Procédure

1. Ouvrez l'application Settings à partir du menu système en cliquant sur son icône.

   

2. Dans Settings, choisissez Region & Language dans la barre latérale gauche.

3. Cliquez sur le menu Language.

   

4. Sélectionnez la région et la langue souhaitées dans le menu.

   

   Si votre région et votre langue ne figurent pas dans la liste, faites défiler vers le bas et cliquez sur More pour sélectionner l'une des régions et l'une des langues disponibles.

   

5. Cliquez sur Done.

6. Cliquez sur Restart pour que les modifications prennent effet.

   

Procédure

1. Dans la fenêtre Installation Summary, cliquez sur Réseau et nom d'hôte.

2. Dans la liste du volet de gauche, sélectionnez une interface. Les détails s'affichent dans le volet de droite.

   Note

   • Il existe plusieurs types de normes de dénomination des périphériques réseau utilisées pour identifier les périphériques réseau avec des noms persistants, par exemple, em1 et wl3sp0. Pour plus d'informations sur ces normes, voir le Configuring and managing networking document.

3. Basculer l'interrupteur ON/OFF pour activer ou désactiver l'interface sélectionnée.

   Note

   Le programme d'installation détecte automatiquement les interfaces accessibles localement et vous ne pouvez pas les ajouter ou les supprimer manuellement.

4. Cliquez sur pour ajouter une interface réseau virtuelle, qui peut être soit : Team (obsolète), Bond, Bridge ou VLAN.
5. Cliquez sur - pour supprimer une interface virtuelle.
6. Cliquez sur Configurer pour modifier les paramètres tels que les adresses IP, les serveurs DNS ou la configuration du routage pour une interface existante (virtuelle et physique).

7. Saisissez le nom d'hôte de votre système dans le champ Host Name.

   Note

   • Le nom d'hôte peut être un nom de domaine entièrement qualifié (FQDN) au format hostname.domainnameou un nom d'hôte court sans le domaine. De nombreux réseaux disposent d'un service DHCP (Dynamic Host Configuration Protocol) qui attribue automatiquement un nom de domaine aux systèmes connectés. Pour permettre au service DHCP d'attribuer le nom de domaine à ce système, indiquez uniquement le nom d'hôte abrégé.
   • Lors de l'utilisation de l'IP statique et de la configuration du nom d'hôte, l'utilisation d'un nom court ou d'un FQDN dépend du cas d'utilisation du système prévu. Red Hat Identity Management configure le FQDN pendant le provisionnement, mais certains logiciels tiers peuvent exiger un nom court. Dans les deux cas, pour garantir la disponibilité des deux formes dans toutes les situations, ajoutez une entrée pour l'hôte dans /etc/hosts` au format IP FQDN short-alias.
   • La valeur localhost signifie qu'aucun nom d'hôte statique spécifique n'est configuré pour le système cible et que le nom d'hôte réel du système installé est configuré pendant le traitement de la configuration du réseau, par exemple par NetworkManager à l'aide de DHCP ou de DNS.
   • Les noms d'hôtes ne peuvent contenir que des caractères alphanumériques et - ou .. Le nom d'hôte doit être inférieur ou égal à 64 caractères. Les noms d'hôtes ne peuvent pas commencer ou se terminer par - et .. Pour être conforme au DNS, chaque partie d'un FQDN doit être inférieure ou égale à 63 caractères et la longueur totale du FQDN, y compris les points, ne doit pas dépasser 255 caractères.
8. Cliquez sur Appliquer pour appliquer le nom d'hôte à l'environnement d'installation.
9. Vous pouvez également choisir l'option Sans fil dans la fenêtre Network and Hostname. Cliquez sur Sélectionner un réseau dans le volet de droite pour sélectionner votre connexion wifi, entrez le mot de passe si nécessaire et cliquez sur Terminé.

Procédure

1. Ajouter un nouveau profil de connexion NetworkManager pour la connexion Ethernet :

   # nmcli connection add con-name Example-Connection ifname enp7s0 type ethernet

   Les étapes suivantes modifient le profil de connexion Example-Connection que vous avez créé.

2. Définir l'adresse IPv4 :

   # nmcli connection modify Example-Connection ipv4.addresses 192.0.2.1/24

3. Définir l'adresse IPv6 :

   # nmcli connection modify Example-Connection ipv6.addresses 2001:db8:1::1/64

4. Réglez la méthode de connexion IPv4 et IPv6 sur manual:

   # nmcli connection modify Example-Connection ipv4.method manual
   # nmcli connection modify Example-Connection ipv6.method manual

5. Définir les passerelles par défaut IPv4 et IPv6 :

   # nmcli connection modify Example-Connection ipv4.gateway 192.0.2.254
   # nmcli connection modify Example-Connection ipv6.gateway 2001:db8:1::fffe

6. Définissez les adresses des serveurs DNS IPv4 et IPv6 :

   # nmcli connection modify Example-Connection ipv4.dns "192.0.2.200"
   # nmcli connection modify Example-Connection ipv6.dns "2001:db8:1::ffbb"

   Pour définir plusieurs serveurs DNS, indiquez-les en les séparant par des espaces et en les plaçant entre guillemets.

7. Définir le domaine de recherche DNS pour la connexion IPv4 et IPv6 :

   # nmcli connection modify Example-Connection ipv4.dns-search example.com
   # nmcli connection modify Example-Connection ipv6.dns-search example.com

8. Activer le profil de connexion :

   # nmcli connection up Example-Connection
   Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/13)

Vérification

1. Affiche l'état des appareils et des connexions :

   # nmcli device status
   DEVICE      TYPE      STATE      CONNECTION
   enp7s0      ethernet  connected  Example-Connection

2. Utilisez l'utilitaire ping pour vérifier que cet hôte peut envoyer des paquets à d'autres hôtes :

   # ping host_name_or_IP_address

Procédure

1. Si vous ne connaissez pas le nom du périphérique réseau que vous souhaitez utiliser pour la connexion, affichez les périphériques disponibles :

   # nmcli device status
   DEVICE     TYPE      STATE                   CONNECTION
   enp7s0     ethernet  unavailable             --
   ...

2. Démarrer nmtui:

   # nmtui

3. Sélectionnez Edit a connection et appuyez sur Enter.
4. Appuyez sur le bouton Add.
5. Sélectionnez Ethernet dans la liste des types de réseaux et appuyez sur Entrée.
6. Optionnel : Entrez un nom pour le profil NetworkManager à créer.
7. Saisissez le nom de l'appareil réseau dans le champ Device.

8. Appuyez sur le bouton OK pour créer et activer automatiquement la nouvelle connexion.

   
9. Appuyez sur le bouton Back pour revenir au menu principal.
10. Sélectionnez Quit et appuyez sur Entrée pour fermer l'application nmtui.

