3 - Configuration de SME Server ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ 3.1 - Console du serveur ------------------------ Cette console permet de configurer le fonctionnement de base du serveur. Peu d'éléments sont définis ici, mais ce sont eux qui vont pouvoir modifier radicalement le fonctionnement du serveur. Pour accéder à cette console, je vous renvoie au chapitre §3.1, l'accès étant possible depuis le serveur en local ou à distance (depuis le réseau local ou Internet, suivant la configuration) via SSH. Il serait trop long de détailler ici toutes les options de cette console. Je vous renvoie donc vers mon site pour de plus amples détails : http://smeserver.fr/console.php 3.2 - Gestionnaire du serveur ----------------------------- Le gestionnaire du serveur, également appelé server-manager ou tout simplement manager permet la configuration des différents services disponibles sous SME, la gestion des sites, des groupes, des utilisateurs, la visualisation des fichiers de log, etc. Ce gestionnaire du serveur est accessible depuis la console du serveur, mais cette utilisation est très peu pratique. Il vaut mieux l'exploiter depuis le réseau local, tel que décrit dans le chapitre §3.2 ou via Internet dans le chapitre §3.3 Tout comme pour la console du serveur, je préfère vous renvoyer vers mon site pour avoir les détails concernant ce gestionnaire du serveur : http://smeserver.fr/manager.php 3.3 - MySQL ----------- En fonction de l'utilisation que vous avez de votre serveur, vous pouvez avoir besoin d'exploiter des bases de données. Or, par défaut, seul le compte root a accès au service MySQL. Comme celui-ci ne doit être utilisé QUE pour faire de l'administration du service MySQL, je vous recommande très vivement de créer des utilisateurs MySQL en suivant les explications données dans mon site : http://smeserver.fr/astuces.php?astuce=mysql_users_create 4 - Accès à SME Server ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ 4.1 - En local -------------- Par défaut, seuls les comptes admin et root peuvent ouvrir une session sur le serveur, que ce soit en local ou à distance. Ils sont tous deux configurés avec le même mot de passe, défini lors de l'installation. Le compte admin ouvre directement la console du serveur (cf. §3.1). Pour qu'un utilisateur "standard" puisse se connecter, il faut lui assigner un nouveau shell. Par exemple, pour un utilisateur toto déjà créé, il faudrait ouvrir une session en root et taper : db accounts setprop toto Shell /bin/bash signal-event user-modify toto 4.2 - Depuis le réseau local ---------------------------- Il existe de nombreuses façons de se connecter au serveur depuis le réseau local. Je vais donc essayer de ne pas en oublier... *) Gestionnaire du serveur (server-manager) : l'accès se fait avec un navigateur Internet en allant à l'une de ces adresses : https://ADRESSE_IP_DU_SERVEUR/server-manager https://NOM_DU_SERVEUR/server-manager Pour pouvoir y accéder, il faut s'authentifier avec le compte admin et son mot de passe défini lors de l'installation du serveur. *) Gestionnaire de mots de passe (user-password) : là encore, il s'agit d'une interface Web permettant aux utilisateurs reconnus de changer leur mot de passe de connexion. On y accède avec un navigateur Internet par l'une de ces adresses : https://ADRESSE_IP_DU_SERVEUR/user-password https://NOM_DU_SERVEUR/user-password *) SSH (Secured SHell) : Cela permet d'ouvrir un terminal sur le serveur, un peu comme nous l'avons vu au chapitre précédent (§3.1), sauf que là, c'est à distance et que le transfert d'information entre les deux machines est sécurisé (crypté en temps réel). Pour pouvoir utiliser cette fonctionnalité, vous devrez autoriser l'accès SSH depuis le gestionnaire du serveur, dans la page "Accès à distance" et utiliser un client SSH pour vous connecter. Sous Windows, il existe un très bon client SSH nommé PuTTY (gratuit, très léger et