portfolio guillaume gatepaille - projet...

Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille

0

.

PROJET EVOLUTION

Chef de projet : Mickael Affeltranger Administrateurs Windows : Florent Armingaud & Mickael Affeltranger Administrateurs Linux : Guillaume Gatepaille & Benjamin Rodot


1

Table des matières Table des matières ...................................................................................................................................... 1

1. Contexte : ........................................................................................................................................ 3

1.1 Cahier des charges : ................................................................................................................. 3

2. Installation des serveurs .................................................................................................................. 4

2.1 Serveur principal ..................................................................................................................... 4

2.1.1 Windows 2012 R2 Datacenter. ........................................................................................ 5

2.1.2 Debian. ............................................................................................................................ 6

2.2 Serveur secondaire .................................................................................................................. 6

2.2.1 Windows 2012 R2 Datacenter ......................................................................................... 6

2.2.2 Debian ............................................................................................................................. 6

3. Windows Server 2012 R2 Datacenter ............................................................................................. 7

3.1 Serveur DHCP. ......................................................................................................................... 7

3.2 Serveur d’impression ............................................................................................................... 8

3.3 DNS (Domain Name Service) ................................................................................................... 9

3.4 Active Directory. .................................................................................................................... 10

3.5 Stratégie de groupe (GPO) .................................................................................................... 11

3.6 Stratégies de comptes. .......................................................................................................... 15

3.6.1 Gestion de l’espace disque. ........................................................................................... 15

3.6.2 Stratégie de mots de passe. .......................................................................................... 15

3.6.3 Horaires d’accès. ........................................................................................................... 16

4. Debian. .......................................................................................................................................... 18

4.1 Paquets à installer. ................................................................................................................ 18

4.2 Mise en place......................................................................................................................... 18

4.2.1 Kerberos. ....................................................................................................................... 19

4.2.2 Samba ............................................................................................................................ 20

4.2.3 Protocole SMB/CIFS. ...................................................................................................... 20

4.2.3.1 Access control list. ......................................................................................................... 20

4.3 FTP (File Transfert Protocol) .................................................................................................. 22

4.4 NFS. ........................................................................................................................................ 22

4.4.1 Service NFS. ................................................................................................................... 22

4.4.2 Client NFS ...................................................................................................................... 22

5. Application. ................................................................................................................................... 23

5.1 Présentation GLPI .................................................................................................................. 23

5.2 Caractéristiques ..................................................................................................................... 23


2

5.2.1 Général .......................................................................................................................... 23

5.2.2 Inventaire ...................................................................................................................... 23

5.3 Mise en place......................................................................................................................... 24

5.4 Plugin Fusion Inventory ......................................................................................................... 24

5.5 Mode consultation et gestion ............................................................................................... 25

6. Gestion des risques (tolérance de panne). .................................................................................... 28

6.1 RAID 5. ................................................................................................................................... 29

6.2 Réplication systèmes. ............................................................................................................ 30

6.3 Onduleur et groupe électrogène ........................................................................................... 30

6.4 Contrat de maintenance........................................................................................................ 30

7. Annexes. ........................................................................................................................................ 31

7.1 DNS. ....................................................................................................................................... 31

7.1.1 Installation du serveur DNS. .......................................................................................... 31

7.1.2 Configuration serveur DNS ............................................................................................ 34

7.2 DHCP. ..................................................................................................................................... 35

7.2.1 Installation du serveur DHCP (Windows Server 2012 R2). ............................................ 35

7.2.2 Configuration du serveur DHCP (Windows server 2012 R2). ........................................ 39

7.3 Active Directory. .................................................................................................................... 41

7.3.1 Déploiement de l’active directory. ................................................................................ 41

7.3.2 Intégrer un poste au domaine. ...................................................................................... 46

7.3.3 Création d’une GPO (Stratégie de groupe).................................................................... 48

7.4 Impression. ............................................................................................................................ 50

7.4.1 Déploiement du serveur d’impression. ......................................................................... 50

7.4.2 Installation d’une imprimante. ...................................................................................... 52

7.5 Installation GLPI ..................................................................................................................... 55

7.6 Partage de ressources entre Windows et Linux .................................................................... 65

7.7 FTP ......................................................................................................................................... 71

7.8 NFS. ........................................................................................................................................ 72

7.8.1 Service NFS. ................................................................................................................... 72

7.8.2 Client NFS. ..................................................................................................................... 72


3

1. Contexte : Après le déploiement de l’architecture réseau et câblage présenté lors de la réunion précédente,

Robotics Inc fait face à une nouvelle problématique : celle de la mise en place des systèmes

informatiques. L’entreprise vient de s’installer dans les nouveaux locaux et nous avons besoin

d’améliorer les pratiques.

1.1 Cahier des charges : L’équipe informatique manque d’informations quant aux utilisateurs et au parc informatique,

c’est pourquoi nous avons décidé de mettre en place une application de gestion de parc qui

gère aussi la génération de tickets afin que les utilisateurs puissent l’alerter en cas de panne

ou de disfonctionnement (Gestionnaire Libre de Parc Informatique).

Nous avons suivi le cahier des charges concernant la gestion des droits utilisateurs.

Nous avons mis en place un serveur Linux servant principalement d’espace de stockage

(serveur FTP et dossiers utilisateurs avec Samba), mais aussi de système de sauvegarde

(serveur et client NFS) ainsi qu’un service HTTP (php-mysql, apache).

Nous avons mis en place un serveur Windows 2012 R2 Datacenter afin de déployer l’Active

Directory et d’autres fonctionnalités (DNS, DHCP, Serveur d’impression)

Nous avons réparti les rôles comme ceci :

Mr

Du

cam

in (

PD

G)

Mr

Gri

ol (

DA

F)

Mic

kae

l Aff

elt

ran

ger

Flo

ren

t A

rmin

gau

d

Gu

illau

me

Gat

ep

aille

Be

nja

min

Ro

do

t

Etude du projet C C A,R C C C

Contrôle qualité C C A,R C C C

Gestion des risques C C A,R C C C

Décisions financières C R A I I I

Application GLPI C C A I I R R : Réalise

Active directory C C A,R R I R A : Assume

Serveur DNS C C A,R R I I

C : Consulté

Serveur d'impression C C A,R R I I I : Informé

Serveur FTP C C A I R I

Serveur NFS C C A I R I

Client NFS C C A I R I

Serveur DHCP C C A R I I

Serveur HTTP C C A I I R

Samba C C A I I R


4

2. Installation des serveurs 2.1 Serveur principal Nous avons mis en place un hyperviseur (VMware ESXi 6.0) sur le serveur principal, ce qui permet

de monter plusieurs systèmes sur un seul serveur physique.

Il est accessible à distance via navigateur web par l’adresse https://82.216.231.101/ ou bien

https://projetevolution.ddns.net (nous avons mis en place un DNS dynamique pour palier à

l’éventualité d’un changement d’adresse IP de la part du fournisseur d’accès internet, ainsi que pour

le côté pratique.

https://82.216.231.101/

https://projetevolution.ddns.net/


5

Virtualisation des systèmes d’exploitation.

Pour nous permettre de faire cohabiter deux systèmes d’exploitation sur le même serveur

physique, nous avons choisi de mettre en place la virtualisation de Windows et de Debian. En effet,

cette méthode a l’avantage de pouvoir faire fonctionner plusieurs systèmes d’exploitation sur un seul

et même serveur physique.

L’avantage principal d’une telle méthode va permettre de faire des économies sur plusieurs points :

Moins de matériel physique, donc une consommation d’électricité réduite d’environ 20%.

Moins de matériel qui chauffe, donc des coûts moindres en climatisation.