Vérification

1. Affiche l'état des appareils et des connexions :

   # nmcli device status
   DEVICE      TYPE      STATE      CONNECTION
   enp7s0      ethernet  connected  Example-Connection

2. Utilisez l'utilitaire ping pour vérifier que cet hôte peut envoyer des paquets à d'autres hôtes :

   # ping host_name_or_IP_address

Procédure

1. Si vous ne connaissez pas le nom du périphérique réseau que vous souhaitez utiliser pour la connexion, affichez les périphériques disponibles :

   # nmcli device status
   DEVICE     TYPE      STATE                   CONNECTION
   enp7s0     ethernet  unavailable             --
   ...

2. Démarrer nmtui:

   # nmtui

3. Sélectionnez Edit a connection et appuyez sur Enter.
4. Appuyez sur le bouton Add.
5. Sélectionnez Ethernet dans la liste des types de réseaux et appuyez sur Entrée.
6. Optionnel : Entrez un nom pour le profil NetworkManager à créer.
7. Saisissez le nom de l'appareil réseau dans le champ Device.

8. Configurez les paramètres des adresses IPv4 et IPv6 dans les zones IPv4 configuration et IPv6 configuration:

   1. Appuyez sur la touche Automatic et sélectionnez Manual dans la liste affichée.
   2. Appuyez sur le bouton Show en regard du protocole que vous souhaitez configurer pour afficher des champs supplémentaires.

   3. Appuyez sur le bouton Add à côté de Addresses, et entrez l'adresse IP et le masque de sous-réseau au format CIDR (Classless Inter-Domain Routing).

      Si vous ne spécifiez pas de masque de sous-réseau, NetworkManager définit un masque de sous-réseau /32 pour les adresses IPv4 et /64 pour les adresses IPv6.

   4. Saisissez l'adresse de la passerelle par défaut.
   5. Appuyez sur la touche Add à côté de DNS servers, et entrez l'adresse du serveur DNS.
   6. Appuyez sur la touche Add à côté de Search domains, et entrez le domaine de recherche DNS.

   Figure 3.1. Exemple d'une connexion Ethernet avec des paramètres d'adresse IP statiques

   
9. Appuyez sur le bouton OK pour créer et activer automatiquement la nouvelle connexion.
10. Appuyez sur le bouton Back pour revenir au menu principal.
11. Sélectionnez Quit et appuyez sur Entrée pour fermer l'application nmtui.

Vérification

1. Affiche l'état des appareils et des connexions :

   # nmcli device status
   DEVICE      TYPE      STATE      CONNECTION
   enp7s0      ethernet  connected  Example-Connection

2. Utilisez l'utilitaire ping pour vérifier que cet hôte peut envoyer des paquets à d'autres hôtes :

   # ping host_name_or_IP_address

Procédure

1. Enregistrez et abonnez automatiquement votre système en une seule étape :

   # subscription-manager register --username <username> --password <password> --auto-attach
   Registering to: subscription.rhsm.redhat.com:443/subscription
   The system has been registered with ID: 37to907c-ece6-49ea-9174-20b87ajk9ee7
   The registered system name is: client1.idm.example.com
   Installed Product Current Status:
   Product Name: Red Hat Enterprise Linux for x86_64
   Status:       Subscribed

   La commande vous invite à saisir votre nom d'utilisateur et votre mot de passe du portail client Red Hat.

   Si la procédure d'enregistrement échoue, vous pouvez enregistrer votre système auprès d'un pool spécifique. Pour savoir comment procéder, suivez les étapes suivantes :

   1. Déterminez l'ID du pool d'un abonnement dont vous avez besoin :

      # subscription-manager list --available

      Cette commande affiche tous les abonnements disponibles pour votre compte Red Hat. Pour chaque abonnement, diverses caractéristiques sont affichées, y compris l'ID du pool.

   2. Attachez l'abonnement approprié à votre système en remplaçant pool_id par l'ID du pool déterminé à l'étape précédente :

      # subscription-manager attach --pool=pool_id

Procédure

1. Connectez-vous à la console web RHEL. Pour plus d'informations, voir Connexion à la console web.

2. Dans le dossier Health de la page Overview, cliquez sur l'avertissement Not registered, ou cliquez sur Subscriptions dans le menu principal pour accéder à la page contenant vos informations d'abonnement.

   .

3. Dans le dossier Overview, cliquez sur Register.

   

4. Dans la boîte de dialogue Register system, indiquez que vous souhaitez vous enregistrer en utilisant les informations d'identification de votre compte.

   

5. Entrez votre nom d'utilisateur.
6. Entrez votre mot de passe.

7. Si vous le souhaitez, vous pouvez saisir le nom ou l'identifiant de votre organisation.

   Si votre compte appartient à plus d'une organisation sur le portail client de Red Hat, vous devez ajouter le nom de l'organisation ou l'ID de l'organisation. Pour obtenir l'identifiant de l'organisation, adressez-vous à votre point de contact Red Hat.

   • Si vous ne souhaitez pas connecter votre système à Red Hat Insights, décochez la case Insights.
8. Cliquez sur le bouton Enregistrer.

Procédure

1. Ouvrez le site system menu, accessible dans le coin supérieur droit de l'écran, et cliquez sur Settings.

   

2. Aller à A propos de → Abonnement.

3. Si vous n'utilisez pas le serveur Red Hat :

   1. Dans la section Registration Server, sélectionnez Custom Address.
   2. Entrez l'adresse du serveur dans le champ URL.
4. Dans la section Registration Type, sélectionnez Red Hat Account.

5. Dans la section Registration Details:

   • Saisissez le nom d'utilisateur de votre compte Red Hat dans le champ Login.
   • Saisissez le mot de passe de votre compte Red Hat dans le champ Password.
   • Saisissez le nom de votre organisation dans le champ Organization.
6. Cliquez sur Enregistrer.

Procédure

1. Ouvrez le site system menu, accessible dans le coin supérieur droit de l'écran, et cliquez sur Settings.

   

2. Aller à A propos de → Abonnement.

3. Si vous n'utilisez pas le serveur Red Hat :

   1. Dans la section Registration Server, sélectionnez Custom Address.
   2. Entrez l'adresse du serveur dans le champ URL.
4. Dans la section Registration Type, sélectionnez Activation Keys.

5. Sous Registration Details:

   • Saisissez vos clés d'activation dans le champ Activation Keys.

     Séparez vos clés par une virgule (,).

   • Saisissez le nom ou l'identifiant de votre organisation dans le champ Organization.
6. Cliquez sur Enregistrer.

Procédure

1. Affiche le mode SELinux actuel :

   $ getenforce

2. Pour activer temporairement SELinux :

   1. Passer en mode "Enforcing" :

      # setenforce Enforcing

   2. Vers le mode permissif :

      # setenforce Permissive

      Note

      Après le redémarrage, le mode SELinux prend la valeur spécifiée dans le fichier de configuration /etc/selinux/config.

3. Pour que le mode SELinux persiste après les redémarrages, modifiez la variable SELINUX dans le fichier de configuration /etc/selinux/config.

