Communications client-serveur lors de l'installation » Historique » Révision 8
Révision 7 (Christophe Martin, 21/09/2010 07:07) → Révision 8/10 (Christophe Martin, 21/09/2010 07:32)
h1. Communications client-serveur lors de l'installation
Dans le principe :
Tout démarre sur le client.
L'application, le script de setup, le paquet, est appelé « le setup » ci après.
Le setup crée si besoin un utilisateur local @bckpciuem@ et lui donne les privilèges suffisants pour qu'il puisse faire les sauvegardes et les restaurations. Cet utilisateur a dans son home un script spécial appelé @rsyncsend.sh@
le setup contient une clef secrète ssh appelée @register-key@
Le setup obtient de manière interactive le logon de l'utilisateur principal de l'ordinateur (logon défini dans l'annuaire LDAP).
Le setup fait une connexion ssh
* au serveur de sauvegarde,
* en utilisant le clef secrete @register-key@
* vers le compte @backuppc@
* demande l'exécution d'une hypothétique commande de la forme OS:logon
Le serveur exécute alors une commande spéciale associée à la clef secrete, sous le compte backuppc.
Cette commande récupère le paramètre OS:logon via la variable d'environnement SSH_ORIGINAL_COMMANDE, passée par sshd
Cette commande effectue alors toute une série de vérifications sur le client, l'OS demandé et le logon, etc... et si tout va bien répond :
<pre>
success
</pre>
Sur la première ligne.
NB Tout autre réponse du serveur doit être considérée comme un message d'erreur. +L'ensemble de cette ligne et les suivantes constituent alors le message d'erreur+.
Quand la première ligne est « @success@ » viennent ensuite dans un ordre non spécifié des lignes de la forme @mot-clef:valeur@. pour l'instant sont définis les mots-clef suivants :
* @key@ Il s'agit de la clef publique correspondant à la clef privée utilisée par le serveur pour effectuer les sauvegardes. Cette clef devra être utilisée dans le fichier @~bckpciuem/authorized_keys@ pour affecter les connexions du serveur à la commande de backup/restauration « @rsyncsend.sh@ »
* @url@ L'URL que l'utilisateur doit visiter pour personnaliser ses sauvegardes.
Le setup sur le client analyse la réponse du serveur et prend les mesures qui s'imposent. Au minimum, la clef ssh publique doit être associée à la commande @rsyncsend.sh@ de l'utilisateur local @bckpciuem@
h1. exemple de commande et dialogue
<pre>
su bckpciuem -c "env SSH_AUTH_SOCK= ssh -x -a -i register-key -l backuppc dugong mac:cmartin" >"/tmp/resultat.$$" 2>&1
</pre>
Le serveur répond
<pre>
success
url: http://dugong.univ-brest.fr/backuppc/?host=dormeur
key: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDEBV4umLQWumkHBgznsLNaNZn9pxkLpmPWO09Sqft7OFX/HUcfOF040nscxu7MyMI4Y8TzhMGDtMertYo+PdGTEfg1qyjPgUrH4xLoyiBJ6ygsZiw6YK7IsBPgmGXlHMgBciJnJMaNAyOvLIPxua34Nxp1QmY3i0hiqO/qU5jtIp4nXSFIIvd+1ql/kvO4GDKtSGsiEpgmduOxWX1Z9cYa/F0TAPScJ5cHIO6FmeePC8xIaBEsaunFQt3XfFydVCnap97YUY9gbN6tnUhmb3T9/W9LMkgm8CfR1cbZTSX6xcjs+Za/ALKizMvV6750eqczXqg+nUIjb5Rnf2F7W/0z backuppc server to client dormeur ssh key"
</pre>
h1. Messages d'erreurs
Les messages d'erreurs commencent toujours par la variable SSH_CONNECTION qui contient les adresses et ports sources et destinations de la connexion ssh.
exemple
<pre>
82.254.212.144 49631 134.158.240.3 22
</pre>
Les messages d'erreurs se retrouvent systématiquement dans le journal système. Il sont émis avec la structure @local3@, le niveau varie de @notice@ à @err@
La plupart des messages d'erreurs sont faciles à comprendre. certains autres sont plus difficiles les voici :
* @ostype is unknown@ la commande passée par ssh est non vide mais n'est pas de la forme OS:xxxx ou OS ne fait pas partie des choses reconnues par le serveur. Le prblème se trouve dans le setup du client qui ne lance pas la bonne commande ssh.
* @ bad user request :@ Le logon passé au serveur dans la commande @OS:logon@ par le setup du client n'existe pas dans l'annuaire LDAP de l'IUEM. L'utilisateur s'est sans doute trompé en donnant son identifiant.
* @invalid DNS name for this IP@ le PTR de l'adresse IP du client n'est pas une adresse en @.univ-brest.fr.@. Ceci ne devrait jamais se produire
* @refusing to re-register client host with username@ La machine client est déjà enregistrée sur le serveur mais avec un autre nom d'utilisateur que celui demandé cette fois ci. Pour éviter le vol de sauvegarde par usurpation d'identité, On refuse cette opération. il faut alors intervenir sur le serveur pour régler le problème. (Par exemple: effacer les anciennes sauvegardes et manuellement retirer la machine du fichier hosts)
* @Could not register@ Le serveur est très mal en point car un simple "echo ...... >>..../hosts" n'a pas pu être effectué. Soit il manque de place, soit les permissions ne sont pas bonnes sur le serveur.
* @could not generate config file.@ Le serveur est très mal en point. Il est impossible de créer un fichier temporaire de quelques dizaines octets.