          Guide pratique de mise en uvre de XDMCP sous Linux

  Version franaise du Linux XDMCP HOWTO

  Thomas Chao

   <tomchao CHEZ lucent POINT com>

   Adaptation franaise : Denis Berhaut

   Relecture de la version franaise : ric Madesclair

   Prparation de la publication de la v.f. : Jean-Philippe Gurard

   Version : 1.3.fr.1.0

   26 janvier 2005

   +----------------------------------------------------------------+
   | Historique des versions                                        |
   |----------------------------------------------------------------|
   | Version 1.3.fr.1.0        | 2005-01-26       | DB, M, JPG     |
   |----------------------------------------------------------------|
   | Premire version franaise.                                    |
   |----------------------------------------------------------------|
   | Version 1.3               | 2003-01-02       | TC              |
   |----------------------------------------------------------------|
   | Ajout d'informations pour la configuration de Red Hat 7.3 &    |
   | 8.0, Mandrake 8.2 & 9.0, SuSE et mise  jour de contenu.       |
   |----------------------------------------------------------------|
   | Version 1.2               | 2002-03-15       | TC              |
   |----------------------------------------------------------------|
   | Ajout d'informations sur la configuration de Linux Red Hat     |
   | 7.2, Mandrake 8.1 et Slackware 8.0 ainsi que sur le transfert  |
   | de X11 sous SSH.                                               |
   |----------------------------------------------------------------|
   | Version 1.1               | 2001-03-20       | TC              |
   |----------------------------------------------------------------|
   | Rvision et ajout de RH 7.0.                                   |
   |----------------------------------------------------------------|
   | Version 1.0               | 2000-11-01       | TC              |
   |----------------------------------------------------------------|
   | Premire rvision et diffusion.                                |
   +----------------------------------------------------------------+

   Rsum

   Ce guide pratique explique comment utiliser ensemble un
   gestionnaire d'affichage X (xdm, kdm et gdm) et XDMCP (le
   protocole de contrle du gestionnaire d'affichage X) pour fournir
   une solution de terminaux X et une plate-forme d'excution
   efficace d'applications X  distance. Ce document met l'accent sur
   la configuration d'une connexion X avec XDMCP.

   ------------------------------------------------------------------

   Table des matires

   1. Introduction

                1.1. Limitations de responsabilit

                1.2. Nouvelles versions de ce document

                1.3. Commentaires et ractions

   2. La procdure

                2.1. Avant de commencer, quelques notions

                2.2. Rappel de scurit

                2.3. Mon systme

                2.4. Pices rapportes

                2.5. Prparation du serveur

                2.6. Procdures  suivre

                2.7. Tests

   3. Transfert X11  l'aide de SSH

   4. Dpannage

   5. XDMCP et GDM (le Gestionnaire d'affichage Gnome)

   6. Ressources

   7. Auteurs

   8. Traducteurs

   9. Droits d'utilisation

1. Introduction

   XDMCP signifie  protocole de contrle du gestionnaire d'affichage
   X  ; c'est un protocole rseau. Il constitue un moyen de faire
   tourner un terminal X sur votre PC (ou votre MAC) en utilisant le
   serveur X qui fournira une interface client-serveur entre le
   matriel d'affichage (la souris, le clavier et les affichages
   vido) et l'environnement de l'ordinateur, tout en offrant
   l'infrastructure d'affichage et une interface d'application
   standardise (rfrence issue de la page d'accueil du projet
   Xfree86). Le terminal X peut tre affich dans une fentre
   individuelle ou dans de multiples fentres, en fonction des
   capacits logicielles et de la configuration de votre systme
   d'affichage X.

   Je recherche toujours la meilleure faon d'utiliser Linux, que ce
   soit  la maison au travail. L'un de ses avantages entre tous est
   sa capacit  rutiliser les vieux systmes (tels que des 486 et
   des Pentium, Pentium II) comme terminaux X (en utilisant les
   applications Win32 telles que Exceed (de Hummingbird), Reflection
   X, X-Win32 or X-ThinPro ; sous MAC, essayez eXodus) pour
   s'excuter  distance sur n'importe lequel de vos PC. J'ai
   dcouvert avec une certaine surprise qu'il y a beaucoup de
   documents sur Internet qui peuvent vous aider  le configurer,
   mais pas sous forme de guide pas  pas !Voici pourquoi j'en suis
   venu  crire ce document qui m'a paru tre une manire de
   partager mes expriences avec tous les utilisateurs. En utilisant
   X et XDMCP, vous pouvez btir pour la maison ou le travail une
   bonne solution, fiable et bon march.

  1.1. Limitations de responsabilit

   Aucune responsabilit lgale ne sera accepte quant au contenu de
   ce document. L'utilisation des concepts, exemples et autres
   contenus du document s'effectue  vos risques et prils. Dans la
   mesure o il s'agit d'une nouvelle dition de ce document, il peut
   comporter des erreurs ou des inexactitudes, videmment
   susceptibles d'endommager votre systme. Procdez prudemment, et
   bien que cela soit improbable, le ou les auteurs refusent toute
   responsabilit  ce sujet.

   Sauf mention spcifique, les droits d'auteur sont la possession de
   leurs propritaires respectifs. L'utilisation d'un terme dans ce
   document ne doit pas tre considre comme ayant une influence sur
   la validit d'une quelconque marque dpose ou marque de services.

   Le fait de nommer un produit ou une marque ne doit pas tre
   considr comme une recommandation.

   Nous vous recommandons fortement d'effectuer une sauvegarde de
   votre systme avant toute installation importante et d'effectuer
   des sauvegardes  intervalles rguliers.