   Par exemple, pour faire passer SELinux en mode d'application :

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #     enforcing - SELinux security policy is enforced.
   #     permissive - SELinux prints warnings instead of enforcing.
   #     disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   ...

   Avertissement

   La désactivation de SELinux réduit la sécurité de votre système. Évitez de désactiver SELinux à l'aide de l'option SELINUX=disabled du fichier /etc/selinux/config, car cela peut entraîner des fuites de mémoire et des conditions de course provoquant des paniques du noyau. Désactivez plutôt SELinux en ajoutant le paramètre selinux=0 à la ligne de commande du noyau. Pour plus d'informations, voir Modifier les modes SELinux au démarrage.

Procédure

1. Connectez-vous à la console web RHEL.
2. Cliquez sur Comptes.
3. Cliquez sur Créer un nouveau compte.

4. Dans le champ Full Name, saisissez le nom complet de l'utilisateur.

   La console web RHEL suggère automatiquement un nom d'utilisateur à partir du nom complet et le remplit dans le champ User Name. Si vous ne souhaitez pas utiliser la convention de dénomination originale qui consiste à utiliser la première lettre du prénom et le nom de famille complet, mettez à jour la suggestion.

5. Dans les champs Password/Confirm, saisissez le mot de passe et retapez-le pour vérifier qu'il est correct.

   La barre de couleur située sous les champs indique le niveau de sécurité du mot de passe saisi, ce qui ne permet pas de créer un utilisateur avec un mot de passe faible.

6. Cliquez sur Créer pour enregistrer les paramètres et fermer la boîte de dialogue.
7. Sélectionnez le compte nouvellement créé.

8. Dans le menu déroulant Groups, sélectionnez les groupes que vous souhaitez ajouter au nouveau compte.

   

   Vous pouvez maintenant voir le nouveau compte dans les paramètres de Accounts et vous pouvez utiliser ses informations d'identification pour vous connecter au système.

Procédure

1. Ouvrez l'onglet Kernel Dump et démarrez le service kdump.
2. Configurez l'utilisation de la mémoire de kdump à l'aide de la ligne de commande.

3. Cliquez sur le lien situé à côté de l'option Crash dump location.

   

4. Sélectionnez l'option Local Filesystem dans le menu déroulant et indiquez le répertoire dans lequel vous souhaitez enregistrer le dump.

   

   • Vous pouvez également sélectionner l'option Remote over SSH dans le menu déroulant pour envoyer le vmcore à une machine distante à l'aide du protocole SSH.

     Remplissez les champs Server, ssh key, et Directory avec l'adresse de la machine distante, l'emplacement de la clé ssh et un répertoire cible.

   • Une autre possibilité consiste à sélectionner l'option Remote over NFS dans la liste déroulante et à remplir le champ Mount pour envoyer le noyau virtuel à une machine distante à l'aide du protocole NFS.

     Note

     Cochez la case Compression pour réduire la taille du fichier vmcore.

5. Testez votre configuration en plantant le noyau.

   
   1. Cliquez sur Test configuration.

   2. Dans le champ Test kdump settings, cliquez sur Crash system.

      Avertissement

      Cette étape perturbe l'exécution du noyau et entraîne une panne du système et une perte de données.

Procédure

1. Installez l'utilitaire ReaR en exécutant la commande suivante :

   # dnf install rear

2. Modifiez le fichier de configuration de ReaR dans un éditeur de votre choix, par exemple :

   # vi /etc/rear/local.conf

3. Ajoutez les détails de la configuration de la sauvegarde à /etc/rear/local.conf. Par exemple, dans le cas de la méthode de sauvegarde NETFS, ajoutez les lignes suivantes :

   BACKUP=NETFS
   BACKUP_URL=backup.location

   Remplacez backup.location par l'URL de votre emplacement de sauvegarde.

4. Pour configurer ReaR afin qu'il conserve l'archive de sauvegarde précédente lors de la création de la nouvelle, ajoutez également la ligne suivante au fichier de configuration :

   NETFS_KEEP_OLD_BACKUP_COPY=y

5. Pour que les sauvegardes soient incrémentielles, c'est-à-dire que seuls les fichiers modifiés sont sauvegardés à chaque exécution, ajoutez la ligne suivante :

   BACKUP_TYPE=incremental

6. Créer un système de secours :

   # rear mkrescue

7. Effectuez une sauvegarde conformément au plan de restauration. Par exemple, dans le cas de la méthode de sauvegarde NETFS, exécutez la commande suivante :

   # rear mkbackuponly

   Vous pouvez également créer le système de secours et la sauvegarde en une seule étape en exécutant la commande suivante :

   # rear mkbackup

   Cette commande combine les fonctionnalités des commandes rear mkrescue et rear mkbackuponly.

1. Pour configurer la méthode de sortie IPL, ajoutez OUTPUT=IPL.

2. Pour configurer la méthode de sauvegarde et la destination, ajoutez les variables BACKUP et BACKUP_URL. Par exemple :

   BACKUP=NETFS
   
   BACKUP_URL=nfs://<nfsserver name>/<share path>

   Important

   Le stockage local de sauvegarde n'est actuellement pas pris en charge sur l'architecture IBM Z 64 bits.

3. En option, vous pouvez également configurer la variable OUTPUT_URL pour enregistrer les fichiers kernel et initrd. Par défaut, le fichier OUTPUT_URL est aligné avec BACKUP_URL.

4. Pour effectuer une sauvegarde et créer une image de secours :

   rear mkbackup

5. Cette opération crée les fichiers kernel et initrd à l'emplacement spécifié par la variable BACKUP_URL ou OUTPUT_URL (si elle est définie), ainsi qu'une sauvegarde à l'aide de la méthode de sauvegarde spécifiée.
6. Pour récupérer le système, utilisez les fichiers ReaR kernel et initrd créés à l'étape 3 et démarrez à partir d'un DASD (Direct Attached Storage Device) ou d'un périphérique SCSI relié au protocole Fibre Channel (FCP) préparé avec le chargeur de démarrage zipl, le kernel et initrd. Pour plus d'informations, voir Utilisation d'un DASD préparé.
7. Lorsque le noyau de secours et initrd sont démarrés, l'environnement de secours ReaR est lancé. Procédez à la récupération du système.

Procédure

1. Connectez-vous à la console web RHEL. Pour plus d'informations, voir Connexion à la console web.
2. Cliquez sur Logs.

Procédure

1. Accéder à l'assistance de Red Hat:

   1. Ouvrir un nouveau dossier d'assistance.
   2. Lancez un chat en direct avec un expert Red Hat.
   3. Contactez un expert Red Hat en l'appelant ou en lui envoyant un e-mail.

Procédure

1. Installez le paquetage sos:

   # dnf install sos

   Note

   L'installation minimale par défaut de Red Hat Enterprise Linux n'inclut pas le paquetage sos, qui fournit la commande sosreport.

2. Générer un rapport :

   # sosreport

3. Joignez le rapport à votre dossier d'appui.

   Consultez l'article Comment puis-je joindre un fichier à un dossier d'assistance de Red Hat ? De la base de connaissances de Red Hat pour plus d'informations.