Meilleure optimisation des machines physique : en effet, un seul serveur avec un seul système

d’exploitation installé sur la machine utilise environ 25% des capacité de la machine ; en

installant plusieurs systèmes d’exploitation, on optimise la capacité de rendement du serveur

physique.

Les systèmes d’exploitation installés sont totalement indépendants les uns des autres, donc

même si un système est défaillant, l’autre ne le sera pas.

L’inconvénient majeur sera donc que tous les systèmes sont hébergés par le même serveur

physique, donc s’il arrive qu’il y ait un problème matériel, tous les services en seront impactés. Il faudra

donc être prudent sur les tolérances de pannes, en mettant en place des systèmes permettant de ne

pas avoir de perte d’activité.

Pour pouvoir gérer plusieurs systèmes d’exploitation, nous avons vu qu’il existait deux principaux

acteurs : Hyper-V et ESXi. Par soucis de praticité, nous avons choisis ESXi car nous étions à l’aise avec

l’environnement VMware.

2.1.1 Windows 2012 R2 Datacenter. Nous avons opté pour la version 2012 de Windows serveur car c’est la version la plus récente, qui

propose le plus de fonctionnalités, et qui a su prouver sa stabilité. Le contrôleur de domaine a été

virtualisé sur l’ESXi. Il est accessible à distance en passant par le Bureau d’accès à distance (RDP) depuis

n’importe quelle machine Windows, à condition de connaître les informations d’authentification.


6

2.1.2 Debian. Nous avons opté pour Debian comme système Linux, déjà car il est extrêmement stable, gratuit,

et maintenu par d’innombrables utilisateurs. De plus, le système gère intelligemment la mémoire et

est reconnu comme étant sécurisé. Il a été virtualisé sur l’ESXi du serveur principal, et est accessible

distance en passant par le SSH (soit via Linux, soit via un programme tel que PuTTy). L’accès à la

session root via SSH a été bloqué.

2.2 Serveur secondaire Nous avons mis en place un serveur secondaire avec un hyperviseur VMware ESXi afin de répondre

face à des problématiques de sécurité.

2.2.1 Windows 2012 R2 Datacenter Un deuxième Windows server a été déployé. Il gère le DNS secondaire, le basculement de DHCP

actif/actif (il se partage les charge avec le serveur principal), ainsi que la réplication de l’active

directory, afin d’avoir un système toujours opération sans interruption de productivité, même en cas

de panne.

2.2.2 Debian Un deuxième Debian a été déployé, et est utilisé comme Client NFS, afin de sauvegarder

automatiquement les ressources de l’autre serveur.


7

3. Windows Server 2012 R2 Datacenter 3.1 Serveur DHCP. Le serveur DHCP (Dynamic Host Configuration Protocol) a pour objectif d’attribuer des adresses

IP, masque réseau, passerelle et DNS à toutes les machines qui se connectent au réseau de l’entreprise

de manière automatique pour une durée fixe (appelée bail). Le bail est renouvelé à chaque connexion

de la machine au domaine. La mise en place de ce serveur permet d’éviter d’entrer l’adressage IP

manuellement sur chaque machine qui se connecte au réseau, et donc de gagner du temps.

Nous avons défini la plage d’adresses de 192.168.0.110 à 192.168.1.240. Cette plage d’adresses

nous permet d’accueillir 386 hôtes, ce qui nous laisse de la marge pour une future expansion de

l’entreprise. Pour se voir attribuer une adresse IP via le DHCP, il est nécessaire d’intégrer au préalable

le domaine AD.RoboticsInc.

Charte d’adressage IP :

192.168.0.1 Routeur

192.168.0.100 VMware ESXi

192.198.0.101 Windows server 2012 Contrôleur de domaine

192.168.0.102 Debian principal

192.168.0.103 Windows server 2012 DNS secondaire

192.168.0.104 Debian client NFS

192.168.1.248 PrintToutlemonde

192.168.1.249 PrintRobotique

192.168.1.250 PrintDomotique

192.168.1.251 PrintSAV

192.168.1.252 PrintInformatique

192.168.1.253 PrintDirection

192.168.1.254 PrintAdministration

192.168.0.110 à

192.168.1.240 Plage DHCP


8

3.2 Serveur d’impression Nous avons mis en place un serveur d’impression afin de gérer l’ensemble des imprimantes du

parc. Les imprimantes ont été installées sur le serveur d’impression avec une adresse IP fixe.

Le choix des imprimantes a été fait en amont lors du Projet START.

Nous avons donc sept imprimantes mises en place comme défini dans le cahier des charges : elles

doivent avoir un nom sous la forme « PrintNomduservice » :

(Printtoutlemonde, PrinttoutlemondeDir et PrintoutlemondeRobDom sont la même

imprimante, avec des droits différents).

Concernant les droits des utilisateurs des imprimantes :

La direction est prioritaire sur l’ensemble des impressions et peut utiliser les imprimantes

24h/24, 7j/7.

Le service informatique a le contrôle total sur les impressions, 24h/24 et 7j/7.

Les utilisateurs des services robotique et domotique ont l’autorisation d’utiliser les

imprimantes uniquement de 8h (prise de service) à 18h30 (fin de service).

Les assistantes des services SAV et direction peuvent imprimer chez les services robotique,

domotique, ainsi que chez le service informatique.

Nous le verrons plus en détail dans la partie consacrée à la mise en place des stratégies de groupe dans

l’Active Directory, mais l’accès aux imprimantes se déploie automatiquement pour les personnes

concernées lors de leur connexion à leur session.


9

3.3 DNS (Domain Name Service) Le DNS est un service permettant de traduire une adresse IP en nom de domaine, et

inversement. Par exemple, prenons l’adresse www.google.com : si on arrive bien à accéder à la

page en tapant l’adresse dans la barre d’URL, c’est parce qu’un DNS traduit l’adresse

www.google.com en 216.58.213.164, ce qui correspond à l’adresse IP publique de la machine

hébergeant le site. Si le service DNS ne fonctionnait pas, il n’y aurait aucune « résolution de nom »

lors de la recherche internet, et par conséquent elle échouerait. On pourrait toujours accéder au

site internet en tapant l’adresse IP directement dans la barre, mais nous conviendrons du fait que

ce n’est pas pratique.

Vu son importance, nous avons choisi de créer un deuxième Windows server assurant le rôle

de DNS secondaire, afin d’assurer un service sans interruption.

Sur le DNS principal, nous avons trois zones de recherche directes :

Sur le DNS secondaire, nous avons une zone de recherche directe :

http://www.google.com/

http://www.google.com/


10

3.4 Active Directory. L’Active Directory est un service qui permet de gérer les machines, les utilisateurs,

l’authentification et l’identification vers un réseau spécifique. C’est un gestionnaire qui permet

d’organiser la sécurité, les accès et les droits aux ressources pour les utilisateurs authentifiés. L’Active

Directory est un annuaire qui permet de référencer tous les utilisateurs et toutes les machines qui

intègrent le réseau de l’entreprise. Une machine intègre le réseau de l’entreprise par le biais du

contrôleur de domaine, qui est à la base de l’AD. De plus, le contrôleur de domaine traduit la résolution

de nom des postes en adresse IP et inversement.

Plusieurs autres services vont pouvoir, grâce à ce contrôleur de domaine, prendre place sur le

serveur : serveur d’impression, DHCP, serveur de fichier. Pour notre entreprise Robotics Inc, nous

avons choisi comme nom de domaine : AD.RoboticsInc

L’active directory est constitué d’unités d’organisation. Dès lors que le contrôleur de domaine est

créé, plusieurs OU par défaut apparaissent dans l’arborescence.

Builtin : groupe d’utilisateur tel que « administrateurs », « invités » ou « utilisateurs » par

défaut.

Computers : tous les PC intégrant pour la première fois l’AD se retrouvent ici.