  1.2.  Nouvelles versions de ce document

   Vous trouverez la plus rcente version franaise de ce document 
   l'adresse :
   http://www.traduc.org/docs/howto/lecture/XDMCP-HOWTO.html
   [http://www.traduc.org/docs/howto/lecture/XDMCP-HOWTO.html].

   La plus rcente version originale de ce document est disponible 
   l'adresse : http://tldp.org/HOWTO/XDMCP-HOWTO/index.html
   [http://tldp.org/HOWTO/XDMCP-HOWTO/index.html].

  1.3. Commentaires et ractions

   Les commentaires sur ce document sont bienvenus. Sans vos
   suggestions et autres apports, ce document n'existerait pas.
   Envoyez-moi (en anglais) vos ajouts, commentaires et critiques 
   l'adresse suivante : <tomchao CHEZ lucent POINT com>.

   N'hsitez pas  faire parvenir vos commentaires et suggestions
   concernant l'adaptation franaise de ce document au projet
   Traduc.org [http://www.traduc.org]  l'adresse : <commentaires
   CHEZ traduc POINT org>.

2. La procdure

   Cette section dtaille la procdure de configuration d'un terminal
   X avec XDMCP. Comme pr-requis, vous devez avoir n'importe quelle
   distribution Linux installe, ainsi que X.

  2.1. Avant de commencer, quelques notions

   Avant de commencer, il vaut mieux comprendre globalement le
   fonctionnement. (Vous trouverez plus de dtails Ressources
   ci-dessous et sur le site de Traduc.org [http://www.traduc.org])

   D'habitude, le serveur X est lanc  partir d'un gestionnaire
   d'affichage X. Presque toutes les distributions Linux embarquent
   xdm, kdm et gdm. Le choix de l'un d'entre eux est libre. (Ce
   document se servira de gdm et kdm comme exemples). Le gestionnaire
   d'affichage constitue une interface agrable et uniforme pour les
   utilisateurs lambda (ouverture de session graphique, dmarrage
   d'un gestionnaire de fentre, horloge, et ctera). Un gestionnaire
   d'affichage contrle une srie d'affichages X, qui peuvent tre
   situs sur l'hte local ou sur des serveurs distants. Il est bon
   de noter que ce qu'excute votre environnement est le fichier
   Xsession.

   Quand xdm s'excute, il propose deux manires diffrentes de grer
   l'affichage. Il peut grer un serveur X qui s'excute sur la
   machine locale (indiqu dans Xservers) et des serveurs X distants
   (en gnral des terminaux X) en utilisant XDMCP (en fonction de ce
   qui est indiqu dans le fichier Xaccess -- voir les pages de
   manuel de xdm).

   Quant  kdm (qui fait partie de l'environnement graphique KDE),
   c'est un remplaant de xdm qui se configure de faon identique, 
   ceci prs que ses fichiers sont /etc/X11/kdm pour Caldera, dans
   /etc/kde/kdm pour Red Hat, et dans /usr/share/config/kdm pour
   Mandrake.

   Le gdm (Gestionnaire d'affichage Gnome) est une rcriture du
   fameux xdm. Les fonctions de gdm sont similaires  celles de xdm
   et kdm. Gdm (gdm) est le gestionnaire d'affichage de Gnome, et ses
   fichiers de configuration sont situs dans /etc/X11/gdm/gdm.conf.
   Le fichier gdm.conf contient un ensemble de variables et un grand
   nombre d'options pour gdm. Le rpertoire Sessions contient un
   script pour chaque option de session ; chaque script appelle
   /etc/X11/xdm/Xsession avec l'option approprie. Gdm offre des
   fonctions similaires  xdm et kdm, mais a t crit  partir de
   zro et ne contient aucun code originaire de XDM ou du consortium
   X.

   Avec RH 8.0, une nouvelle interface graphique appele
    Bluecurve  apparat. Son objectif est d'imiter l'apparence de
   XP. Dans ce cas, il n'y a aucune diffrence de configuration !

   On peut trouver d'autres bonnes rfrences pour une configuration
   similaire dans les documents suivants :

     o Le petit guide XDM et les terminaux X
       [http://www.traduc.org/docs/howto/lecture/XDM-Xterm.html],
       crit par Kevin Taylor.

     o Le Petit guide d'excution  distance des applications X
       [http://www.traduc.org/docs/howto/lecture/Remote-X-Apps.html],
       une excellente rfrence d'approche pratique et thorique
       d'excution de X  distance. crit par Vincent Zweije.

     o Le petit guide Xterminal
       [http://ftp.traduc.org/projets/howto/obsoletes/X-Terminal.html],
       crit par Scot W. Stevenson.

  2.2. Rappel de scurit

   L'utilisation de XDMCP est par dfinition dangereuse, ce qui fait
   que la plupart des distributions ont dsactiv son utilisation par
   dfaut. Si vous devez utiliser XDMCP, ne le fates qu'au sein de
   rseaux scuriss, tels que des rseaux d'entreprises protges
   par un pare-feu. Malheureusement, XDMCP utilise le port UDP 177 et
   TCP le port 6000 ; il n'est donc pas possible de l'utiliser
   nativement avec SSH. Actuellement, SSH1 et SSH2 ne permettent pas
   de transmettre les communications UDP de manire scurise.

   La technique de scurisation des connexions via SSH est appele
   transfert de port X11 TCP/IP (X11 TCP/IP Port Forwarding).
   Rendez-vous sur Why Port Forwarding?
   [http://www.ox.compsoc.net/~steve/portforwarding.html] et dans la
   section Ressources pour des informations complmentaires (en
   anglais). Au cas o vous voudriez l'exprimenter, j'ai ajout une
   petite section plus bas pour vous montrer son fonctionnement. Je
   vous dcrirai sommairement son fonctionnement ; je laisse les
   autres experts et/ou les guides pratiques vous expliquer son
   utilisation avance.