   Notez que lorsque vous joignez le rapport, vous êtes invité à saisir le numéro du cas d'assistance concerné.

Procédure

1. Déterminez l'unité cible par défaut que systemd utilise pour démarrer le système :

   # systemctl get-default
   graphical.target

2. Liste des cibles actuellement chargées :

   # systemctl list-units --type target

3. Configurer le système pour qu'il utilise une autre unité cible par défaut :

   # systemctl set-default <name>.target

   Remplacer <name> par le nom de l'unité cible que vous souhaitez utiliser par défaut.

   Example:
   # systemctl set-default multi-user.target
   Removed /etc/systemd/system/default.target
   Created symlink /etc/systemd/system/default.target -> /usr/lib/systemd/system/multi-user.target

4. Vérifiez l'unité cible par défaut :

   # systemctl get-default
   multi-user.target

5. Appliquez les modifications en redémarrant :

   # reboot

Procédure

1. Facultatif : Déterminer la cible actuelle :

   # systemctl get-default
   graphical.target

2. Facultatif : Affiche la liste des cibles que vous pouvez sélectionner :

   # systemctl list-units --type target

   Note

   Vous ne pouvez isoler que les cibles pour lesquelles l'option AllowIsolate=yes a été définie dans les fichiers d'unité.

3. Passer à une autre unité cible dans le démarrage en cours :

   # systemctl isolate <name>.target

   Remplacez <name> par le nom de l'unité cible que vous souhaitez utiliser dans le démarrage en cours.

   Example:
   # systemctl isolate multi-user.target

   Cette commande démarre l'unité cible nommée multi-user et toutes les unités dépendantes, et arrête immédiatement toutes les autres unités.

Procédure

1. Redémarrez le système et interrompez le compte à rebours du menu du chargeur de démarrage en appuyant sur n'importe quelle touche, à l'exception de la touche Entrée, qui lancerait un démarrage normal.
2. Déplacez le curseur sur l'entrée du noyau que vous souhaitez lancer.
3. Appuyez sur la touche E pour modifier l'entrée actuelle.

4. Déplacez-vous à la fin de la ligne qui commence par linux et appuyez sur Ctrl E pour sauter à la fin de la ligne :

   linux ($root)/vmlinuz-5.14.0-70.22.1.e19_0.x86_64 root=/dev/mapper/rhel-root ro crash\
   kernel=auto resume=/dev/mapper/rhel-swap rd.lvm.lv/swap rhgb quiet

5. Pour choisir une autre cible de démarrage, ajoutez le paramètre systemd.unit= à la fin de la ligne commençant par linux:

   linux ($root)/vmlinuz-5.14.0-70.22.1.e19_0.x86_64 root=/dev/mapper/rhel-root ro crash\
   kernel=auto resume=/dev/mapper/rhel-swap rd.lvm.lv/swap rhgb quiet systemd.unit=<name>.target

   Remplacer <name> par le nom de l'unité cible que vous souhaitez utiliser. Par exemple, systemd.unit=emergency.target

6. Appuyez sur Ctrl X pour démarrer avec ces paramètres.

1. Ouvrez le fichier /etc/login.defs dans un éditeur de votre choix.

2. Trouvez les lignes qui définissent la valeur minimale pour la sélection automatique de l'UID.

   # Min/max values for automatic uid selection in useradd
   #
   UID_MIN                  1000

3. Modifier la valeur de UID_MIN pour commencer à 5000.

   # Min/max values for automatic uid selection in useradd
   #
   UID_MIN                  5000

4. Trouvez les lignes qui définissent la valeur minimale pour la sélection automatique du GID.

   # Min/max values for automatic gid selection in groupadd
   #
   GID_MIN                  1000

5. Modifier la valeur de GID_MIN pour commencer à 5000.

   # Min/max values for automatic gid selection in groupadd
   #
   GID_MIN                  5000

   Les UID et GID attribués dynamiquement aux utilisateurs réguliers commencent maintenant à 5000.

   Note

   Les UID et GID des utilisateurs et des groupes créés avant la modification des valeurs UID_MIN et GID_MIN ne changent pas.

   Cela permettra au groupe du nouvel utilisateur d'avoir le même identifiant 5000 que l'UID et le GID.

   Avertissement

   Ne pas augmenter les identifiants réservés par le système au-delà de 1000 en modifiant SYS_UID_MAX afin d'éviter tout conflit avec les systèmes qui conservent la limite de 1000.

Procédure

1. Connectez-vous à la console web RHEL.
2. Cliquez sur Comptes.
3. Cliquez sur Créer un nouveau compte.

4. Dans le champ Full Name, saisissez le nom complet de l'utilisateur.

   La console web RHEL suggère automatiquement un nom d'utilisateur à partir du nom complet et le remplit dans le champ User Name. Si vous ne souhaitez pas utiliser la convention de dénomination originale qui consiste à utiliser la première lettre du prénom et le nom de famille complet, mettez à jour la suggestion.

5. Dans les champs Password/Confirm, saisissez le mot de passe et retapez-le pour vérifier qu'il est correct.

   La barre de couleur située sous les champs indique le niveau de sécurité du mot de passe saisi, ce qui ne permet pas de créer un utilisateur avec un mot de passe faible.

6. Cliquez sur Créer pour enregistrer les paramètres et fermer la boîte de dialogue.
7. Sélectionnez le compte nouvellement créé.

8. Dans le menu déroulant Groups, sélectionnez les groupes que vous souhaitez ajouter au nouveau compte.

   

   Vous pouvez maintenant voir le nouveau compte dans les paramètres de Accounts et vous pouvez utiliser ses informations d'identification pour vous connecter au système.

Procédure

1. Connectez-vous à la console web RHEL 9.
2. Cliquez sur Comptes.
3. Sélectionnez le compte utilisateur pour lequel vous souhaitez appliquer l'expiration du mot de passe.

4. Cliquez sur edit sur la ligne Password.

   

5. Dans la boîte de dialogue Password expiration, sélectionnez Require password change every …​ days et entrez un nombre entier positif représentant le nombre de jours après lesquels le mot de passe expire.

6. Cliquez sur Modifier.

   La console web affiche immédiatement la date de la future demande de changement de mot de passe sur la ligne Password.

Procédure

1. Connectez-vous à la console web RHEL 9.
2. Cliquez sur Comptes.
3. Cliquez sur le compte utilisateur pour lequel vous souhaitez mettre fin à la session.

4. Cliquez sur Terminer la session.

   Si le bouton Terminer la session est inactif, cela signifie que l'utilisateur n'est pas connecté au système.

   La console web RHEL met fin aux sessions.

Procédure

1. Créer un répertoire :

   # mkdir directory-name

   Remplacez directory-name par le nom du répertoire.

2. Créer un groupe :

   # groupadd group-name

   Remplacez group-name par le nom du groupe.