Domain controllers : contient les contrôleurs de domaine.

Users : comptes utilisateurs et groupe d’utilisateurs par défaut.

Par la suite, nous allons pouvoir créer nos OU (Organisation Unit = Unité d’organisation) de

manière à ce que nous puissions appliquer facilement sur celles-ci des GPO (Group Policy Object =

Stratégie de groupe).

C’est pourquoi nous aurons plusieurs OU avec les noms des services de l’entreprise :

Nous avons également créé une OU « ordinateur » qui nous permettra des transférer les

ordinateurs venant d’intégrer l’AD pour les isoler des autres périphériques entrants, et aussi pouvoir

appliquer des GPO facilement aux ordinateurs actifs sur le réseau.


11

3.5 Stratégie de groupe (GPO) Les stratégies de groupes, aussi nommées GPO (Group Policy Object), sont des outils de

l'environnement utilisateur ou de configuration de l'ordinateur membres d'un domaine Active

Directory. Selon les exigences, nous pouvons les affecter à un ensemble d'ordinateurs ou à un

ensemble d'utilisateurs. Par exemple, nous pouvons créer une GPO qui permettra lors de l’allumage

du PC d’installer un logiciel particulier avant même de savoir qui va se connecter sur ce PC. Ça sera le

même principe avec la connexion d’un utilisateur à sa session, qui quand il ouvrira sa session se

retrouvera avec le logiciel que l’on voulait installer via la GPO.

Une GPO va permettre d’automatiser diverses tâches, parmi ces exemples :

Régler les droits utilisateurs.

Planifier des mises à jour.

Installer/désinstaller des programmes.

Imposer des mots de passe complexes.

Planifier des audits.

Interdire l’accès à des périphériques.

Une GPO possède deux parties bien distinctes : une partie Ordinateur et une partie Utilisateur.

Au moment du boot, l'ordinateur va appliquer les parties Ordinateur des GPO qui le concernent puis

au moment du logon, l'ordinateur va aller chercher les parties Utilisateur des GPO qui concernent

l'utilisateur.

Pour voir les GPO appliquées à l’ordinateur, il faut taper la commande suivante : gpresult /r

Une GPO ne s’applique pas nécessairement au moment où elle est créée, cependant, il est possible de

forcer une GPO sur un ordinateur/utilisateur en tapant la commande : gpupdate /force

Malgré cette commande, il faudra parfois redémarrer le PC pour que la GPO s’applique.


12

Vous nous avez demandé d’appliquer plusieurs règles pour le bon fonctionnement du système. Voici notre liste de GPO, qui correspond à chacune des exigences du cahier des charges :

Assistance à distance : Permet d’appliquer sur chaque poste l’autorisation d’assistance à distance.

Audit : Permet de mettre en place deux audits.

Commun : Permet de créer un lecteur réseau sur les postes vers un dossier commun.

Commun Administration : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour l’administration.

Commun Direction : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour la direction.

Commun Informatique : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le service informatique.

Commun SAV : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le SAV.

Commun Service Domotique : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le service domotique.

Commun Service Robotique : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le service robotique.


13

Déco forcée : Permet d’afficher un message d’avertissement à 18:55 et de fermer la session à 19:00 pour Mme Beziat, Mme Ella, Mme Ayo et Mme Acien.

Déploiement Filezilla : Permet d’installer le logiciel Filezilla sur les postes des utilisateurs, afin qu’ils puissent accéder au serveur FTP.

Fichiers CD/Disquette : Les services robotique, domotique et SAV ne peuvent parcourir ou ouvrir les dossiers ou fichier à partir d’une disquette ou d’un CD.

GPO Administration : Permet de déployer les imprimantes pour l’administration.

GPO Direction : Permet de déployer les imprimantes pour la direction.

GPO Informatique : Permet de déployer les imprimantes pour le service informatique.

GPO SAV : Permet de déployer les imprimantes pour le SAV.

GPO Service Domotique : Permet de déployer les imprimantes pour le service domotique.

GPO Service Robotique : Permet de déployer les imprimantes pour le service robotique.

GPO Toutlemonde : Permet de déployer l’imprimante accessible à tout le monde.

GPO ToutlemondeDir : Permet de rendre la direction prioritaire sur les impressions.

GPO ToutlemondeDomRob : Les services domotique et robotique ne peuvent imprimer qu’entre 8:00 et 17:00.

InsLogiciels : En dehors de la direction et du service informatique, personne ne peut installer de logiciels sur sa machine ni modifier l’heure.

Lecteurs CD/Disquettes : Les lecteurs disquette et CD sont désactivés sur les postes des services robotique et domotique.

Liens bureau : Permet de déployer le raccourci GLPI.


14

Comme dit précédemment, chaque GPO peut être lié à un utilisateur, un groupe ou à un

ordinateur de l’AD, ce qui va nous permettre d’être à la fois très précis dans le ciblage, mais également

très rapide dans le déploiement de la règle.

Voici un exemple de GPO que l’on appliquera à toutes les OU pour que les quatre personnes

nommées puissent prendre le contrôle de tous les postes du parc informatique de l’entreprise.

Après quoi, l’utilisateur n’aura qu’à cliquer sur Assistance à distance et se laisser guider.


15

3.6 Stratégies de comptes.

3.6.1 Gestion de l’espace disque. Les propriétés du disque Windows nous permettent de mettre en place une gestion de l’espace

disque grâce à un système de quota, que l’on va pouvoir appliquer à chaque membre de d’AD. Ci-

dessous, nous appliquons la règle demandée, en limitant à 5Go les données pouvant être stockés sur

le serveur, et en mettant une alerte à 4Go qui va permettre d’avertir l’utilisateur qu’il ne lui reste que

1Go de place.

Ci-dessous, l’affichage des quotas appliqué :

3.6.2 Stratégie de mots de passe. Le mot de passe doit répondre aux exigences de complexité.

Il doit être composé de 8 caractères minimum.

Il doit être modifié par l’utilisateur lors de sa première connexion.


16

3.6.3 Horaires d’accès.

Mme Beziat, Mme Ella, Mme Ayo et Mme Acien ne peuvent se connecter qu’entre 8:00 et

18:00.


17

La direction, le SAV, et le service informatique peuvent se connecter 24h/24.

Tous les autres salariés ne peuvent se connecter qu’entre 07:00 et 20:00.


18

4. Debian. Pour permettre de communiquer entre une machine Windows et linux, il est essentiel

d’une part que le serveur Windows soit correctement configuré (DNS, DHCP, ACTIVE

DIRECTORY) et que tous les paquets et fichiers de configuration soient renseignés sur la

machine linux. Tous ces paramètres sont essentiels pour la bonne cohésion des deux

environnements. En effet, si l’un ou l’autre des serveurs est mal paramétré, le partage de

ressources ne fonctionnera pas.

La configuration de ce partage se situe sur la machine linux : il n’y a aucune action à mener

sur le Windows si les paramètres de ce dernier ont été convenablement pré-établis.

4.1 Paquets à installer. Sur Linux, un paquet et un fichier compressé comprenant l’ensemble des données nécessaires à

l’installation d’un programme.

Nous aurons besoin d’un certain nombre de paquets pour pouvoir faire fonctionner l’ensemble :

Realmd

krb5-user

libpam-krb5

sssd

samba

acl

4.2 Mise en place Tout d’abord, il faut que la machine debian rejoigne le domaine AD. RoboticsInc à l’aide de la

commande realm join : cette opération est essentielle pour que le linux soit renseigné auprès de notre

contrôleur de domaine et que l’ordinateur soit visible dans l’active directory. Sans cette première

configuration nous ne pourrions pas communiquer avec le Windows.