sans installation) : http://www.chiark.greenend.org.uk/~sgtatham/putty/ Il suffit de l'exécuter, de lui indiquer le nom ou l'adresse IP du serveur et le protocole utilisé (SSH ou port 22). Ensuite, il vous demandera un nom d'utilisateur et son mot de passe pour pouvoir ouvrir une session. Pour accroître le niveau de sécurité, il est recommandé d'utiliser des paires de clé SSH, tel qu'indiqué dans cette page : http://smeserver.fr/astuces.php?astuce=net_ssh_keys *) HTTP : toutes les machines peuvent accéder au site primaire de SME. En revanche, il est possible de définir des restrictions sur les i-bays du serveur afin d'obliger les utilisateurs à s'authentifier pour avoir accès à leur contenu (un peu à la manière de l'authentification pour l'accès au gestionnaire de serveur). *) FTP : ce protocole vous permet de faire des transferts de fichiers entre un ordinateur et le serveur. Vous devrez configurer l'accès FTP depuis le gestionnaire de serveur, dans la page "Accès à distance" et utiliser un client FTP pour accéder à vos données et les transférer. Pour pouvoir envoyer des fichiers vers le serveur, vous devrez vous authentifier avec un nom d'utilisateur et son mot de passe reconnu du système. Seul admin a un accès en écriture à l'ensemble des partages FTP : les utilisateurs "standard" et les i-bays sont cantonnés à leurs répertoires respectifs. *) SMTP : pour l'envoi de tous vos couriels vers Internet, je vous recommande d'utiliser le serveur SMTP de votre serveur SME plutôt que celui de votre FAI. Cette procédure peut même s'avérer indispensable puisque les machines situées derrière le serveur SME ont des adresses privées (non délivrables et non reconnues par votre fournisseur d'accès). Les messages envoyés depuis ces machines sont donc vus comme n'étant pas originaires d'un client du FAI et sont alors refusés (relaying not allowed). Pour utiliser le SMTP de SME, dans votre client de messagerie, il suffit d'indiquer l'adresse IP ou le nom canonique de votre serveur dans le champ SMTP de chacun de vos comptes. Vous n'avez même pas à indiquer de compte d'utilisateur pour exploiter cette fonctionnalité. *) POP3/IMAP : tous les utilisateurs créés sous SME disposent par défaut d'une boite de messagerie sur laquelle il est possible de leur envoyer du courrier. En fait, chaque utilisateur dispose de trois adresses de messagerie pointant vers la même boite : compte@VOTRE_DOMAINE.TRUC, prenom.nom@VOTRE_DOMAINE.TRUC et prenom_nom@VOTRE_DOMAINE.TRUC Tous vos utilisateurs peuvent donc utiliser ces adresses à leur convenance pour recevoir du courrier depuis n'importe où. Il suffit pour cela de configurer les clients de messagerie pour accéder aux boites aux lettres en POP3 ou en IMAP, selon vos préférences. A noter que admin dispose également d'une boite de messagerie sur laquelle le système peut envoyer des messages en cas, par exemple, de dysfonctionnement d'un programme. Je vous recommande donc de vérifier régulièrement sa boite de messagerie. *) WebMail : il s'agit d'une interface Web que vous pouvez activer depuis le gestionnaire de serveur dans la page "Messagerie électronique". Pour accéder à leur compte de messagerie, vos utilisateurs auront juste à utiliser un navigateur Web et à aller à l'une de ces adresses : https://ADRESSE_IP_DU_SERVEUR/webmail https://NOM_DU_SERVEUR/webmail Il suffit alors d'indiquer le nom de compte de l'utilisateur et son mot de passe. Ensuite, je vous laisse découvrir l'interface et étudier la documentation propre à IMP si vous rencontrez des problèmes. *) Samba : SME permet de fonctionner comme un serveur de fichier type Windows NT en offrant même la possibilité de fonctionner en serveur de domaine (l'authentification sur le réseau est centralisée sur le serveur). A partir du moment où vous êtes authentifié sur le domaine "Windows" avec un nom d'utilisateur et un mot de passe reconnu par SME, vous aurez accès aux ressources partagées