3. Ajouter des utilisateurs au groupe :

   # usermod --append -G group-name username

   Remplacez group-name par le nom du groupe et username par le nom de l'utilisateur.

4. Associer la propriété de l'utilisateur et du groupe du répertoire au groupe group-name:

   # chgrp group-name directory-name

   Remplacez group-name par le nom du groupe et directory-name par le nom du répertoire.

5. Définissez les autorisations d'écriture pour permettre aux utilisateurs de créer et de modifier des fichiers et des répertoires et définissez le bit setgid pour que cette autorisation soit appliquée dans le répertoire directory-name:

   # chmod g rwxs directory-name

   Remplacez directory-name par le nom du répertoire.

   Désormais, tous les membres du groupe group-name peuvent créer et modifier des fichiers dans le répertoire directory-name et les modifier. Les fichiers nouvellement créés conservent la propriété du groupe group-name groupe.

Prérequis :

1. root access
2. Le nouveau groupe doit exister

Procédure

1. En tant que root, ouvrez le fichier /etc/sudoers.

   # visudo

   Le fichier /etc/sudoers définit les politiques appliquées par la commande sudo.

2. Dans le fichier /etc/sudoers, recherchez les lignes qui accordent à sudo l'accès aux utilisateurs du groupe administratif wheel.

   ## Allows people in group wheel to run all commands
   %wheel        ALL=(ALL)       ALL

3. Assurez-vous que la ligne qui commence par %wheel n'est pas précédée du caractère de commentaire #.
4. Enregistrez les modifications et quittez l'éditeur.

5. Ajoutez au groupe administratif wheel les utilisateurs auxquels vous souhaitez accorder l'accès à sudo.

    # usermod --append -G wheel <username>

   Remplacez <username> par le nom de l'utilisateur.

Procédure

1. En tant que root, créez un nouveau répertoire sudoers.d sous /etc/:

   # mkdir -p /etc/sudoers.d/

2. Créez un nouveau fichier dans le répertoire /etc/sudoers.d:

   # visudo -f /etc/sudoers.d/<example.user>

   Le fichier s'ouvre automatiquement.

3. Ajoutez la ligne suivante au fichier /etc/sudoers.d/<example.user> la ligne suivante :

   <example.user> <host.example.com> = /usr/bin/dnf

   Pour autoriser plusieurs commandes sur le même hôte sur une même ligne, vous pouvez les énumérer en les séparant par une virgule , suivie d'un espace.

4. Facultatif : Pour recevoir des notifications par courrier électronique chaque fois que l'utilisateur <example.user> tente d'utiliser les privilèges de sudo, ajoutez les lignes suivantes au fichier :

   Defaults    mail_always
   Defaults    mailto="<email@example.com>"

5. Enregistrez les modifications et quittez l'éditeur.

Vérification

1. Pour vérifier si l'utilisateur <example.user> peut exécuter la commande dnf avec les privilèges de sudo, changez de compte :

   # su <example.user> -

2. Entrez la commande sudo dnf:

   $ sudo dnf
   [sudo] password for <example.user>:

   Saisissez le mot de passe sudo pour l'utilisateur <example.user>.

3. Le système affiche la liste des commandes et des options de dnf:

   ...
   usage: dnf [options] COMMAND
   ...

   Si le système renvoie le message d'erreur <example.user> is not in the sudoers file. This incident will be reported vous n'avez pas créé le fichier pour <example.user> dans /etc/sudoers.d/.

   Si vous recevez le message d'erreur <example.user> is not allowed to run sudo on <host.example.com> vous n'avez pas effectué la configuration correctement. Assurez-vous que vous êtes bien connecté en tant que root et que vous avez bien suivi les étapes.

Procédure

1. Redémarrez le système et, sur l'écran de démarrage de GRUB 2, appuyez sur la touche e pour interrompre le processus de démarrage.

   Les paramètres de démarrage du noyau apparaissent.

   load_video
   set gfx_payload=keep
   insmod gzio
   linux ($root)/vmlinuz-5.14.0-70.22.1.e19_0.x86_64 root=/dev/mapper/rhel-root ro crash\
   kernel=auto resume=/dev/mapper/rhel-swap rd.lvm.lv/swap rhgb quiet
   initrd ($root)/initramfs-5.14.0-70.22.1.e19_0.x86_64.img $tuned_initrd

2. Allez à la fin de la ligne qui commence par linux.

   linux ($root)/vmlinuz-5.14.0-70.22.1.e19_0.x86_64 root=/dev/mapper/rhel-root ro crash\
   kernel=auto resume=/dev/mapper/rhel-swap rd.lvm.lv/swap rhgb quiet

   Appuyez sur Ctrl e pour sauter à la fin de la ligne.

3. Ajouter rd.break à la fin de la ligne qui commence par linux.

   linux ($root)/vmlinuz-5.14.0-70.22.1.e19_0.x86_64 root=/dev/mapper/rhel-root ro crash\
   kernel=auto resume=/dev/mapper/rhel-swap rd.lvm.lv/swap rhgb quiet rd.break

4. Appuyez sur Ctrl x pour démarrer le système avec les paramètres modifiés.

   L'invite switch_root apparaît.

5. Remonter le système de fichiers en écriture :

   mount -o remount,rw /sysroot

   Le système de fichiers est monté en lecture seule dans le répertoire /sysroot. Le fait de remonter le système de fichiers en écriture permet de modifier le mot de passe.

6. Entrez dans l'environnement chroot:

   chroot /sysroot

   L'invite sh-4.4# apparaît.

7. Réinitialiser le mot de passe root:

   passwd

   Suivez les instructions affichées par la ligne de commande pour finaliser la modification du mot de passe root.

8. Activer le processus de réétiquetage SELinux au prochain démarrage du système :

   touch /.autorelabel

9. Quitter l'environnement chroot:

   exit

10. Quittez l'invite switch_root:

    exit

11. Attendez que le processus de réétiquetage SELinux soit terminé. Notez que le réétiquetage d'un disque de grande taille peut prendre beaucoup de temps. Le système redémarre automatiquement lorsque le processus est terminé.

Verification steps

1. Pour vérifier que le mot de passe root a bien été modifié, connectez-vous en tant qu'utilisateur normal et ouvrez le terminal.

2. Exécutez l'interpréteur de commandes interactif en tant que root :

   $ su

3. Saisissez votre nouveau mot de passe root.

4. Imprime le nom de l'utilisateur associé à l'ID utilisateur effectif actuel :

   whoami

   La sortie revient :

   root

Procédure

1. Comme root, ouvrez le fichier /etc/bashrc dans l'éditeur.

2. Modifiez les sections suivantes pour définir une nouvelle valeur par défaut bash umask :

       if [ $UID -gt 199 ] && [ “id -gn” = “id -un” ]; then
          umask 002
       else
          umask 022
       fi

   Remplacer la valeur octale par défaut de umask (002) par une autre valeur octale. Voir Masque de mode de création de fichier utilisateur pour plus de détails.

