache g\u00e8re les droits d\u2019acc\u00e8s aux d\u00e9p\u00f4ts.<\/p>\n\n\n\n

            Pour le nouveau d\u00e9p\u00f4t Rancid cr\u00e9\u00e9, il faut :<\/p>\n\n\n\n

            1. autoriser apache \u00e0 acc\u00e8der au d\u00e9p\u00f4t (poss\u00e9d\u00e9 par l\u2019utilisateur rancid) : 
              usermod www-data -G rancid<\/li>
            2. modifier les droits d\u2019acc\u00e8s<\/li><\/ol>\n\n\n\n

              : <\/strong>\/etc\/apache2\/dav_svn.authz<\/strong>[Rancid:\/] 
              <\/strong>mfortier = r 
              <\/strong>hmr = r 
              <\/strong>dcamerol = r 
              <\/strong>ggeniaut = r 
              <\/strong>obia = r 
              <\/strong>fprovin = r 
              <\/strong>ttian\u2212sio\u2212po = r 
              <\/strong>tchambon = r 
              <\/strong>lotfi = r 
              <\/strong>\u2217 =<\/p>\n\n\n\n

              Une fois apache relanc\u00e9, l\u2019utilisateur connect\u00e9 peut visualiser les derni\u00e8res configurations des \u00e9l\u00e9ments r\u00e9seau.<\/p>\n\n\n\n

              4 UTILISATION<\/h3>\n\n\n\n

              4.1 RECUPERATION DES CONFIGURATIONS<\/h4>\n\n\n\n

              L\u2019utilisateur rancid peut lancer la r\u00e9cup\u00e9ration des configurations des \u00e9l\u00e9ments actifs via la commande :<\/strong>$ \/usr\/lib\/rancid\/bin\/rancid\u2212run<\/p>\n\n\n\n

              Dans la pratique, on automatise cette r\u00e9cup\u00e9ration toutes les 3h via crontab : 
              : <\/strong>\/etc\/crontab<\/strong>… 
              <\/strong># RANCID 
              <\/strong>0 \u2217\/3  \u2217 \u2217 \u2217  rancid\/usr\/lib\/rancid\/bin\/rancid\u2212run<\/p>\n\n\n\n

              4.2 EXECUTIONS DE SCRIPTS<\/h4>\n\n\n\n

              Rancid ne permet pas seulement de r\u00e9aliser des sauvegardes, mais \u00e9galement d\u2019envoyer des commandes aux mat\u00e9riels r\u00e9seau, via clogin<\/strong>.<\/p>\n\n\n\n

              La suite du chapitre pr\u00e9sente quelques exemples.<\/p>\n\n\n\n

              4.2.1 BLOCAGE D\u2019ADRESSES MAC<\/h5>\n\n\n\n

              Exemple de script de blocage d\u2019une adresse MAC sur l\u2019ensemble des switchs : 
              : <\/strong>block_mac.sh<\/strong>#!\/bin\/bash 
              <\/strong>
              <\/strong># Lecture de chaque switch 
              <\/strong>for switch in $(cat switchs.txt); do 
              <\/strong>  echo \u00ab\u00a0#############################################\u00a0\u00bb 
              <\/strong>  echo \u00ab\u00a0### $switch\u00a0\u00bb 
              <\/strong>  cmd=\u00a0\u00bbconf t;no mac access\u2212list extended BLOCK\u2212PC;mac access\u2212list extended BLOCK\u2212PC\u00a0\u00bb 
              <\/strong>
              <\/strong>  # Lecture du fichier de mac interdite 
              <\/strong>  for mac in $(cat mac_interdite.txt); do 
              <\/strong>    cmd=\u00a0\u00bb$cmd ; deny   host $mac any\u00a0\u00bb 
              <\/strong>  done 
              <\/strong>  cmd=\u00a0\u00bb$cmd ; permit any any;exit;do wr mem;exit\u00a0\u00bb 
              <\/strong>  \/usr\/lib\/rancid\/bin\/clogin \u2212t 90 \u2212c\u00a0\u00bb$cmd\u00a0\u00bb $switch 
              <\/strong>done
              : <\/strong>mac_interdite.txt<\/strong>0019.b954.1b01 
              <\/strong>24b6.fd16.6410 
              <\/strong>c82a.1454.8235
              : <\/strong>switchs.txt<\/strong>sw\u2212a100 
              <\/strong>sw\u2212a200 
              <\/strong>sw\u2212a300 
              <\/strong>sw\u2212a400 
              <\/strong>sw\u2212b100<\/p>\n\n\n\n