par Samba (fichiers et imprimantes). Cette authentification se fait généralement à l'ouverture de Windows, si vous l'avez configuré, de façon à spécifier vos nom d'utilisateur et mot de passe pour ouvrir une session sur la machine ou sur le domaine. *) Netatalk : si vous avez sur votre réseau des Macintosh fonctionnant sous Mac OS versions 7, 8 ou 9, ils peuvent avoir accès aux données partagées du serveur via ce protocole. A noter qu'avec Mac OS X il est préférable d'utiliser Samba. *) Proxy : il ne s'agit pas vraiment d'un accès au même sens que ce que nous venons de voir, mais je pense nécessaire d'en parler un peu. Par défaut, les service proxy HTTP et SMTP de SME sont actifs et transparents, c'est à dire, qu'on le veuille ou non, on passe forcément par eux. Il est possible de modifier cette caractéristique en allant dans le gestionnaire du serveur, à la rubrique "Services Proxy". 4.3 - Depuis Internet --------------------- Ces connexions sont bien sûr possible uniquement dans le cas où le serveur est accessible, au moins en partie (dans le cas où il serait situé en DMZ), depuis Internet. *) Gestionnaire de serveur et gestionnaire de mot de passe : ils sont inaccessibles directement, pour d'évidentes raisons de sécurité. Il est néanmoins possible d'ouvrir ces pages si l'on crée un VPN (réseau privé virtuel) en PPTP ou IPSec ou si l'on crée un tunnel SSH. Pour le tunnel SSH, l'accès SSH doit être préalablement autorisé dans le gestionnaire de serveur. Sous Windows, nous pouvons utiliser PuTTY pour ouvrir le tunnel. On lui indique le nom ou l'adresse IP du serveur, le protocole SSH (ou le numéro du port dédié au service SSH) et ensuite, dans le menu de gauche, on va dans 'Connection' - 'SSH' - 'Tunnels'. Dans 'Source port', il faut indiquer "443" (sans les guillemets), dans 'Destination', indiquer "localhost:443" (toujours sans les guillemets) et cliquer ensuite sur Add. Dans 'Forwarded ports', vous pouvez voir une nouvelle entrée du genre : L443 localhost:443 Vous devez alors vous identifier avec le compte admin ou root. Dès que la session est ouverte, le tunnel l'est aussi. Sous Linux ou MacOS X, il faut ouvrir le tunnel en ligne de commande : ssh -L 443:localhost:443 root@ADRESSE_IP_DU_SERVEUR Vous pouvez alors exploiter le gestionnaire avec votre navigateur Internet en allant sur la page : https://localhost/server-manager Authentifiez-vous admin et vous aurez l'agréable surprise de découvrir votre gestionnaire sur votre machine locale ! N'oubliez pas de fermer le tunnel SSH, en vous déconnectant, dès que vous aurez fini d'utiliser le gestionnaire. Une autre solution consiste à ajouter une ou plusieurs classe(s) d'adresse(s) IP autorisée(s) à accéder au gestionnaire de serveur de SME. Cette option se trouve dans le chapitre "Gestion à distance" de la page "Accès à distance" dans le gestionnaire de serveur. Ainsi, si vous disposez d'une adresse IP fixe et que vous souhaitez accéder simplement au gestionnaire de serveur d'un serveur SME distant, il vous suffit d'ajouter votre adresse IP fixe avec un masque de sous- réseau égal à 255.255.255.255 Enfin, si vous êtes connecté à votre réseau local via un VPN, vous pouvez accéder au gestionnaire de la même façon que si vous étiez connecté localement à votre réseau. *) SSH, FTP et POP3/IMAP/SMTP sont accessibles de la même façon que si vous étiez sur le réseau local, si vous en avez autorisé l'accès depuis l'extérieur (accès public). A noter que ceci n'est vrai pour les services de messagerie que s'ils sont configurés avec les protocoles sécurisés (POP3S, IMAPS, SSMTP). *) HTTP et WebMail sont accessible de la même façon que depuis le réseau local (sauf configurations particulières des i-bays). *) Samba n'est pas accessible depuis Internet, sauf dans le cas où l'on crée un accès VPN (en PPTP ou IPSec) avec le serveur SME. Ce type de configuration dépassant le cadre de cette FAQ, je ne le traite pas ici.