3. Enregistrez les modifications et quittez l'éditeur.

Procédure

1. Comme root, ouvrez le fichier /etc/login.defs dans l'éditeur.

2. Modifiez les sections suivantes pour définir une nouvelle valeur par défaut bash umask :

   # Default initial "umask" value used by login(1) on non-PAM enabled systems.
   # Default "umask" value for pam_umask(8) on PAM enabled systems.
   # UMASK is also used by useradd(8) and newusers(8) to set the mode for new
   # home directories if HOME_MODE is not set.
   # 022 is the default value, but 027, or even 077, could be considered
   # for increased privacy. There is no One True Answer here: each sysadmin
   # must make up their mind.
   
   UMASK           022

   Remplacer la valeur octale par défaut de umask (022) par une autre valeur octale. Voir Masque de mode de création de fichier utilisateur pour plus de détails.

3. Enregistrez les modifications et quittez l'éditeur.

Procédure

1. Comme root, ouvrez le fichier /etc/login.defs dans l'éditeur.

2. Modifiez la section suivante pour définir une nouvelle valeur par défaut HOME_MODE:

   # HOME_MODE is used by useradd(8) and newusers(8) to set the mode for new
   # home directories.
   # If HOME_MODE is not set, the value of UMASK is used to create the mode.
   HOME_MODE       0700

   Remplacer la valeur octale par défaut (0700) par une autre valeur octale. Le mode sélectionné sera utilisé pour créer les autorisations pour le répertoire personnel.

3. Si HOME_MODE est activé, enregistrez les modifications et quittez l'éditeur.

4. Si HOME_MODE n'est pas défini, modifiez UMASK pour définir le mode des répertoires personnels nouvellement créés :

   # Default initial "umask" value used by login(1) on non-PAM enabled systems.
   # Default "umask" value for pam_umask(8) on PAM enabled systems.
   # UMASK is also used by useradd(8) and newusers(8) to set the mode for new
   # home directories if HOME_MODE is not set.
   # 022 is the default value, but 027, or even 077, could be considered
   # for increased privacy. There is no One True Answer here: each sysadmin
   # must make up their mind.
   
   UMASK           022

   Remplacer la valeur octale par défaut (022) par une autre valeur octale. Voir Masque du mode de création de fichier utilisateur pour plus de détails.

5. Enregistrez les modifications et quittez l'éditeur.

Procédure

1. Pour apporter des modifications à l'instance locale de chronyd à l'aide de l'utilitaire de ligne de commande chronyc en mode interactif, entrez la commande suivante sous root:

   # chronyc

   chronyc doit être exécuté en tant que root si certaines des commandes restreintes doivent être utilisées.

   L'invite de commande chronyc l'invite de commande s'affiche comme suit :

   chronyc>

2. Pour obtenir la liste de toutes les commandes, tapez help.

3. L'utilitaire peut également être invoqué en mode de commande non interactive s'il est appelé en même temps qu'une commande comme suit :

   chronyc command

Procédure

1. La suite chrony est installée par défaut sur Red Hat Enterprise Linux. Pour vous en assurer, exécutez la commande suivante à l'adresse root:

   # dnf install chrony

   L'emplacement par défaut du chrony est /usr/sbin/chronyd. L'utilitaire de ligne de commande sera installé à l'adresse /usr/bin/chronyc.

2. Pour vérifier l'état de chronyd, lancez la commande suivante :

   $ systemctl status chronyd
   chronyd.service - NTP client/server
      Loaded: loaded (/usr/lib/systemd/system/chronyd.service; enabled)
      Active: active (running) since Wed 2013-06-12 22:23:16 CEST; 11h ago

3. Pour démarrer chronyd, lancez la commande suivante en tant que root:

   # systemctl start chronyd

   Pour que chronyd démarre automatiquement au démarrage du système, lancez la commande suivante en tant que root:

   # systemctl enable chronyd

4. Pour arrêter chronyd, lancez la commande suivante en tant que root:

   # systemctl stop chronyd

   Pour éviter que chronyd ne démarre automatiquement au démarrage du système, exécutez la commande suivante en tant que root:

   # systemctl disable chronyd

Procédure

1. Pour vérifier le chrony le suivi, lancez la commande suivante :

   $ chronyc tracking
   Reference ID    : CB00710F (foo.example.net)
   Stratum         : 3
   Ref time (UTC)  : Fri Jan 27 09:49:17 2017
   System time     :  0.000006523 seconds slow of NTP time
   Last offset     : -0.000006747 seconds
   RMS offset      : 0.000035822 seconds
   Frequency       : 3.225 ppm slow
   Residual freq   : 0.000 ppm
   Skew            : 0.129 ppm
   Root delay      : 0.013639022 seconds
   Root dispersion : 0.001100737 seconds
   Update interval : 64.2 seconds
   Leap status     : Normal

2. La commande sources affiche des informations sur les sources de temps actuelles auxquelles chronyd accède. Pour vérifier chrony sources, lancez la commande suivante :

   $ chronyc sources
   	210 Number of sources = 3
   MS Name/IP address         Stratum Poll Reach LastRx Last sample
   ===============================================================================
   #* GPS0                          0   4   377    11   -479ns[ -621ns] /-  134ns
   ^? a.b.c                         2   6   377    23   -923us[ -924us] +/-   43ms
   ^ d.e.f                         1   6   377    21  -2629us[-2619us] +/-   86ms

   L'argument optionnel -v peut être spécifié, ce qui signifie verbeux. Dans ce cas, des lignes de légende supplémentaires sont affichées pour rappeler la signification des colonnes.

3. La commande sourcestats affiche des informations sur le taux de dérive et le processus d'estimation du décalage pour chacune des sources en cours d'examen par chronyd. Pour vérifier les chrony les statistiques sur les sources, lancez la commande suivante :

   $ chronyc sourcestats
   210 Number of sources = 1
   Name/IP Address            NP  NR  Span  Frequency  Freq Skew  Offset  Std Dev
   ===============================================================================
   abc.def.ghi                11   5   46m     -0.001      0.045      1us    25us

   L'argument facultatif -v peut être spécifié, ce qui signifie verbeux. Dans ce cas, des lignes de légende supplémentaires sont affichées pour rappeler la signification des colonnes.

Procédure

1. Pour passer immédiatement à l'horloge système, en contournant les ajustements en cours par pivotement, lancez la commande suivante à l'adresse root:

   # chronyc maketep

1. Le script du répartiteur peut s'exécuter alors qu'il n'existe aucune route vers les serveurs NTP, ce qui entraîne le passage des serveurs NTP à l'état hors ligne.
2. Si vous établissez la route ultérieurement, le script ne s'exécute pas à nouveau par défaut et les serveurs NTP restent hors ligne.

Procédure

1. Pour désactiver le script de distribution chrony, créez un lien symbolique vers /dev/null:

   # ln -s /dev/null /etc/NetworkManager/dispatcher.d/20-chrony-onoffline

   Note

   Après cette modification, le NetworkManager ne peut pas exécuter le script du répartiteur et les serveurs NTP restent toujours en ligne.