  2.3. Mon systme

   J'ai test les configurations de GNOME (gdm) et de KDE (kdm) sur
   Red Hat 6.0, 6.2 et Red Hat 7.x et 8.0. J'ai eu aussi la chance de
   les tester sur Mandrake 7.2, 8.0, 8.2 et 9.0. Les configurations
   de SuSE 7.2 and Slakware 8.0 ont t testes par les utilisateurs
   ; merci  Peter Van Aerten et  tous ceux qui m'ont aid  la
   prparation de ce guide pratique. Je dsire remercier tous les
   utilisateurs qui m'ont aid  raliser ce projet. J'ai aussi
   essay sur Caldera eDesktop 2.4, dont la configuration est
   similaire  celle de RH,  la diffrence qu'il utilise KDE. Je
   n'ai pas eu l'occasion de tester sur d'autres variantes telles que
   Debian ou Slackware (les utilisateurs de Slackware m'ont rapport
   que le fonctionnement est identique  celui dcrit dans ce
   document). Cependant, la configuration devrait tre similaire et
   devrait bien fonctionner. Si vous avez russi  configurer sur
   d'autres distributions que Red Hat, Caldera et Mandrake,
   faites-moi partager votre exprience. Je l'ajouterai  ce
   document.

   Le PC que j'utilise est un compatible IBM, quip d'un AMD Athlon
   XP 1800+, de 384 Mo de mmoire et d'un disque dur de 60 Go
   ATA-100. Cette machine a t mise  jour  partir d'un PC quip
   d'un Intel Pentium II 500 MHz (je me suis aperu que mon vieux PC
   Pentium 100 MHz marche trs bien). J'utilise une carte Fast
   Ethernet intgre dans ma nouvelle carte mre AMD. Sur mon vieux
   PC, j'utilise l'adaptateur 3Com 10/100 (3C509B), un cdrom 48X et
   un disque ZIP IOMEGA. J'ai aussi effectu des tests avec mon
   portable Toshiba Tecra 8100 connect par carte sans fil Agere.

  2.4. Pices rapportes

   J'utilise Exceed 7.0 (Exceed 6.x fonctionne aussi correctement)
   sur mon PC, et je les ai test sous Windows 98 SE, Windows NT 4.0
   et Windows 2000 Pro. J'ai aussi constat que X-Win32 et X-ThinPro
   sont d'autres choix rpandus. Il existe galement beaucoup
   d'applications, libres ou commerciales.

  2.5. Prparation du serveur

   Sous RH 7.x, il faut configurer la recherche des DNS, pour
   permettre  certaines fonctions de rseau de fonctionner
   correctement (comme telnet qui sera utilise pour tester la
   configuration). Vous pouvez saisir netstat -r ou arp -a pour
   vrifier la configuration des DNS ou les temps de rponse. Si vous
   tes dans un petit environnement (comme  la maison ou un petit
   rseau d'entreprise) qui n'a pas son propre serveur DNS et qui
   utilise le serveur DNS du FAI, ajoutez l(es) adresse(s) des
   serveurs de noms dans le fichier resolv.conf. Si vous l'utilisez
   uniquement  la maison ou au labo, vous pouvez alors ajouter dans
   votre fichier local les noms d'hte de toutes les stations de
   travail host.

   Pour que votre serveur X accepte une session XDMCP, assurez-vous
   que les lments suivants sont bien installs :

    1. Installez votre OS Linux. Dans mon cas, j'ai install Red Hat
       7.3 (installation personnalise). Si vous projetez d'utiliser
       SSH pour faire du transfert de port, il vous faudra installer
       le paquetage OpenSSH ou compiler SSH dans le kernel. De plus,
       RH 7.x est fourni avec un pare-feu install par dfaut (
       moins que vous ne fassiez pas ce choix). Vous pourrez
       rencontrer des problmes si vous n'ajoutez pas des rgles 
       votre pare-feu ou si vous ne le neutralisez pas temporairement
       le temps de configurer XDMCP. Je ne dtaillerai pas les rgles
       du pare-feu dans la mesure o ce n'est pas l'objet de ce
       document. Je montrerai seulement comment le faire fonctionner,
        charge pour vous de le rgler finement.

       Avec le noyau 2.2x, vous afficherez les rgles de votre
       pare-feu en saisissant la commande ipchains -L. Pour le
       dsactiver temporairement, utilisez la commande ipchains -F
       pour effacer les rgles (pas de panique, elles seront
       restaures en les rechargeant ou au redmarrage). Avec le
       noyau 2.4x, remplacez la commande ipchains par iptables. Un
       utilisateur m'a indiqu qu'en ajoutant cette rgle, vous
       n'aurez pas besoin de dsactiver votre pare-feu et que vous
       pourrez accder au serveur X (vous pouvez le vrifier par
       vous-mme).

 ipchains -A input -p udp -i $extint --dport 177 -j ACCEPT

       Vous devriez pouvoir utiliser la commande iptables de manire
       identique. (Vous trouverez des rfrences  iptables dans les
       Ressources).

       Pour plus de dtails sur les pare-feu, rendez-vous sur la page
       du Guide pratique de masquage IP
       [http://www.traduc.org/docs/howto/lecture/IP-Masquerade-HOWTO.html].

       Il est aussi possible d'ajouter des rgles pour qu'il accepte
       uniquement les adresses IP des stations de travail de
       confiance. Vous pouvez utiliser la commande iptables  votre
       gr. Je rappelle que sa description n'est pas l'objet de ce
       document. J'ai de la chance dans le sens o j'utilise le
       pare-feu de ma socit.