Une fois notre machine ajoutée au domaine, le fichier de configuration sssd va être

automatiquement généré et renseigné. Le paquet sssd a pour fonctionnalité de faire remonter tous

les utilisateurs présents dans l’active directory sur le debian, mais à ce stade les utilisateurs ne peuvent

toujours pas s’identifier ou se connecter sur le linux.

Pour pouvoir autoriser nos utilisateurs de l’AD à s’authentifier au debian il faut éditer le fichier de

configuration kerberos.


19

4.2.1 Kerberos. Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes

et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception

frauduleuse des mots de passe des utilisateurs.

Afin d'obtenir l'autorisation d'accès à un service, un utilisateur distant doit envoyer son identifiant au serveur d'authentification.

Le serveur d'authentification vérifie que l'identifiant existe et envoie un ticket initial au client distant, chiffré avec la clé associée au client.

Le ticket initial contient :

o Une clé de session, faisant office de mot de passe temporaire pour chiffrer les communications suivantes ;

o Un ticket d'accès au service de délivrement de ticket. Le client distant déchiffre le ticket initial avec sa clé et obtient ainsi un ticket et une clé de

session. Grâce à son ticket et sa clé de session, le client distant peut envoyer une requête chiffrée au service de délivrement de ticket, afin de demander l'accès à un service.

A présent, si la configuration est réussie, les utilisateurs de notre domaine peuvent se connecter

sur la machine. La prochaine étape consiste donc à créer des dossiers partagés via le paquet samba.

https://fr.wikipedia.org/wiki/Authentification

https://fr.wikipedia.org/wiki/Cl%C3%A9_de_chiffrement

https://fr.wikipedia.org/wiki/Mot_de_passe


20

4.2.2 Samba Samba est un logiciel d'interopérabilité qui permet à des ordinateurs Unix de mettre à disposition

des imprimantes et des fichiers dans des réseaux Windows, en mettant en œuvre le protocole

SMB/CIFS de Microsoft Windows. Samba donne la possibilité aux ordinateurs Windows d'accéder aux

imprimantes et aux fichiers des ordinateurs Unix en permettant aux serveurs Unix de se substituer à

des serveurs Windows.

4.2.3 Protocole SMB/CIFS. Le protocole SMB (Server Message Block) est un protocole permettant le partage des

ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows. Dans l'ancien

Windows NT 4, il était appelé CIFS (Common Internet File System).

Il faut ensuite créer les dossiers des différents services de l’entreprise sur le debian, si le fichier de configuration de samba à bien été renseigné les différents dossiers « commun service » doivent être visibles sur l’environnement Windows.

4.2.3.1 Access control list. Nous avons choisi de créer tous les répertoires partagés des différents services et le dossier de

chaque utilisateur sur la machine debian. En effet comme expliqué plus haut, les utilisateurs

s’authentifieront sur le linux à l’aide de kerberos, qui utilise le système de clés secrètes et de tickets et

non pas les mots de passe en clair pour se connecter. Cela aura pour effet d’augmenter la sécurité afin

qu’aucun mot de passe ne puisse être découvert.

Des permissions seront effectives sur les différents dossiers de chaque service. Par exemple,

seuls les membres du service administratif auront accès au répertoire partagé Administratif.

Néanmoins comme le souhaitait la direction, le service informatique aura un droit en lecture et

écriture sur tous les répertoires partagés de chaque service, tandis que la direction aura juste la

permission de lecture.

Sous linux, les permissions se définissent avec la commande chmod (change mode) en ajoutant

l’option récursive -R à cette commande tous les dossiers enfants auront les mêmes permissions que le

dossier parent.

Concernant les dossiers personnels de chaque utilisateur nous avons dû utiliser les ACL (Access Control

List)

Les systèmes de type UNIX n'acceptent, classiquement, que trois types de droits :

Lecture (Read) Écriture (Write) Exécution (eXecute)

Pour trois types d'utilisateurs :

Le propriétaire du fichier Les membres du groupe auquel appartient le fichier Tous les autres utilisateurs

https://fr.wikipedia.org/wiki/Logiciel

https://fr.wikipedia.org/wiki/Interop%C3%A9rabilit%C3%A9_en_informatique

https://fr.wikipedia.org/wiki/Type_Unix

https://fr.wikipedia.org/wiki/Imprimante

https://fr.wikipedia.org/wiki/Fichier_informatique

https://fr.wikipedia.org/wiki/R%C3%A9seau_informatique

https://fr.wikipedia.org/wiki/Server_Message_Block

https://fr.wikipedia.org/wiki/CIFS

https://fr.wikipedia.org/wiki/Microsoft_Windows

https://fr.wikipedia.org/wiki/Protocole_de_communication

https://fr.wikipedia.org/wiki/Fichier_%28informatique%29

https://fr.wikipedia.org/wiki/Imprimante

https://fr.wikipedia.org/wiki/Microsoft_Windows

https://fr.wikipedia.org/wiki/Windows_NT_4.0


21

Cependant, cette méthode ne couvre pas suffisamment de cas, notamment en entreprise. En effet, les réseaux d'entreprises nécessitent l'attribut de droits pour certains membres de plusieurs groupes distincts. Grace au ACL on peut permettre à n'importe quel utilisateur, ou groupe, un des trois droits (lecture, écriture et exécution) et cela sans être limité par le nombre d'utilisateurs que l'on veut ajouter. De ce fait aucun utilisateur ne pourra accéder au dossier de son collègue mise à part le service informatique qui pourra lire et écrire sur ce dossier et la direction qui ne pourra que lire. La commande pour éditer des acl sur un fichier est setfacl -m user : pour l’utilisateur et g : pour le groupe.


22

4.3 FTP (File Transfert Protocol) Qu’est-ce qu’un FTP et à quoi sert-il ?

FTP est l’abréviation de File Transfer Protocol.

Grâce au FTP, des données comme par exemple des pages internet, des images ou des animations

sont déposées dans une case d’une mémoire externe. Le FTP sera donc un langage qui va permettre

l’échange de fichiers entre 2 ordinateurs, et plus exactement dans notre cas entre un serveur et un

client.

On va donc parler de Serveur FTP et de Client FTP. Lorsque le premier reçoit une demande, il vérifie

les droits et si le client à les droits suffisants, il répond à cette demande, sinon elle est rejetée. Le

Client sera celui qui vas être à l’initiative de toutes les transactions.

Nous avons fait un comparatif de quelques serveurs FTP :

ProFTPd est l’un des serveur FTP le plus connu et le plus ancien. Il a donc évolué au fil du temps ce qui en fait aujourd’hui le serveur ftp le plus fourni en plugin.

PureFTPd se veut être sécurisé avant tout. Malgré le fait qu’il soit moins connu, on peut trouver pas mal de ressources le concernant sur Internet.

VsFTPd signifie : Very Security FTP Daemon. Comme son nom l’indique, c’est un serveur très sécurisé mais également très léger. Toutefois, cela n’en fait pas un serveur de moindre envergure car il est tout de même utilisé par de gros sites tel que ftp.debian.org.

Pour répondre à la requête nous avons donc choisis d’installer ProFTPd sur linux et avons opté pour Filezilla, un très bon client FTP.

4.4 NFS.

4.4.1 Service NFS.

Le Network File System (NFS) est à l’origine un protocole développé par Sun Microsystems en 1984 permettant à un ordinateur d’accéder aux fichiers présents sur des machines distantes via un réseau.

Pour notre part nous en aurons besoins afin de sauvegarder les fichiers présents sur Debian dans un autre Debian. Nous avons donc mis en place un deuxième linux pour pouvoir installer le client NFS, qui pourras sauvegarder automatiquement les ressources du serveur NFS.