Procédure

1. Sur le système sélectionné comme serveur, à l'aide d'un éditeur de texte fonctionnant sous root, modifiez /etc/chrony.conf comme suit :

   driftfile /var/lib/chrony/drift
   commandkey 1
   keyfile /etc/chrony.keys
   initstepslew 10 client1 client3 client6
   local stratum 8
   manual
   allow 192.0.2.0

   Où 192.0.2.0 est l'adresse du réseau ou du sous-réseau à partir duquel les clients sont autorisés à se connecter.

2. Sur les systèmes sélectionnés pour être des clients directs du serveur, à l'aide d'un éditeur de texte fonctionnant sous root, modifiez le fichier /etc/chrony.conf comme suit :

   server ntp1.example.net
   driftfile /var/lib/chrony/drift
   logdir /var/log/chrony
   log measurements statistics tracking
   keyfile /etc/chrony.keys
   commandkey 24
   local stratum 10
   initstepslew 20 ntp1.example.net
   allow 192.0.2.123

   Où 192.0.2.123 est l'adresse du serveur et ntp1.example.net est le nom d'hôte du serveur. Les clients ayant cette configuration se resynchroniseront avec le serveur s'il redémarre.

Procédure

1. Autorisez l'accès à partir d'adresses IPv4 et IPv6 en ajoutant ce qui suit au fichier /etc/chrony.conf:

   bindcmdaddress 0.0.0.0

   ou

   bindcmdaddress : :

2. Autoriser les commandes provenant d'une adresse IP, d'un réseau ou d'un sous-réseau distant en utilisant la directive cmdallow.

   Ajoutez le contenu suivant au fichier /etc/chrony.conf:

   cmdallow 192.168.1.0/24

3. Ouvrez le port 323 dans le pare-feu pour vous connecter à partir d'un système distant :

   # firewall-cmd --zone=public --add-port=323/udp

   En option, vous pouvez ouvrir le port 323 de manière permanente à l'aide de l'option --permanent:

   # firewall-cmd --permanent --zone=public --add-port=323/udp

4. Si vous avez ouvert le port 323 de manière permanente, rechargez la configuration du pare-feu :

   firewall-cmd --reload

1. Spécifiez le serveur avec l'option nts en plus de l'option recommandée iburst.

   For example:
   server time.example.com iburst nts
   server nts.netnod.se iburst nts
   server ptbtime1.ptb.de iburst nts

2. Pour éviter de répéter la session Network Time Security-Key Establishment (NTS-KE) lors du démarrage du système, ajoutez la ligne suivante à chrony.conf, si elle n'est pas présente :

   ntsdumpdir /var/lib/chrony

3. Pour désactiver la synchronisation avec les serveurs NTP (Network Time Protocol) fournis par DHCP, commentez ou supprimez la ligne suivante dans chrony.conf, si elle est présente :

   sourcedir /run/chrony-dhcp

4. Enregistrez vos modifications.

5. Redémarrez le service chronyd:

   systemctl restart chronyd

Procédure

1. Indiquez la clé privée et le fichier de certificat dans le champ chrony.conf

   For example:
   ntsserverkey /etc/pki/tls/private/foo.example.net.key
   ntsservercert /etc/pki/tls/certs/foo.example.net.crt

2. Assurez-vous que les fichiers de clés et de certificats sont lisibles par l'utilisateur du système chrony, en définissant la propriété du groupe.

   For example:
   chown :chrony /etc/pki/tls/*/foo.example.net.*

3. Assurez-vous que la directive ntsdumpdir /var/lib/chrony est présente dans le fichier chrony.conf.

4. Redémarrez le service chronyd:

   systemctl restart chronyd

   Important

   Si le serveur est équipé d'un pare-feu, il doit autoriser les ports UDP 123 et TCP 4460 pour NTP et Network Time Security-Key Establishment (NTS-KE).

Procédure

1. Démarrer le démon sshd dans la session en cours et le configurer pour qu'il démarre automatiquement au moment du démarrage :

   # systemctl start sshd
   # systemctl enable sshd

2. Pour spécifier des adresses différentes des adresses par défaut 0.0.0.0 (IPv4) ou :: (IPv6) pour la directive ListenAddress dans le fichier de configuration /etc/ssh/sshd_config et pour utiliser une configuration réseau dynamique plus lente, ajoutez la dépendance de l'unité cible network-online.target au fichier d'unité sshd.service. Pour ce faire, créez le fichier /etc/systemd/system/sshd.service.d/local.conf avec le contenu suivant :

   [Unit]
   Wants=network-online.target
   After=network-online.target

3. Vérifiez que les paramètres du serveur OpenSSH dans le fichier de configuration /etc/ssh/sshd_config répondent aux exigences de votre scénario.

4. Vous pouvez également modifier le message de bienvenue que votre serveur OpenSSH affiche avant qu'un client ne s'authentifie en éditant le fichier /etc/issue, par exemple :

   Welcome to ssh-server.example.com
   Warning: By accessing this server, you agree to the referenced terms and conditions.

   Assurez-vous que l'option Banner n'est pas commentée dans /etc/ssh/sshd_config et que sa valeur contient /etc/issue:

   # less /etc/ssh/sshd_config | grep Banner
   Banner /etc/issue

   Notez que pour modifier le message affiché après une connexion réussie, vous devez éditer le fichier /etc/motd sur le serveur. Voir la page de manuel pam_motd pour plus d'informations.

5. Rechargez la configuration de systemd et redémarrez sshd pour appliquer les changements :

   # systemctl daemon-reload
   # systemctl restart sshd

Vérification

1. Vérifiez que le démon sshd est en cours d'exécution :

   # systemctl status sshd
   ● sshd.service - OpenSSH server daemon
      Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
      Active: active (running) since Mon 2019-11-18 14:59:58 CET; 6min ago
        Docs: man:sshd(8)
              man:sshd_config(5)
    Main PID: 1149 (sshd)
       Tasks: 1 (limit: 11491)
      Memory: 1.9M
      CGroup: /system.slice/sshd.service
              └─1149 /usr/sbin/sshd -D -oCiphers=aes128-ctr,aes256-ctr,aes128-cbc,aes256-cbc -oMACs=hmac-sha2-256,>
   
   Nov 18 14:59:58 ssh-server-example.com systemd[1]: Starting OpenSSH server daemon...
   Nov 18 14:59:58 ssh-server-example.com sshd[1149]: Server listening on 0.0.0.0 port 22.
   Nov 18 14:59:58 ssh-server-example.com sshd[1149]: Server listening on :: port 22.
   Nov 18 14:59:58 ssh-server-example.com systemd[1]: Started OpenSSH server daemon.