    2. Configuration du rseau. Vous pouvez utiliser les commandes
       ping, ftp et telnet pour tester le fonctionnement de votre
       rseau. Pour des raisons de scurit, le dmon de la commande
       telnet est dsactiv sur RH 7.x et versions ultrieures.
       Pensez  l'activer si vous dsirez l'utiliser pour effectuer
       vos tests. Vous pourrez toujours le dsactiver (avec la
       commande ntsysv) lorsque vous en aurez termin. Il est aussi
       bon de se souvenir que les rgles du pare-feu sont actives.
       Ajoutez vos propres rgles ou dsactivez les temporairement
       (comme mentionn plus haut) pour permettre l'excution de ces
       commandes.

    3. Configuration de X

       Ne configurez pas X avec une rsolution plus haute que celle
       dont les utilisateurs distants pourront disposer. Testez le
       serveur X en saisissant soit startx soit telinit 5.
       Assurez-vous que X fonctionne correctement.

    4. Crez les comptes indispensables (et les groupes associs)
       pour les utilisateurs devant accder par le terminal X.

  2.6. Procdures  suivre

   J'ai utilis les tapes suivantes pour configurer le serveur X
   afin qu'il accepte les requtes XDMCP :

    1. Dans un environnement grahique Linux, les polices utilises
       sont soit celles du serveur X (xfs), soit celles dont le
       chemin est spcifi dans les fichiers de configuration
       XF86Config ou XF86Config-4. .Si vous prvoyez d'utiliser le
       serveur de polices xfs (cliquez ici pour voir les avantages de
       xfs
       [http://www.redhat.com/docs/manuals/linux/RHL-7.3-Manual/ref-guide/s1-x-fonts.html]),
       pour RH 6.2 et Mandrake 8.x et 9.0, modifiez le fichier
       /etc/rc.d/init.d/xfs et apportez-y les modifications
       suivantes. Changez tout ce qui suit (cela concerne le port du
       serveur de polices) :

 daemon xfs -droppriv -daemon -port
           -1

       en:

 daemon xfs -droppriv -daemon -port
           7100

       Dans la Mandrake 7.2, le port est dj 7100. De plus, sur la
       RH 7.x, l'coute sur un port TCP est  prsent dsactive par
       dfaut pour des raisons de scurit ! Si vous dsirez
       paramtrer le serveur de polices de X, suivez les tapes

       Changez la ligne suivante du fichier /etc/rc.d/init.d/xfs :

 daemon xfs -droppriv -daemon

       en :

 daemon xfs -droppriv -daemon -port 7100

       Puis, dans /etc/X11/fs/config, mettez cette ligne en
       commentaires :

 # Ne pas couter sur les ports TCP (pour des raisons de scurit)
 #no-listen = tcp

       Si vous changez ou ajoutez le port, utilisez cette commande
       pour redmarrer votre serveur de polices X (ncessite les
       droits de root) :

 service xfs restart

       Le port 7100 n'est pas obligatoire. Vous pouvez choisir un
       autre port, dans la mesure o vous aurez vrifi soigneusement
       que ce port n'occasionne pas de conflit. Il est de bon ton de
       consulter votre administrateur Linux avant de le faire, afin
       qu'il sache que le port est utilis ! Les diffrentes
       distributions Linux peuvent placer xfs dans diffrents
       rpertoires sous /etc/rc.d. Si c'est le cas, vous pouvez le
       rechercher.

    2. Modifiez /etc/X11/xdm/xdm-config en effectuant les
       modifications suivantes : Par dfaut dans la plupart des
       distributions Linux, cette ligne est active, ce qui fait qu'il
       n'coute pas les connexions XDMCP. Ceci pour des raisons de
       scurit. Pour Caldera et en utilisant kdm, le fichier est
       situ en /etc/X11/kdm. Trouvez cette ligne :

 DisplayManager.requestPort: 0

       et mettez la en commentaire comme ceci :

 ! DisplayManager.requestPort: 0

       Rappelez vous que ceci n'affecte pas gdm. La configuration de
       gdm se trouve dans la section suivante.

    3. Dans le fichier /etc/X11/xdm/Xaccess modifiez ce qui suit.
       (cela permet  tous les htes de se connecter). Pour Caldera,
       et en utilisant kdm, le fichier est situ en /etc/X11/kdm.
       Changez les droits d'accs en 644 (chmod 644) :

 #* # any host can get a login window

       en :

 * # any host can get a login window

       La configuration ci-dessus est en mode Diffusion (Broadcast),
       qui permet d'tablir la liste de tous les serveurs X coutant
       les demandes de prise en charge de connexion X et en mesure de
       l'effectuer. Si vous dsirez n'autoriser que certaines
       connexions, utilisez la section CHOOSER du mme fichier. Vous
       trouverez un exemple dans les Ressources.

    4. J'utilise gdm par dfaut ainsi que l'invite de connexion gdm
       pour permuter KDE et GNOME. Pour gdm, ditez le fichier
       /etc/X11/gdm/gdm.conf. Ce qui suit active XDMCP, en le faisant
       couter les requtes. Pour kdm (si vous avez choisi KDE comme
       gestionnaire d'affichage lors de l'installation), ditez le
       fichier /usr/share/config/kdm/kdmrc pour Mandrake et
       /etc/kde/kdm/kdmrc pour Red Hat ou
       /opt/kde2/share/config/kdm/kdmrc pour Slackware version
       (KDE2). Modifiez cette ligne :

 [xdmcp]
 # false peut tre remplac par 0 dans certaines distributions
 Enable=false

       en :

 # true peut tre remplac par 1 dans certaines distributions
 Enable=true

       Assurez-vous que Port=177 est prsent  la fin de ce bloc.