4.4.2 Client NFS

Nous avons mis en place un deuxième linux pour pouvoir installer le client NFS, qui pourras sauvegarder automatiquement les ressources du serveur NFS.

ftp://ftp.debian.org/


23

5. Application. Un logiciel de gestion de parc informatique a pour fonctionnalité première de référencer

l’intégralité des postes informatiques présent dans une entreprise dans une base de données. Dans un

second temps, il permet d’identifier et gérer tout type de bien (imprimantes, écrans, périphériques),

gérer la localisation physique et l’affectation de l’utilisateur en l’associant à son ordinateur. Mais aussi

le suivi de la traçabilité des mouvements des équipements, la gestion des composants matériels et

logiciels des machines, la gestion des logiciels avec non-conformité des licences.

Il doit aussi être capable de pouvoir gérer les demandes et incidents des utilisateurs. Pour cela,

il est indispensable que l’outil gère la création de tickets pour les utilisateurs et assignation de tickets

pour les techniciens informatiques.

Le logiciel que le nous avons choisi de mettre en place au sein de notre société se nomme GLPI

(Gestionnaire Libre de Parc Informatique). Nous avons fait ce choix pour plusieurs raisons que nous

allons expliquer.

5.1 Présentation GLPI GLPI est un logiciel de gestion libre de parc informatique, la première version a été lancé le 17

novembre 2003, au fur et à mesure des années le logiciel a su s’améliorer, accroitre sa performance,

répondre au besoin des techniciens et utilisateurs et a su se moderniser. GLPI est aujourd’hui la

référence du logiciel de gestion parc open source.

5.2 Caractéristiques

5.2.1 Général Gestion multi-entités (multi-parcs, multi-structures)

Système d’authentification multiple (local, LDAP, AD, Pop/Imap, CAS, x509...) et multi-serveurs

Système de permissions et de profils

Module de recherche critère multiple

Actions automatiques paramétrables

5.2.2 Inventaire Importation des données d’inventaire des agents FusionInventory via le plugin

FusionInventory

Inventaire du parc d’ordinateurs avec gestion des périphériques internes, espaces disques

et des composants interne

Inventaire du parc de moniteurs avec gestion des connexions aux ordinateurs

Inventaire du parc d’imprimantes avec gestion des connexions aux ordinateurs

Inventaire du parc logiciel avec gestion des licences

Affectation du matériel par zone géographique

http://www.fusioninventory.org/

http://plugins.glpi-project.org/spip.php?article109


24

5.3 Mise en place Nous avons choisi d’installer GLPI sur un linux la distribution (Debian), pour ce faire il a fallu

installer différents paquets sur la machine pour pouvoir utiliser le logiciel.

Dans un premier temps il a fallu installer MY-SQL (système de gestion de base de données

relationnelle), puis créer une base de données pour l’implémenter dans la configuration de GLPI.

Dans un second temps nous avons installé apache (serveur http ou web) et PHP (utilisé pour produire

des pages Web dynamiques via un serveur http) ses deux paquets auront pour but de pouvoir accéder

à GLPI sur n’importe quel navigateur internet.

La troisième phase consiste à installer un paquet ldap pour créer une connexion entre GLPI et les

utilisateurs de notre active directory et bien sûr ensuite installer le paquet GLPI ainsi que le plugin

fusion inventory qui permettra de faire remonter toutes les informations d’un ordinateur. Le reste de

la configuration se fera sur le web.

5.4 Plugin Fusion Inventory Le plugin fusion inventory a pour but de faire remonter toutes les caractéristiques matérielles

(Processeur, disque dur, mémoire Ram), le système d’exploitation embarqué dans la machine ainsi que

tous les logiciels installés sur un ordinateur avec leurs licences, sur la base de données de GLPI.

Pour mettre en place ce plugin, nous avons dû installer le paquet sur la machine linux, une fois installé

télécharger le plugin depuis l’interface de configuration de GLPI et ensuite activer le module. L’agent

et donc installé coté serveur.

Sur les postes clients pour un soucis de gain de temps et d’automatisation des taches, nous avons créé

un script pour installer l’agent qui ensuite a été déployé par GPO sur l’ensemble de notre parc afin que

les postes remontent tous instantanément sur la bases de données de GLPI.


25

5.5 Mode consultation et gestion Comme le désirait la direction, nous avons créé un profil spécial consultation pour les

utilisateurs et un profil gestion uniquement pour le service informatique.

Ces deux profils remplissent toutes demandes souhaitées par la hiérarchie.

En mode consultation : Consulter la liste des postes décrits par : les noms/prénoms d’utilisateur, le nom du local, les

caractéristiques de l’UC.

Pour chaque poste, offrir la possibilité de consulter : la fiche liste des écrans associés au poste, la liste des imprimantes associées au poste.

Permettre la recherche multicritères de poste : utilisateur, local, mémoire vive, disque dur.

En mode gestion : Enregistrer/modifier/supprimer des utilisateurs.

Enregistrer/modifier/supprimer des locaux.

Enregistrer/modifier/supprimer des écrans.

Enregistrer/modifier/supprimer des imprimantes.

Enregistrer un poste en sélectionnant un utilisateur existant, un local existant, un ou plusieurs écrans existant, une ou plusieurs imprimantes existantes, et en saisissant les caractéristiques de l’UC ainsi que la date de début d’utilisation.

Modifier un poste.

Supprimer un poste.


26

Ci contre quelques illustrations de l’interface web GLPI

Gestion du parc informatique

Gestion des tickets d’incidents


27

Gestion des utilisateurs de l’Active Directory

Gestion des lieux


28

6. Gestion des risques (tolérance de panne).

La tolérance aux pannes (on dit également « insensibilité aux pannes ») désigne une méthode de conception permettant à un système de continuer à fonctionner, éventuellement de manière réduite (on dit aussi en « mode dégradé »), au lieu de tomber complètement en panne, lorsque l'un de ses composants ne fonctionne plus correctement.

L'expression est employée couramment pour les systèmes informatiques étudiés de façon à rester plus ou moins opérationnels en cas de panne partielle, c'est-à-dire éventuellement avec une réduction du débit ou une augmentation du temps de réponse. En d'autres termes, le système ne s'arrête pas de fonctionner, qu'il y ait défaillance matérielle ou défaillance logicielle.

La classification des systèmes en matière de disponibilité conduit communément à 7 classes,

de la classe non prise en compte (système disponible 90 % du temps, et donc indisponible plus d'un

mois par an) à la classe ultra disponible (disponible 99,99999 % du temps et donc indisponible

seulement 3 secondes par an) : ces différentes classes correspondent au nombre de 9 dans le

pourcentage de temps durant lequel les systèmes de la classe sont disponibles.

N.B. : Une année dure 8 760 heures, soit 525 600 minutes.

Source : Wikipédia

Pour nous permettre de pouvoir réagir à chaque type de panne, et assurer un service continu, nous

avons choisi de mettre en place plusieurs solutions :

https://fr.wikipedia.org/wiki/Mode_d%C3%A9grad%C3%A9

https://fr.wikipedia.org/wiki/Informatique

https://fr.wikipedia.org/wiki/Disponibilit%C3%A9


29

6.1 RAID 5. Le RAID : “Redundant Array of Independent Disks” est une unité de stockage appelée grappe

permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit les performances,

soit la sécurité ou la tolérance aux pannes de l'ensemble du ou des systèmes.

Nous avons opté pour le RAID 5 afin d’assurer la meilleure redondance des données, en effet ce niveau

de raid est le plus répandu au sein des entreprises. Le RAID 5 utilise l’entrelacement des données dans

une technique de stockage conçue pour assurer la tolérance aux pannes et il permet un meilleur

compromis entre sécurité et espace disponible.