              4.2.2 LECTURE DES DESCRIPTIONS<\/h5>\n\n\n\n

              : <\/strong>getDescription.sh<\/strong>#!\/bin\/bash 
              <\/strong>
              <\/strong>function usage(){ 
              <\/strong>  echo \u00ab\u00a0USAGE : getDescription switch\u00a0\u00bb; 
              <\/strong>} 
              <\/strong>
              <\/strong>if [ $# \u2212ne 1 ]; then 
              <\/strong>  usage 
              <\/strong>  exit 0 
              <\/strong>fi 
              <\/strong>
              <\/strong>\/usr\/lib\/rancid\/bin\/clogin \u2212t 90 \u2212c\u00a0\u00bbsh ru brief | begin interface\u00a0\u00bb $1<\/p>\n\n\n\n

              4.2.3 RECHERCHE D\u2019UNE ADRESSE MAC<\/h5>\n\n\n\n

              : <\/strong>search_mac.sh<\/strong>#!\/bin\/bash 
              <\/strong>
              <\/strong># Recherche d\u2019une adresse mac 
              <\/strong>
              <\/strong>if [ \u00ab\u00a0$1\u00a0\u00bb == \u00ab\u00a0\u00a0\u00bb ]; then 
              <\/strong>        echo \u00ab\u00a0Entrez l\u2019adresse MAC au format cisco \u2217\u2217\u2217\u2217.\u2217\u2217\u2217\u2217.\u2217\u2217\u2217\u2217\u00a0\u00bb 
              <\/strong>        exit 0 
              <\/strong>fi 
              <\/strong># Lecture de chaque switch 
              <\/strong>for switch in $(cat switchs.txt); do 
              <\/strong>        echo \u00ab\u00a0#############################################\u00a0\u00bb 
              <\/strong>        echo \u00ab\u00a0### $switch\u00a0\u00bb 
              <\/strong>        cmd=\u00a0\u00bbsh mac address\u2212table | include $1″ 
              <\/strong>        \/usr\/local\/metrologie\/rancid\/bin\/clogin \u2212t 90 \u2212c\u00a0\u00bb$cmd\u00a0\u00bb $switch 
              <\/strong>done
              : <\/strong>switchs.txt<\/strong>sw\u2212a100 
              <\/strong>sw\u2212a200 
              <\/strong>sw\u2212a300 
              <\/strong>sw\u2212a400 
              <\/strong>sw\u2212b100\n\n<\/p>\n","protected":false},"excerpt":{"rendered":"

              Cet article\/documentation a \u00e9t\u00e9 faite avec un coll\u00e8gue de l’Universit\u00e9 Paris 8. Ce coll\u00e8gue disparu aujourd’hui, je d\u00e9sirais publier cette…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[],"_links":{"self":[{"href":"http:\/\/blog.nosland.com\/index.php?rest_route=\/wp\/v2\/posts\/87"}],"collection":[{"href":"http:\/\/blog.nosland.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.nosland.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.nosland.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.nosland.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=87"}],"version-history":[{"count":1,"href":"http:\/\/blog.nosland.com\/index.php?rest_route=\/wp\/v2\/posts\/87\/revisions"}],"predecessor-version":[{"id":88,"href":"http:\/\/blog.nosland.com\/index.php?rest_route=\/wp\/v2\/posts\/87\/revisions\/88"}],"wp:attachment":[{"href":"http:\/\/blog.nosland.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=87"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.nosland.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=87"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.nosland.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=87"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}