    5.  prsent, ditez le fichier /etc/inittab et modifiez la ligne
       suivante :

 id:3:initdefault:

       en:

 id:5:initdefault:

       Dans la Slackware, le mode graphique (X11) est 4 et non 5.

       Ceci fait passer la connexion du mode ligne de commande en
       mode graphique. Vous pouvez utiliser la commande telinit pour
       effectuer un test avant de modifier cette ligne. Utilisez soit
       telinit 3 pour passer au niveau 3, ou telinit 5 pour passer au
       niveau 5 en mode graphique (vous pouvez essayer cette commande
       sur la deuxime machine relie par telnet  votre serveur).

    6. Assurez-vous que les attributs de scurit du fichier
       /etc/X11/xdm/Xservers sont fixs  444 (chmod 444).

    7. Localisez /etc/X11/xdm/Xsetup_0 et excutez chmod 755 sur ce
       fichier.

    8. ditez le fichier XF86Config (si vous utilisez Xfree86 4.x, le
       fichier se nomme XF86Config-4) situ en /etc/X11 et modifiez
       la ligne :

 FontPath "unix/:-1"

       en :

 FontPath "unix/:7100"

       Si vous dcidez d'utiliser un port diffrent du traditionnel
       port 7100, assurez-vous de le modifier  la fois dans le
       fichier /etc/rc.d/init.d/xfs et ici !

       Afin de vous conomiser du temps et de l'nergie, je vous
       recommande d'ajouter le chemin des polices (FontPath) dans les
       fichiers de configuration XF86Config et XF86Config-4. Si vous
       n'tes pas certain de la disponibilit des polices, vous
       pouvez utiliser cette commande pour le vrifier (avec les
       droits de root) :

 chkfontpath --list

       Les polices suivantes constituent quelques exemples de
       rfrence. Assurez-vous de disposer de ces polices avant
       d'diter ces chemins.

 FontPath "/usr/X11R6/lib/X11/fonts/75dpi/"
 FontPath "/usr/X11R6/lib/X11/fonts/misc/"
 FontPath "/usr/X11R6/lib/X11/fonts/CID/"
 FontPath "/usr/X11R6/lib/X11/fonts/Speedo/"
 FontPath "/usr/X11R6/lib/X11/fonts/100dpi/"
 FontPath "/usr/X11R6/lib/X11/fonts/Type1/"

    9. (Il n'est pas ncessaire d'effectuer cette modification. Vous
       pouvez laisser les paramtres par dfaut, cependant je prfre
       ce rglage. En cas de doute, laissez-les tels quels). Modifiez
       cette ligne  la fin du fichier /etc/inittab :

 x:5:respawn:/usr/bin/gdm

       Si vous dcidez de ne pas modifier cette ligne, tant mieux !
       Ce n'est pas une tape ncessaire, mais une prfrence
       personnelle !

    prsent, vous allez pouvoir effectuer un test.

   Un autre point  connatre (qui a t demand par certains), est
   la manire d'afficher le message au chargement avec Willing to
   manage. D'aprs ce que je sais, cette opration est possible dans
   xdm en ajoutant ce qui suit au fichier /etc/X11/xdm/xdm-config.

 DisplayManager.willing: su noboby -c /etc/X11/xdm/Xwilling

   Le script Xwilling devant tre prsent sur votre systme.

   Pour gdm, ajoutez cette ligne au fichier /etc/X11/gdm/gdm.conf
   dans la section [security] :

 Willing=/etc/X11/gdm/Xwilling

   Vous trouverez ici un exemple du script Xwilling
   [http://www.penguinlovers.net/linux/Xwilling]  titre de
   rfrence. La dcision d'ajouter ou non ce script vous appartient.
   Ce n'est pas une tape ncessaire ici !

  2.7. Tests

   Pour tester si votre XDMCP fonctionnant avec le serveur X est prt
    accepter les connexions, suivez ces tapes. Je trouve qu'il est
   plus ais d'utiliser le serveur X et un autre poste pour effectuer
   les tests.

    1. (Re)lancez X (situ dans le niveau d'excution n5). Si vous
       ne savez pas trop comment le faire, redmarrez simplement
       votre systme (ce n'est cependant pas ncessaire si vous savez
       comment le redmarrer en ligne de commande. C'est toute la
       beaut de Linux, compare  Windows).

    2. Si vous n'avez pas procd  la modification des rgles de
       votre pare-feu, il vous faut le dsactiver temporairement par
       le commande iptables -F (ou ipchains -F).

    3. Vrifiez que l'invite de connexion apparat. Vrifiez que la
       rsolution d'affichage et que la souris fonctionnent.
       Connectez-vous depuis la console pour voir si l'accs en local
       est possible. Si oui, ne vous dconnectez pas.

    4. Paramtrez Exceed (ou tout autre logiciel de client graphique
       (X)) pour soit appeler cette machine (par son adresse IP ou
       son nom DSN totalement qualifi), soit pour utiliser le
       paramtre de diffusion de XDMCP (XDMCP-Broadcast) et essayez
       de vous connecter au serveur X. Vous devriez voir apparatre
       l'cran de la session X et l'invite de connexion.

3. Transfert X11  l'aide de SSH

   Comme je l'ai expliqu prcdemment, utiliser XDMCP pour afficher
   une interface graphique via Internet est fondamentalement un
   non-sens, car les donnes ne sont pas chiffres lors de leur
   passage sur Internet. Une des manires de renforcer la scurit du
   transfert est de recourir  SSH par appel de X11 dans un tunnel
   scuris ou par transfert de port. SSH (Secure Shell,
    interprteur de commandes scuris  a t dvelopp en 1995 par
   Tatu Ylonen pour remplacer les telnet, ftp, scp, rcp, rlogin, rsh,
   etc, par nature non scuriss. La premire chose  savoir est que
   le transfert X11 avec SSH est diffrent de votre faon habituelle
   et non scurise de faire tourner un fentrage X.