Il consiste en la répartition des données sur plusieurs disques (au moins 3) de telle manière qu'au

moins un disque soit redondant, de telles sortes que si un des disques de la grappe tombe en panne il

n’affectera pas le système et les données. Le nouveau disque installé se reconstruira automatiquement

par rapport à l’ancien.

https://fr.wikipedia.org/wiki/Donn%C3%A9e_%28informatique%29

https://fr.wikipedia.org/wiki/Disque_dur


30

6.2 Réplication systèmes. Nous avons mis en place deux serveurs physiques avec chacun une couche VMware ESXi, et

possédant tous deux un Windows Server 2012 R2 et un Debian.

Sur le serveur principal, le Windows est contrôleur de domaine principal, et offre tous les

services nécessaires. Sur le serveur secondaire, nous avons mis en place un DNS secondaire afin

d’assurer un service sans interruption.

Nous avons aussi mis en place une réplication de l’active directory. Les deux serveurs se synchronisent

afin d’avoir les mêmes données en permanence.

Enfin, nous avons mis en place un basculement au niveau du DHCP, en actif/actif, ce qui permet à la

fois de partager les charges des requêtes entre les deux serveurs, mais aussi d’assurer un service sans

interruption.

Du côté des systèmes Debian, le service NFS et le client NFS se synchronisent tous les jours à minuit.

6.3 Onduleur et groupe électrogène En plus des onduleurs présents pour le matériel informatique, nous prévoyons en effet

d’installer un groupe électrogène qui permettra de ne pas avoir de perte de productivité. En effet, les

onduleurs permettent d’éviter des coupures de courants brèves, de l’ordre de 20 à 30 minutes, mais

si la panne électrique s’annonce plus longue, le groupe électrogène prendra alors le relai. Il sera installé

à l’extérieur, à proximité de la salle technique principale.

6.4 Contrat de maintenance. Lors de l’achat des serveurs, nous avons trois choix de garantie avec HP:

La première, le contrat de base, gratuit, le contrat « next day », prochain jour ouvré.

Cette garantie engage le mainteneur à intervenir le lendemain de la panne, du lundi,

au vendredi.

La deuxième, le contrat 4h. Cette garantie engage le mainteneur à intervenir dans les

4h, même en week-end. -> 200€ par an pour deux serveurs DL360 Gen7.

Enfin, la troisième, pour laquelle nous optons, le contrat 6h CTR (call to repare). Le

mainteneur s’engage à réparer la panne dans les 6h, faute de quoi il aurait des

pénalités à verser. -> 250€ par an pour deux serveurs DL360 Gen7.

En effet, 250€ par an n’est pas une grosse somme aux vues de la sécurité et de la disponibilité que cela

offre.


31

7. Annexes. 7.1 DNS.

7.1.1 Installation du serveur DNS. Procédure pour installer un serveur d’impression sur Windows server 2012 :

1. Ouvrir le tableau de bord, et cliquer sur Ajouter des rôles et des fonctionnalités

2. Cliquer sur « Suivant »

3. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » puis cliquer sur

« Suivant ».


32

4. Sélectionner « Sélectionner un serveur du pool des serveurs », sélectionner le serveur voulu

et cliquer sur « Suivant »

5. Cliquer de nouveau sur « Suivant », et cocher la case « Serveur DNS ».


33

6. Cliquer sur « Ajouter des fonctionnalités », cliquer sur « Suivant » 3 fois et cliquer sur

« Installer »

7. Cliquer sur « Fermer » une fois l’installation terminée. Le serveur DNS apparait sur le tableau

de bord. Redémarrer la machine.


34

7.1.2 Configuration serveur DNS 1. Ouvrir le gestionnaire DNS

2. Dérouler l’arborescence DNS et clic droit sur Zones de recherche direct, puis cliquer sur

« Nouvelle zone… »


4. Puis sélectionner « Zone principale » et sur « Suivant »

5. Définir un nom de zone et cliquer sur « Suivant » 3 fois d’affiler et cliquer sur « Terminer »


35

7.2 DHCP.

7.2.1 Installation du serveur DHCP (Windows Server 2012 R2). Procédure pour installer un serveur DHCP sur Windows server 2012 :




« Suivant ».


36



5. Cliquer de nouveau sur « Suivant », et cocher la case « Serveur DHCP »


37

6. Une nouvelle fenêtre s’ouvre, cliquer sur « Ajouter des fonctionnalités » et cliquer sur

« Suivant » 3 fois.

7. Cocher la case « Redémarrer automatiquement… », cliquer sur « Oui » et sur « Installer »

8. Une fois l’installation terminée, cliquer sur « Fermer »


38


39

7.2.2 Configuration du serveur DHCP (Windows server 2012 R2). Création d’une étendue sur le serveur DHCP

1. Ouvrir le « Tableau de bord » et cliquer sur « Outils » puis sur « DHCP »

2. Dérouler l’arborescence du DHCP, et faire un clic droit sur « IPv4 », puis cliquer sur

« Nouvelle étendue »

3. Cliquer sur « Suivant », et rentrer un nom et une description pour la nouvelle étendue et

cliquer sur « Suivant »

4. Rentrer une adresse IP de début et une adresse IP de fin pour l’étendue. Laisser la longueur

et le masque de sous-réseau par défaut. Cliquer sur « Suivant », et une nouvelle fois sur

« Suivant ».

5. La durée du bail permet de définir combien de temps le périphérique connecter au serveur

DHCP va avoir une adresse IP. Définir le temps voulu et cliquer sur « Suivant » 2 fois.


40

6. Sélectionner « Oui, je veux activer cette étendue maintenant » et cliquer sur « Terminer »


41

7.3 Active Directory.

7.3.1 Déploiement de l’active directory. 1. Ouvrir le tableau de bord, et cliquer sur Ajouter des rôles et des fonctionnalités



« Suivant ».


42



5. Cliquer de nouveau sur « Suivant », et cocher la case « Services AD DS» et cliquer sur

« Ajouter des fonctionnalités » puis cliquer sur « Suivant » 3 fois.

6. Cocher la case « Redémarrer automatiquement … » et cliquer sur « Installer »


43

7. Cliquer sur « Fermer ». L’AD DS apparait sur le tableau de bord.

8. Sur le tableau de bord, cliquer sur « Promouvoir ce serveur en contrôleur de domaine »,

cette manipulation va permettre l’installation de la nouvelle forêt.


44

9. Insérer le « Nom de domaine racine » et cliquer sur « Suivant »

10. Décocher « Serveur DNS » si le serveur DNS est déjà installé sur le serveur, sinon cocher et le

contrôleur de domaine servira de DNS. Le GC est un catalogue permettant de regrouper les

informations nécessaires aux utilisateurs et les ordinateurs dans la structure. Le mot de

passe DSRM est un outil de restauration pour les utilisateurs et les ordinateurs. Cliquer sur

« Suivant »

11. Cliquer sur « Suivant » 3 fois et cliquer sur « Installer »


45

12. Une fois l’installation terminée, le serveur doit redémarrer pour finaliser le contrôleur de

domaine.

13. Au redémarrage, le serveur demande le mot de passe administrateur précédemment définit.

Le mot de passe devra être changé pour rentrer dans la session.


46

7.3.2 Intégrer un poste au domaine. 1. Sur le PC que l’on souhaite faire rentrer dans l’AD, ouvrir Ordinateur.

2. Puis cliquer sur « Propriété système »

3. Puis cliquer sur « Modifier les paramètres »

4. Dans l’onglet « Nom de l’ordinateur », cliquer sur « Modifier »

5. Choisir le nom du PC et sélectionner domaine, puis rentrer le nom du domaine, ici

AD.RoboticsInc puis cliquer sur « OK »


47

6. Pour pouvoir intégrer le PC dans l’AD, celui-ci demande un mot de passe administrateur

7. Une fois rentré, un message indique que l’on est bien rentré sur le domaine, et nous propose

de redémarrer pour finaliser l’intégration.


