Je suis en ce moment en train de bidouiller avec le DHCP implémenté chez Debian via le paquet isc-dhcp-server.

Ce service DHCP est capable de reconnaitre les clients provenant des endroits suivants :

- Boot PXE d'une machine sans EFI
- Boot PXE d'une machine avec EFI
- Demande de DHCP classique via la procédure de handshake classique du DHCP.

Après, je ne sais pas si isc-dhcp-server gère les évènements LDAP mais ça serait intéressant de regarder ça en effet.

Je ne sais même pas si mes infos te servent à quelque chose du coup

Par curiosité, tu utilise des machines sous Linux avec PAM ? Si oui quelle distro ?

Et est ce que tu veux modifier ton serveur DHCP pour avoir un système d' authentification AAA plus précis ?

Nh3xus on peut faire un pxe avec rasberry pi sans problème?

Ouais bien sur Dauh, mais si tu veux que les PC qui bootent par PXE aient accès à Internet, il te faut arrêter le serveur DHCP de ta box avant de lancer le service de DHCP de ton Pi.

Sinon, c'est le joyeux bordel

Et question puissance, le Pi risque d'être un peu lent au niveau du CPU car même si les images ISO sont chargés dans la RAM du PC distant, les logiciels que tu lances et etc, sont calculé par le CPU du Pi. Donc avec un seul client PXE ça devrait passer. Mais avec plus de clients, c'est un peu le bordel du coup. Sauf pour les ISO de netinstall.

Moi j'ai utilisé un PC que l'on m'a donné simplement pour avoir la possibilité d'installer une deuxième carte réseau et donc, avoir un serveur DHCP spécial PXE qui ne rentre pas en conflit avec celui de la box.

Mais c'est tout à fait possible de "faire sans".

Ya justement quelques éléments qu'il faut prendre en compte au niveau de ton réseau local.

Ah, et la plupart des serveurs PXE que j'ai pu voir fonctionnent avec pxelinux. Comme je ne connais pas ce bootloader, j'utilise Grub2 à la place.

C'est fou ce que ce truc est puissant.

Ouais je savais qu'on pouvait faire les deux en parallèle, possibilité de m'envoyer un pastebin de ta config? Je peux peut être essayer d'adapter ça sur LDAP.

Sinon oui on utilise PAM pour les authentification LDAP avec nslcd, pour les distributions ça varie. J'ai un hôte de virtualisation sans nslcd sous Scientific Linux et 3 machines virtuelles (une Archlinux [ ],une Debian et une Scientific Linux) toutes sous nslcd. Avec un filtre, seuls les utilisateurs membre du groupe ssh sont assimilés à des utilisateurs POSIX. On a le groupe sudo sur le LDAP aussi

Nh3xus Impossible, mon père va être parano

Sinon un système AAA sur dhcp? J'ai pas compris

Dauh

JameeGourmand Vu comment c'est un peu chiant à mettre en place, ça ne me dérange absolument pas de partager une configuration avec toi \ /

Mais je doute que ça te sois utile parce que je n'ai pas une conf aussi pointue que ce que l'on peut avoir besoin en entreprise.

Bricoler à la maison c'est bien, mais t'arrive pas à refaire une archi d'entreprise complexe facilement sans le matos qui va avec

Laisse moi quelques minutes et je t'envoie ça sur PB.

Oui c'est pas précis.

Je faisais allusion aux systèmes d'authentification de type AAA comme ce qui est proposé chez Cisco via des protocoles réseaux proprios.

Les coupler à un DHCP restrictif permet d'avoir un meilleur contrôle des accès à tes ressources réseaux.

M'enfin faut plus voir ça comme un parallèle entre DHCP et AAA et non y voir un "le DHCP fais partie de l'auth AAA".

C'es mieux ?

Beh rien que le fait de voir le truc ça peut me donner des idées

Et c'est pas vraiment une entreprise, je gère simplement le réseau associatif d'une résidence CROUS. On est raccordé à Internet par le biais de l'Université Paris Sud. Certes ça n'empêche pas qu'on a du matos de pro

J'ai toujours pas compris

Quand tu parles de protocoles tu penses à TACACS(+) ou Radius j'imagine, quel rapport avec dhcp?

Sinon les informations dhcp sont dans le LDAP mais on a aussi une authentification par mac (type AAA donc) avec radius pour mettre les gens pas autorisés dans un vlan guest. Enfin c'est ce qui est censé être Actuellement j'ai un peu de mal à configurer les switches (c'est du cisco assez ancien) pour utiliser radius Mais sinon tout est prêt dans le LDAP et sur le serveur Radius.

comment convaincre mon grand père de ne pas acheter sur darty pour les ordinateur hap:?

Jamee Oui pour l'AAA, je pensais à Radius et TACACS+

Bon, hop voilà ma config toute pourrie :

http://sebsauvage.net/paste/?efb2c34fc82131c6#hy4mEY+lN4biT/SlqgjBjaND2FlhgRab7sxqyPpr+6w=

L'avantage du Radius, c'est que lorsque t'a pas de matos Cisco, bah tu peux quand même faire du l'AAA.

Même si TACACS+ a l'avantage d'être un protocole entièrement chiffré.

Bah TACACS+ est compatible sur pas mal de matos aussi.

Actuellement sur nos switchs y a pas d'AAA, juste un mot de passe. On va les changer bientôt il faut que je réfléchisse à soit mettre une authentification AAA en place soit utiliser des clés ssh. Tacacs nécessite de mettre à jour une base d'utilisateurs à part et Radius ne supporte que les mdp en clairs sur LDAP Y a bien des modules Perl ou Python sur Radius mais très fastidieux à utiliser car peu de doc.

Merci pour ta config mais je vois pas où dhcp fait la différence entre un handshake classique et une requête PXE? Où bien ça se fait tout seul?

Ya un commentaire qui t'explique que c'est un truc prévu mais pas encore tout à fait au point

Le lien qui se trouve dans les commentaire t'ammène sur la partie de conf qui permet de faire ça.

Ce lien est le suivant :
http://lukeluo.blogspot.fr/2013/06/grub-how-to6-pxe-boot.html

Rubrique "UEFI environment"

Je t'avais prévenu

Qu'est-ce qui empêche les clients non-PXE d'ignorer les informations supplémentaires ? Sachant que j'ai besoin que les clients PXE récupèrent une IP en plus, car il faut qu'ils soient autorisés sur le réseau.

Genre en plus de allow bootp je rajoute juste ces options là,

option tftp-server-name "192.168.100.100";
option bootfile-name "/boot/grub/i386-pc/core.0";

Le client PXE devrait récupèrer les deux, et les clients normaux devraient l'ignorer seulement non?

Si c'est juste ça alors c'est trivial et sera intégré au dhcp le mois prochain

Il me suffit d'ajouter ces deux options dans le LDAP Au pire je peux faire des classes (qu'est-ce ça change par rapport aux groupes?) en faisant en sorte que les clients normaux ne reçoivent pas les infos supplémentaires.

J'attendrai d'être sur place pour installer tout ça, j'ai pas envie de casser le dhcp à distance alors qu'il est assez vital

Merci pour ton aide

Ah, bah de rien

Bon courage du coup.

C'est vrai que normalement, on évite de casser la prod'

Je viens de remarquer que si je dumpais tout mes isos, je pouvais jouer sur mon ordinateur avec PPSSPP.