   Avant de commencer cette configuration, il vous faut des
   informations complmentaires. Premirement, il faut que le
   paquetage SSH soit install. Dans Linux, il s'agit des paquetages
   OpenSSH. Vrifiez dans votre distribution les paquetages 
   installer (certaines l'installent par dfaut). Deuximement, il
   vous faut un client SSH Windows (client SSH Windows (des versions
   pour d'autres systmes d'exploitation tels que MAC, sont aussi
   disponibles). Je recommande PuTTY. C'est un merveilleux client SSH
   libre. Vous pouvez le tlcharger de ce lien
   [http://www.chiark.greenend.org.uk/~sgtatham/putty/]. N'oubliez
   pas de tlcharger la documentation et de la lire soigneusement.
   Un autre bon client SSH libre est Tera Term Pro + TTSSH, qui
   constitue une extension SSH  Tera Term. Celui-ci est un client
   SSH dit par SSH.com (gratuit pour des utilisations non
   commerciales). Je vais procder de nouveau par tapes, de faon 
   vous permettre de suivre facilement.

    1. Ouvrez le programme putty.exe en double-cliquant dessus. Cela
       va lancer l'interface. Premirement, renseignez les
       informations de connexion dans le champ "Host Name (or IP
       address)" avec le nom de l'hte distant ou son adresse IP et
       slectionnez SSH (SSH utilise le port 22). Dans la fentre
       "Category", trouvez la branche "Connection". Dans SSH,
       dveloppez-la et vous verrez la fentre "Tunnels". Cliquez sur
       "Enable X11 forwarding" (autoriser le transfert de port). Il
       configurera l'affichage graphique par dfaut  localhost:0. 
       prsent, retournez  la fentre "Session" et sauvegardez cette
       session sous le nom de votre choix. J'utilise normalement le
       nom d'hte pour me rappeler facilement o je dsire me
       connecter.

    2. Dans l'exemple d'Exceed, voici comment faire. (Pour les autres
       clients X, la configuration est analogue). Ouvrez Xconfig de
       votre rpertoire Exceed. Dans votre cran Screen Definition
       (dfinition de l'cran), passez le "Window mode"  "Multiple"
       et sauvegardez-le. Appelez ensuite votre icne "Communication"
       et dfinissez le mode "Startup"  "Passive".

    3. C'est termin. Afin d'effectuer les tests, nous allons d'abord
       utiliser PuTTY (ou un autre client SSH) pour se connecter sur
       le serveur.  la premire connexion, il vous demandera si vous
       dsirez conserver la cl de scurit. ("Yes" (oui) est le
       choix par dfaut). Une fois connect, lancez Exceed. Il
       demeurera en tche de fond. Vous pouvez  prsent excuter
       n'importe quelle application X ; l'application X devrait tre
       transmise  travers SSH  votre cran local. Par exemple :

 $ xclock &

       Vous devriez voir Xclock tourner sur votre cran local.

   Vous constatez  prsent la diffrence : vous ne voyez pas toutes
   vos fentres graphiques. Vous excutez simplement vos applications
   une par une et elles sont routes via SSH vers votre cran local.
   Ce qui fait qu'il vous faut connatre la commande de chaque
   application  lancer. Tous les contrles s'effectuent 
   l'intrieur de la fentre du client SSH. Pour moi, la scurit est
   plus importante que ce lger inconvnient !

   Si vous utilisez X-Win32 et que vous dsirez mettre en uvre SSH
   et le transfert de port [http://www.starnet.com/products/ssh.htm],
   vous pouvez avoir recours  cette rfrence pour le configurer.

4. Dpannage

     o Si X ne veut pas dmarrer et est cass :

       Si X est cass et que la connexion choue, dans la plupart des
       cas les messages d'erreur suivants s'affichent :

 _ FontTransSocketUNIXConnect : Can't connect: errno = 111
 failed to set dafault font path 'unix:-1'
 Fatal server error:
 could not open default font 'fixed'

       Il est probable que xfs ne trouve pas le bon port du serveur
       de polices ou que le chemin des polices n'est pas configur
       correctement. Pour rsoudre le problme, vrifier les tapes 1
       et 8 ci-dessus. Vrifiez que la configuration pointe vers le
       port 7100 et assurez-vous que les polices suivantes sont
       installes (si ce n'est pas le cas, rinstallez les paquetages
       des polices de Xfree86  partir de votre cdrom). Vrifiez la
       liste dans le fichier XF86Config (si vous utilisez Xfree86, le
       fichier est XF86Config-4) situ dans le rpertoire /etc/X11 :

 FontPath "/usr/X11R6/lib/X11/fonts/75dpi/"
 FontPath "/usr/X11R6/lib/X11/fonts/misc/"
 FontPath "/usr/X11R6/lib/X11/fonts/CID/"
 FontPath "/usr/X11R6/lib/X11/fonts/Speedo/"
 FontPath "/usr/X11R6/lib/X11/fonts/100dpi/"
 FontPath "/usr/X11R6/lib/X11/fonts/Type1/"

       Saisissez en mode ligne de commande startx (en local) pour
       redmarrer le serveur X (ou utilisez la commande telinit 5
       pour dfinir le niveau d'excution). Pour redmarrer xfs,
       utilisez la commande de l'tape 1.