48

7.3.3 Création d’une GPO (Stratégie de groupe).

1. Se connecter au serveur :

2. Ouvrer la console « Gestion de stratégie de groupe » :

3. Cliquer droit sur le nom de domaine, et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici :

4. Dans le champ « Nom », taper le nom de la GPO et cliquer sur « OK » :

5. La GPO apparait dans la liste à la racine du domaine. Cliquer droit et modifier :


49

6. L’éditeur de gestion s’ouvre, et on peut choisir les options que l’on souhaite pour

créer une GPO :

Dans cet exemple, la GPO va permettre de supprimer l’application Ajout/suppression de programme

sur l’ordinateur.

7. Une fois la création terminée, glisser la GPO dans les groupes ou l’on souhaite l’appliquer

à l’aide de l’arborescence.


50

7.4 Impression.

7.4.1 Déploiement du serveur d’impression. Procédure pour installer un serveur d’impression sur Windows server 2012 :




« Suivant ».


51



5. Cliquer de nouveau sur « Suivant », et cocher la case « Service d’impression et de

numérisation de documents » et cliquer sur « Suivant » les deux prochaines fois.

Le serveur d’impression va s’installer, et on pourra retrouver le service sur le tableau de bord.


52

7.4.2 Installation d’une imprimante. 1. Ouvrir « Gestion de l’impression »

2. Dérouler l’arborescence du gestionnaire d’impression, et faire un clic droit sur

« Imprimantes » et cliquer sur « Ajouter une imprimante »

3. Sélectionner « Ajouter une nouvelle imprimante via un port existant » et cliquer sur

« Suivant »

4. Sélectionner le pilote qu’on aura préalablement installé sur le serveur, et cliquer sur

« Suivant »


53

5. Choisir le nom de l’imprimante, puis cliquer sur « Suivant », et une nouvelle fois sur

« Suivant »

6. L’installation de l’imprimante est terminée, et apparait dans la liste des imprimantes

disponibles.

7. Cliquer droit sur l’imprimante, puis cliquer sur « Propriété »


54

8. Dans ces propriétés, nous pouvons régler plusieurs paramètres, comme le partage de

l’imprimante dans l’onglet « Partage », attribuer une adresse IP à l’imprimante via l’onglet

« Ports », régler les impressions dans « Avancé » et définir qui peut « Imprimer » et « Gérer

cette imprimante » en ajoutant les utilisateurs/groupe de l’AD.


55

7.5 Installation GLPI On commence par installer les différents paquets :


56

Une fois les différents paquets installés, la fenêtre pour taper le mot de passe de mysql s’affiche :

Il faut ensuite créer une base de données dans mysql et créer un utilisateur qui aura tous les

privilèges sur celle-ci.

Il faut ensuite redémarrer le service mysql. La base de données est ainsi créée et opérationnelle.


57

Télécharger installer et dézipper les paquets de GLPI et Fusion Inventory.


58

Ne pas oublier de changer les droits sur le dossier glpi sinon aucune opération ne pourra être réalisée

si le dossier appartient à root.

Déclarer glpi dans apache2 en éditant un fichier de configuration sinon l’accès via le web sera

impossible.

Taper vi /etc/apache2/sites-available/glpi pour éditer le fichier de configuration.


59

Changer la ligne 12 par DocumentRoot /var/www sur le fichier de configuration : vi

/etc/apache2/sites-enabled/000-default.conf.

Puis redémarrer les services mysql et apache avec les commandes service apache2 reload et service

mysql reload.


60

Toute la configuration se déroule sur le web à présent.

Taper le mot de passe choisi lors de l’installation de MySQL.


61

Sélectionner la base de données crée dans MySQL.

Le plugin fusion inventory à installer et à activer.


62

Il faut renseigner l’onglet annuaires LDAP pour que les utilisateurs de notre AD puisse remonter sur

GLPI.


63

Et enfin le script d’installation pour pouvoir déployer l’agent fusion inventory par GPO sur les postes.

'

'

' USER SETTINGS

'

'

' SetupVersion

' Setup version with the pattern <major>.<minor>.<release>[-<package>]

'

SetupVersion = "2.3.18"

' SetupLocation

' Depending on your needs or your environment, you can use either a HTTP or

' CIFS/SMB.

'

' If you use HTTP, please, set to SetupLocation a URL:

'

' SetupLocation = "http://host[:port]/[absolut_path]" or

' SetupLocation = "https://host[:port]/[absolut_path]"

'

' If you use CIFS, please, set to SetupLocation a UNC path name:

'

' SetupLocation = "\\192.168.0.101\Deploy\fusioninventory-agent_windows-x64_2.3.18"

'

' You also must be sure that you have removed the "Open File Security Warning"

' from programs accessed from that UNC.

'

SetupLocation = "https://github.com/tabad/fusioninventory-agent-windows-

installer/releases/download/" & SetupVersion

' SetupArchitecture

' The setup architecture can be 'x86', 'x64' or 'Auto'

'

' If you set SetupArchitecture = "Auto" be sure that both installers are in

' the same SetupLocation.

'

SetupArchitecture = "Auto"

' SetupOptions

' Consult the installer documentation to know its list of options.

'

' You should use simple quotes (') to set between quotation marks those values

' that require it; double quotes (") doesn't work with UNCs.

'


64

SetupOptions = "/acceptlicense /runnow

/server='http://192.168.0.102/glpi/plugins/fusioninventory/' /S"

' Setup

' The installer file name. You should not have to modify this variable ever.

'

Setup = "fusioninventory-agent_windows-" & SetupArchitecture & "_" & SetupVersion & ".exe"

' Force

' Force the installation even whether Setup is previously installed.

'

Force = "No"

' Verbose

' Enable or disable the information messages.

'

' It's advisable to use Verbose = "Yes" with 'cscript //nologo ...'.

'

Verbose = "No"


65

7.6 Partage de ressources entre Windows et Linux Pour joindre la machine linux au domaine nous allons taper la commande

realm join [email protected] AD.RoboticsInc

Pour vérifier que nous avons bien rejoint le domaine taper realm list

Vérifions que le fichier de configuration sssd soit bien renseigné automatiquement cela permettra

aux utilisateurs de l’active directory de remonter sur le debian.

Editons le fichier de configuration kerberos pour que les utilisateurs puissent s’authentifier sur la

machine.

mailto:[email protected]


66

En effet, pour se connecter à un AD, il faut passer par une authentification Kerberos.

Or, Kerberos nécessite un réglage optimal de l’heure : moins de 5 minutes d’écart entre notre serveur Debian et le Contrôleur de domaine. Nous allons donc nous servir Du serveur de temps de notre Contrôleur de Domaine afin de récupérer son heure et de l’appliquer à notre serveur debian.

Test de la synchronisation de l’heure avec le contrôleur de domaine réussi.

Si le test est réussi la machine nous donne ses informations.


67

root@debian:~# /usr/sbin/ntpdate-debian

1 Dec 23:05:38 ntpdate[71614]: step time server 192.168.0.101 offset -18.306587 sec

Nous allons maintenant éditer le fichier de configuration de samba ce qui permettra d’accéder aux

répertoires partagés depuis les postes clients.

[global]

workgroup = ADROBOTICSINC

server string = debian

#dns proxy = no

#valid users = %S

#create mask = 0700

#directory mask = 0700

netbios name = debian

#server role = standalone server

#map to guest = bad user

#domain master = yes

#local master = no

#os level = 66

#wins server = yes

#wins server = 192.168.0.101

# Add the IPs / subnets allowed acces to the server in general.

# The following allows local and 10.0.*.* access

#hosts allow = 127. 10.0.