2. Connectez-vous au serveur SSH avec un client SSH.

   # ssh user@ssh-server-example.com
   ECDSA key fingerprint is SHA256:dXbaS0RG/UzlTTku8GtXSz0S1++lPegSy31v3L/FAEc.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added 'ssh-server-example.com' (ECDSA) to the list of known hosts.
   
   user@ssh-server-example.com's password:

Procédure

1. Ouvrez la configuration de /etc/ssh/sshd_config dans un éditeur de texte, par exemple :

   # vi /etc/ssh/sshd_config

2. Remplacer l'option PasswordAuthentication par no:

   PasswordAuthentication no

   Sur un système autre qu'une nouvelle installation par défaut, vérifiez que PubkeyAuthentication no n'a pas été défini et que la directive KbdInteractiveAuthentication est définie sur no. Si vous êtes connecté à distance, sans utiliser la console ou l'accès hors bande, testez le processus de connexion par clé avant de désactiver l'authentification par mot de passe.

3. Pour utiliser l'authentification par clé avec les répertoires personnels montés sur NFS, activez le booléen SELinux use_nfs_home_dirs:

   # setsebool -P use_nfs_home_dirs 1

4. Rechargez le démon sshd pour appliquer les modifications :

   # systemctl reload sshd

Procédure

1. Pour générer une paire de clés ECDSA pour la version 2 du protocole SSH :

   $ ssh-keygen -t ecdsa
   Generating public/private ecdsa key pair.
   Enter file in which to save the key (/home/joesec/.ssh/id_ecdsa):
   Enter passphrase (empty for no passphrase):
   Enter same passphrase again:
   Your identification has been saved in /home/joesec/.ssh/id_ecdsa.
   Your public key has been saved in /home/joesec/.ssh/id_ecdsa.pub.
   The key fingerprint is:
   SHA256:Q/x+qms4j7PCQ0qFd09iZEFHA+SqwBKRNaU72oZfaCI joesec@localhost.example.com
   The key's randomart image is:
   +---[ECDSA 256]---+
   |.oo..o=++        |
   |.. o .oo .       |
   |. .. o. o        |
   |....o.+...       |
   |o.oo.o +S .      |
   |.=.+.   .o       |
   |E.*+.  .  . .    |
   |.=..+ +..  o     |
   |  .  oo*+o.      |
   +----[SHA256]-----+

   Vous pouvez également générer une paire de clés RSA en utilisant l'option -t rsa avec la commande ssh-keygen ou une paire de clés Ed25519 en entrant la commande ssh-keygen -t ed25519.

2. Pour copier la clé publique sur une machine distante :

   $ ssh-copy-id joesec@ssh-server-example.com
   /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
   joesec@ssh-server-example.com's password:
   ...
   Number of key(s) added: 1
   
   Now try logging into the machine, with: "ssh 'joesec@ssh-server-example.com'" and check to make sure that only the key(s) you wanted were added.

   Si vous n'utilisez pas le programme ssh-agent dans votre session, la commande précédente copie la clé publique ~/.ssh/id*.pub la plus récemment modifiée si elle n'est pas encore installée. Pour spécifier un autre fichier de clé publique ou pour donner la priorité aux clés contenues dans les fichiers par rapport aux clés mises en mémoire par ssh-agent, utilisez la commande ssh-copy-id avec l'option -i.

Vérification

1. Connectez-vous au serveur OpenSSH sans fournir de mot de passe :

   $ ssh joesec@ssh-server-example.com
   Welcome message.
   ...
   Last login: Mon Nov 18 18:28:42 2019 from ::1

Procédure

1. Dresser la liste de toutes les clés fournies par le module PKCS #11 d'OpenSC, y compris leurs URI PKCS #11, et enregistrer le résultat dans le fichier keys.pub:

   $ ssh-keygen -D pkcs11: > keys.pub
   $ ssh-keygen -D pkcs11:
   ssh-rsa AAAAB3NzaC1yc2E...KKZMzcQZzx pkcs11:id=%02;object=SIGN%20pubkey;token=SSH%20key;manufacturer=piv_II?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so
   ecdsa-sha2-nistp256 AAA...J0hkYnnsM= pkcs11:id=%01;object=PIV%20AUTH%20pubkey;token=SSH%20key;manufacturer=piv_II?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so

2. Pour permettre l'authentification à l'aide d'une carte à puce sur un serveur distant (example.com), transférez la clé publique sur le serveur distant. Utilisez la commande ssh-copy-id avec keys.pub créé à l'étape précédente :

   $ ssh-copy-id -f -i keys.pub username@example.com

3. Pour vous connecter à example.com à l'aide de la clé ECDSA issue de la commande ssh-keygen -D à l'étape 1, vous pouvez utiliser uniquement un sous-ensemble de l'URI, qui fait référence de manière unique à votre clé, par exemple :

   $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" example.com
   Enter PIN for 'SSH key':
   [example.com] $

4. Vous pouvez utiliser la même chaîne URI dans le fichier ~/.ssh/config pour rendre la configuration permanente :

   $ cat ~/.ssh/config
   IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
   $ ssh example.com
   Enter PIN for 'SSH key':
   [example.com] $

   Comme OpenSSH utilise le wrapper p11-kit-proxy et que le module OpenSC PKCS #11 est enregistré dans le kit PKCS#11, vous pouvez simplifier les commandes précédentes :

   $ ssh -i "pkcs11:id=%01" example.com
   Enter PIN for 'SSH key':
   [example.com] $

Procédure

1. Définissez l'hôte de saut en modifiant le fichier ~/.ssh/config sur votre système local, par exemple :

   Host jump-server1
     HostName jump1.example.com

   • Le paramètre Host définit un nom ou un alias pour l'hôte que vous pouvez utiliser dans les commandes ssh. La valeur peut correspondre au nom réel de l'hôte, mais peut également être une chaîne quelconque.
   • Le paramètre HostName définit le nom d'hôte ou l'adresse IP de l'hôte de saut.

2. Ajoutez la configuration de saut du serveur distant avec la directive ProxyJump au fichier ~/.ssh/config de votre système local, par exemple :

   Host remote-server
     HostName remote1.example.com
     ProxyJump jump-server1

3. Utilisez votre système local pour vous connecter au serveur distant via le serveur de saut :

   $ ssh remote-server

   La commande précédente est équivalente à la commande ssh -J jump-server1 remote-server si vous omettez les étapes de configuration 1 et 2.

Procédure

1. Facultatif : Vérifiez que vous pouvez utiliser la clé pour vous authentifier auprès de l'hôte distant :

   1. Connectez-vous à l'hôte distant à l'aide de SSH :

      $ ssh example.user1@198.51.100.1 hostname

   2. Saisissez la phrase de passe que vous avez définie lors de la création de la clé pour autoriser l'accès à la clé privée.

      $ ssh example.user1@198.51.100.1 hostname
       host.example.com

2. Démarrer le site ssh-agent.

   $ eval $(ssh-agent)
   Agent pid 20062

3. Ajouter la clé à ssh-agent.

   $ ssh-add ~/.ssh/id_rsa
   Enter passphrase for ~/.ssh/id_rsa:
   Identity added: ~/.ssh/id_rsa (example.user0@198.51.100.12)