       J'ai constat que dans la RH 7.3 que si mon xfs n'est pas
       dmarr, la connexion avec Exceed plantera si j'utilise GNOME.
       (Avec KDE, le fonctionnement est correct et le GNOME de la
       Mandrake n'est pas affect). Aprs avoir corrig et redmarr
       xfs, a marche bien !

     o Si Exceed ne rpond pas (vous avez un cran blanc) :

       Dans ce cas, il est trs probable que xdm (ou gdm, en fonction
       de celui qui est dclar dans /etc/inittab) ne dmarre pas
       correctement. Essayez la commande : ps -ef | grep gdm (ou xdm
       ou kdm, mettez le bon dans la commande). De plus, si votre
       systme est configur pour utiliser udp avec XDMCP, vous
       pouvez saisir netstat -l | grep xdmcp. Vous devriez voir
       ceci :

 udp 0 0 *:xdmcp *:*

       Si le processus n'est pas lanc, vrifiez les tapes de la
       configuration ci-dessus (assurez-vous qu'il n'y a pas de faute
       de frappe et que le chemin dclar est correct). Redmarrez X
        l'aide de la commande telinit 5. Si XDMCP n'est pas
       configur pour utiliser udp, suivez l'tape 2 ci-dessus.

       Il est aussi possible que la configuration de votre DNS soit
       incorrecte et/ou que votre pare-feu soit actif. Vous pouvez
       facilement l'tablir en appelant simplement votre hte par
       ping ou telnet ; si la rponse est longue  arriver, c'est que
       vous avez un problme avec votre DNS. Si avec telnet vous
       recevez en retour un un message  Connection Refused , alors
       c'est que le problme vient du pare-feu (dans la mesure o
       votre dmon telnet est dj lanc !) Voyez la section situe
       plus haut pour plus d'informations sur la manire de rsoudre
       ce problme.

     o Ordinateur de type PC Box avec PPPoE (PPP par Ethernet) :

       Un utilisateur de PPPoE m'a rapport que si vous utilisez
       PPPoE, il se peut que vous rencontriez des difficults avec
       XDMCP. Aprs l'avoir dsinstall, il devrait tre capable de
       faire tourner XDMCP. N'ayant pas d'environnement pour
       effectuer un test, je vous laisse le soin de le tester
       vous-mme.

     o Exportation d'affichage de Linux  Linux :

       Si vous utilisez une autre station sous Linux avec X, vous
       n'aurez pas besoin d'XDMCP pour grer votre affichage. En
       fait, vous pouvez exporter l'affichage de votre PC.  cet
       effet, il vous faut autoriser une autre station  se connecter
       au serveur X. Sans cela, les messages d'erreur les plus
       frquents que vous obtiendrez seront :

 xlib: Connection refused (error 111): unable to connect to X server
 xlib: No such process (error 3): Server error

       Pour rsoudre le problme, saisissez la commande ci-dessous :

 $ xhost +
 $ export DISPLAY=adresse_IP_de_votre_machine:0.0

       Souvenez-vous bien qu'il faut autoriser l'accs par la
       commande xhost - une nouvelle fois. Une chose  retenir est
       que vous n'en avez pas besoin si vous utilisez un PC comme
       terminal X avec XDMCP. Le besoin existe si vous utilisez une
       connexion Linux vers Linux ou Linux vers UNIX.

       Si vous utilisez un grand nombre de stations Linux sous X et
       que vous dsirez pouvoir choisir  quel serveur X vous
       connecter, il vous faudra dcommenter ce qui suit dans le
       fichier /etc/X11/gdm/gdm.conf :

 [daemon]
 Chooser=/usr/bin/gdmchooser --disable-sound --disable-crash-dialog
 ...
 [xdmcp]
 Enable=1
 HonorIndirect=1

     o J'ai un message d'erreur Signal 11 :

       Le message d'erreur Signal 11, nomm galement Segmentation
       Fault (Erreur de segmentation), peut parfois avoir pour cause
       un problme matriel ou logiciel. Si vous rencontrez ce
       problme en dmarrant votre serveur X, il vous faudra rgler
       ce problme avant de configurer XDMCP. Malheureusement, un tel
       problme n'est pas facile  rgler, en raison de nombreuses
       causes possibles. Pour plus d'informations, rendez-vous sur ce
       site (en anglais) consacr  l'erreur 11 lors de la
       compilation du noyau SIG 11 while compiling the Kernel.
       [http://www.bitwizard.nl/sig11/]

5.  XDMCP et GDM (le Gestionnaire d'affichage Gnome)

   Ce qui suit est tir du Manuel de rfrence du Gestionnaire
   d'Affichage Gnome
   [http://www.jirka.org/gdm-documentation/t1.html] :

   GDM est galement compatible avec le protocole de gestionnaire
   d'affichage X (XDMCP) pour la gestion des affichages distants. GDM
   coute le port UDP 177 et rpond aux requtes QUERY (vers un hte)
   et aux requtes BROADCAST (appel gnral au rseau) en envoyant un
   paquet WILLING  l'initiateur de la requte. Il est galement
   possible de configurer GDM pour qu'il honore les requtes
   indirectes et qu'il prsente un cran de choix d'htes 
   l'affichage distant. GDM mmorisera le choix de l'utilisateur et
   transmettra les requtes sous-jacentes au gestionnaire retenu. GDM
   est uniquement compatible avec le systme d'authentification
   MIT-MAGIC-COOKIE-1. Les autres possibilits ont peu de valeur
   ajoute, et aucun effort n'a t consacr  leur mise en uvre.
   Dans la mesure o il est trs facile de lancer une attaque en dni
   de service contre le service XDMCP, GDM comporte quelques
   dispositifs pour s'en protger. Pour plus d'informations, rfrez
   vous  la section de rfrence de XDMCP ci-dessous.