# log files split per-machine:

log file = /var/log/samba/log.%m

# enable the following line to debug:

# log level =3 # maximum size of 50KB per log file, then rotate: max log size = 50# Here comes the

juicy part!

security = ADS

encrypt passwords = yes


68

passdb backend = tdbsam

realm = AD.ROBOTICSINC

# Not interested in printers

load printers = no

cups options = raw

# This stops an annoying message from appearing in logs

printcap name = /dev/null

[COMMUN]

writeable = yes

guest ok = yes

public = yes

path = /var/COMMUN

locking = no

write list = @"utilisateurs du [email protected]"

browsable = yes

#force create mode = 0770

#force directory mode = 770

valid users = @"utilisateurs du [email protected]"

[DIRECTION]

writeable = yes

public = yes

guest ok = no

path = /var/COMMUN DIRECTION

browsable = yes

#read only = no

writeable = no

write list = @"[email protected]", @"[email protected]"


69

valid users = @"[email protected]", @"[email protected]"

[SAV]

writeable = yes

public = yes

guest ok = no

path = /var/COMMUN SAV

browsable = yes

read only = yes


valid users = @"[email protected]", @"[email protected]",

@"[email protected]"

[INFORMATIQUE]

comment = INFORMATIQUE

writeable = yes

public = yes

guest ok = no

path = /var/INFORMATIQUE

browsable = yes

read only = yes

write list = @"[email protected]"

valid users = @"[email protected]", @"[email protected]"

[SERVICE ROBOTIQUE]

writeable = yes

public = yes

guest ok = no

path = /var/COMMUN SERVICE ROBOTIQUE

browsable = yes


70

read only = yes

write list = @"[email protected]", @"service [email protected]"

valid users = @"service [email protected]", @"[email protected]",


[SERVICE DOMOTIQUE]

writeable = yes

public = yes

guest ok = no

path = /var/COMMUN SERVICE DOMOTIQUE

browsable = yes

read only = yes

write list = @"[email protected]", @"service [email protected]"

valid users = @"service [email protected]", @"[email protected]",


[ADMINISTRATIF]

writeable = yes

public = yes

path = /var/COMMUN ADMINISTRATIF

browsable = yes

read only = yes


valid users = @"[email protected]", @"[email protected]",

@[email protected]

Il ne reste plus qu’à donner les permissions aux différents utilisateurs et groupe avec la commande

chmod ainsi que de mettre en place les ACL sur les différents dossiers personnels des utilisateurs

avec la commande setfacl -m.

mailto:[email protected]


71

7.7 FTP Pour commencer nous installons le paquet ProFTPd : apt-get install proftpd

Lors de la mise en place de ProFTPd une fenêtre s’ouvre et nous demande si nous souhaitons qu’il soit indépendant ou lancé par inetd.

Le mode inetd est généralement le mieux adapté pour les sites à faible trafic, qui ne gèrent que peu de sessions FTP. Le mode indépendant est le mieux adapté pour les sites à trafic dense, il n’est pas nécessaire de modifier les autres fichiers de configuration autres que le fichier proftpd.conf, pour les ports, les serveurs virtuels ou tout autre élément.

Nous choisirons le mode indépendant qui permettra d’importants échanges avec le serveur. Ensuite, nous devons configurer ProFTPD :

vi /etc/proftpd/proftpd.conf

Nous allons modifier le fichier de configuration qui nous permettra :

L’intégration des utilisateurs de l’active directory leurs permettant d’écriture, lecture et téléchargement dans leurs dossiers mais de lecture simple dans celui de leurs groupes ainsi que de ne pas pouvoir lire, écrire et télécharger sur ceux de leurs collègues

La possibilité aux anonymes de pouvoir se connecter en lecture et téléchargement sans avoir possibilité d’écriture, ils sont bloqués dans un répertoire anonyme et ne peuvent donc aller sur les répertoires des autres utilisateurs.

DefaultRoot ~ est ajouté pour restreindre les utilisateurs, avec leurs accès, dans leur propre dossier de base uniquement.

Dans le fichier /etc/proftpd/proftpd.conf, on dé-commente la ligne Include /etc/proftpd/tls.conf afin de charger le fichier de configuration de tls. Nous procédons ensuite à la configuration du fichier /etc/proftpd/tls.conf. Pour sécuriser la connexion, nous créerons dans les répertoires définis les certificats.

Nous devons faire un compte FTP anonyme dans ProFTPd, il suffit de dé-commenter les lignes concernant la programmation Anonymous share.

Il ne nous reste plus qu’à relancer le serveur FTP pour prendre en compte la nouvelle configuration avant d’installer le client Filezilla.

Tout d’abord, on récupère le fichier d’installation sur le site officiel de Filezilla, une fois téléchargé on passe à l’installation du logiciel.

La licence d’utilisation s’affiche, on clique sur I Agree, par défaut l’installation se fait en standard. Puis on suit les instructions d’installation.

Pour démarrer le serveur FTP on ouvre Filezilla et on renseigne dans la ligne Hôte le périphériques concerné (192.168.0.102), dans Identifiant (ceux de l’utilisateur avec son domaine, pour notre part ce seras [email protected]), le mot de passe de l’utilisateur ainsi que le Port qui seras en l’occurrence le 22 (SSH).

Une fois avoir cliqué sur connexion rapide l’utilisateur sera en possession de son dossier sur le FTP.


72

7.8 NFS.

7.8.1 Service NFS. Commençons tout d’abord par installer le paquet suivant sur la première machine linux :

apt-get install nfs-kernel-server

Voici comment nous avons autorisé les serveurs clients à lire et à écrire sur le répertoire créé:

chmod 755 /var/

chmod 755 /etc/

chmod 755 /home/

Dans le cas où nous voulons partager le répertoire /home, les permissions ne doivent pas être modifiées. Pour partager le répertoire NFS sur le réseau nous allons rajouter dans le fichier /etc/exports ses lignes : /etc 192.168.0.104(sync,no_root_squash) /var 192.168.0.104(sync,no_root_squash) /home 192.168.0.104(sync,no_root_squash) Ensuite, nous mettons à jour la table NFS avec les nouveaux points de partage.

exportfs –r

Pour terminer nous relançons le service NFS pour la partie serveur.

7.8.2 Client NFS. Nous avons installé sur ce debian la version cliente du nfs en réalisant un apt-get install nfs-kernel-

server . Activer et démarrer les services NFS :

Systemctl enable rpcbind

Systemctl start rpcbind

Avant de monter le partage NFS, nous devons vérifier les partages disponibles sur le serveur NFS. Pour

ce faire, voici la commande que nous avons réalisé sur le client-serveur.

Showmount -e 192.168.0.102

Par la suite nous avons créé les points de montage du répertoire NFS ainsi que monté le contenu

partagé du Serveur NFS dans la machine cliente comprenant le fichier /home du Serveur NFS le /var et

le /etc :

mkdir /mnt/ home

mkdir /mnt/var

mkdir /mnt/etc

mount 192.168.0.102:/home /mnt/home


73

mount 192.168.0.102:/var /mnt/var

mount 192.168.0.102:/etc /mnt/etc

Afin de vérifier si la commande de « montage » a bien été réalisée nous faisons un :

mount | grep nfs

Nous réalisons un df -hT pour vérifier également le partage NFS monté.

Nous avons besoin de monter le partage NFS à la fin du client permanent qu'il doit être monté même

après le redémarrage. Donc nous devons ajouter le partage NFS dans le fichier /etc /fstab de la

machine cliente.

Une fois le montage permanent installé nous pouvons redémarrer la machine et les points de montage

seront permanents même après le redémarrage.

portfolio guillaume gatepaille - projet...

Documents