   Mme si GDM tente de berner les attaquants potentiels, nous vous
   conseillons cependant de faire en sorte que votre pare-feu bloque
   le port 177,  moins que vous n'en ayez rellement besoin. GDM
   protge des attaques en dni de service ; il n'en demeure pas
   moins que le protocole X est encore non scuris par nature, et
   qu'il devrait tre utilis uniquement dans des environnements
   protgs. Mme si votre affichage est protg par un dispositif,
   les vnements de X et donc les caractres taps au clavier
   lorsque vous saisissez votre mot de passe passeront en clair 
   travers le rseau. Il est enfantin de les capturer. Il vous faut
   aussi savoir que les dispositifs de scurit, s'ils sont placs
   dans un rpertoire mont par NFS, sont susceptible d'tre couts.

6. Ressources

   Quelques rfrences complmentaires sur le sujet :

     o Votre page de manuel locale de xdm.

     o Votre page de manuel locale de gdm.

     o Configuration de XDM
       [http://ftp.traduc.org/doc-vf/gazette-linux/html/1999/lecture/issue-43/lg43-fr-2.html]

     o Configuration du gestionnaire de ressources X (en anglais)
       [http://www.me.umn.edu/~kaszeta/unix/xterminal/config.html]

     o xdmcp sur udp
       [http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-059/]

     o Documentation XDMCP pour quasi-terminaux
       [http://nlsn.free.fr/lin-docs/xterminal/diskless-xterminal/node12.html]

     o Faut-il mettre en uvre XDMCP ?
       [http://www-uxsup.csx.cam.ac.uk/security/probing/about/xdmcp.html]
       (en anglais)

     o Terminaux X (en anglais)
       [http://www.linuxgazette.com/issue27/kaszeta.html]

     o Accder  des terminaux X  partir de Windows : Cygwin (en
       anglais) [http://cygwin.com]

     o Installer et configurer X-Win32
       [http://www.linux-france.org/prj/edu/p-mcurie/xterm9x/]

     o Apprivoiser le gestionnaire d'affichage X (en anglais)
       [http://www.rru.com/~meo/pubsntalks/xrj/xdm.html]

     o Pourquoi recourir au transfert de port ? (en anglais)
       [http://www.ox.compsoc.net/~steve/portforwarding.html] ;
       Transfert de port (en anglais)
       [http://www.ssh.com/products/ssh/administrator30/Port_Forwarding.html]
       ; SSH : Transfert X11
       [http://www.ssh.com/products/ssh/administrator30/X11_Forwarding.html]

     o Gestionnaire d'affichage GNOME (en anglais)
       [http://www.5z.com/jirka/gdm.html]

     o aperu d'un pare-feu bas sur ip-tables en 10 minutes (en
       anglais)
       [http://www.onlamp.com/pub/a/onlamp/2001/10/19/firewalls.html]
       ; Initiation aux commandes iptables (en anglais)
       [http://www.onlamp.com/linux/cmd/i/iptables.html]

     o Comment scuriser les services de votre systme (en anglais)
       [http://www.linuxsecurity.com/resource_files/host_security/securing-debian-howto/ch-sec-services.en.html]
       (Debian)

     o Guide pratique de configuration du gestionnaire de connexion
       KDM
       [http://www.traduc.org/docs/howto/lecture/KDE-GUI-Login-Configuration-HOWTO.html]

7. Auteurs

   Auteur actuel : Thomas Chao, Lucent Technologies. <tomchao CHEZ
   lucent POINT com>

8. Traducteurs

   Traducteur version franaise : Denis Berhaut. <denis POINT berhaut
   CHEZ free POINT fr>

   Relecteur version franaise : ric Madesclair. <eric TIRET m CHEZ
   wanadoo POINT fr>

9. Droits d'utilisation

   La version originale de ce document est copyright  2000-2003
   Thomas Chao et est diffus selon les termes de la licence du
   Projet de documentation Linux (LDP), telle qu'indique ci-dessous.

   L'adaption franaise de ce document est copyright  2004-2005
   Denis Berhaut, ric Madesclair et Jean-Philippe Gurard et est
   diffus selon les termes de la licence du Projet de documentation
   Linux (LDP), telle qu'indique ci-dessous.

   Sauf mention du contraire, les droits d'auteurs des Guides
   pratiques Linux (Linux HOWTO) appartiennent  leurs auteurs
   respectifs. Les Guides pratiques Linux peuvent tre reproduits et
   diffuss en totalit ou en partie, sur n'importe que support,
   physique ou lectronique, tant que cette mention des droits
   d'auteur et d'utilisation est conserve sur toutes les copies. La
   diffusion  titre commercial est autorise et encourage ;
   cependant, les auteurs souhaitent tre avertis de toute diffusion
   de ce type.

   Toute traduction, uvre drive ou uvre incorporant un quelconque
   Guide pratique Linux doit tre ralis dans le cadre de cette
   licence. Autrement dit, vous n'avez pas le droit de produire une
   uvre drive de ce Guide pratique en imposant des restrictions
   supplmentaires  sa diffusion. Des exceptions  ces rgles
   peuvent tre accordes dans certains cas ; veuillez contacter (en
   anglais) le coordinateur des Guides pratiques Linux  l'adresse
   indique ci-dessous.

   En rsum, nous souhaitons promouvoir une large diffusion de ces
   informations au travers du plus grand nombre de supports
   possibles. Cependant, nous souhaitons conserver nos droits
   d'auteur sur ce document et nous voudrions tre notifi de tout
   projet de diffusion de ces guides pratiques.

   Pour toute question, veuillez contacter : <linux TIRET howto AT
   metalab DOT unc DOT edu>

