portfolio guillaume gatepaille - projet...
TRANSCRIPT
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
0
.
PROJET EVOLUTION
Chef de projet : Mickael Affeltranger Administrateurs Windows : Florent Armingaud & Mickael Affeltranger Administrateurs Linux : Guillaume Gatepaille & Benjamin Rodot
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
1
Table des matières Table des matières ...................................................................................................................................... 1
1. Contexte : ........................................................................................................................................ 3
1.1 Cahier des charges : ................................................................................................................. 3
2. Installation des serveurs .................................................................................................................. 4
2.1 Serveur principal ..................................................................................................................... 4
2.1.1 Windows 2012 R2 Datacenter. ........................................................................................ 5
2.1.2 Debian. ............................................................................................................................ 6
2.2 Serveur secondaire .................................................................................................................. 6
2.2.1 Windows 2012 R2 Datacenter ......................................................................................... 6
2.2.2 Debian ............................................................................................................................. 6
3. Windows Server 2012 R2 Datacenter ............................................................................................. 7
3.1 Serveur DHCP. ......................................................................................................................... 7
3.2 Serveur d’impression ............................................................................................................... 8
3.3 DNS (Domain Name Service) ................................................................................................... 9
3.4 Active Directory. .................................................................................................................... 10
3.5 Stratégie de groupe (GPO) .................................................................................................... 11
3.6 Stratégies de comptes. .......................................................................................................... 15
3.6.1 Gestion de l’espace disque. ........................................................................................... 15
3.6.2 Stratégie de mots de passe. .......................................................................................... 15
3.6.3 Horaires d’accès. ........................................................................................................... 16
4. Debian. .......................................................................................................................................... 18
4.1 Paquets à installer. ................................................................................................................ 18
4.2 Mise en place......................................................................................................................... 18
4.2.1 Kerberos. ....................................................................................................................... 19
4.2.2 Samba ............................................................................................................................ 20
4.2.3 Protocole SMB/CIFS. ...................................................................................................... 20
4.2.3.1 Access control list. ......................................................................................................... 20
4.3 FTP (File Transfert Protocol) .................................................................................................. 22
4.4 NFS. ........................................................................................................................................ 22
4.4.1 Service NFS. ................................................................................................................... 22
4.4.2 Client NFS ...................................................................................................................... 22
5. Application. ................................................................................................................................... 23
5.1 Présentation GLPI .................................................................................................................. 23
5.2 Caractéristiques ..................................................................................................................... 23
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
2
5.2.1 Général .......................................................................................................................... 23
5.2.2 Inventaire ...................................................................................................................... 23
5.3 Mise en place......................................................................................................................... 24
5.4 Plugin Fusion Inventory ......................................................................................................... 24
5.5 Mode consultation et gestion ............................................................................................... 25
6. Gestion des risques (tolérance de panne). .................................................................................... 28
6.1 RAID 5. ................................................................................................................................... 29
6.2 Réplication systèmes. ............................................................................................................ 30
6.3 Onduleur et groupe électrogène ........................................................................................... 30
6.4 Contrat de maintenance........................................................................................................ 30
7. Annexes. ........................................................................................................................................ 31
7.1 DNS. ....................................................................................................................................... 31
7.1.1 Installation du serveur DNS. .......................................................................................... 31
7.1.2 Configuration serveur DNS ............................................................................................ 34
7.2 DHCP. ..................................................................................................................................... 35
7.2.1 Installation du serveur DHCP (Windows Server 2012 R2). ............................................ 35
7.2.2 Configuration du serveur DHCP (Windows server 2012 R2). ........................................ 39
7.3 Active Directory. .................................................................................................................... 41
7.3.1 Déploiement de l’active directory. ................................................................................ 41
7.3.2 Intégrer un poste au domaine. ...................................................................................... 46
7.3.3 Création d’une GPO (Stratégie de groupe).................................................................... 48
7.4 Impression. ............................................................................................................................ 50
7.4.1 Déploiement du serveur d’impression. ......................................................................... 50
7.4.2 Installation d’une imprimante. ...................................................................................... 52
7.5 Installation GLPI ..................................................................................................................... 55
7.6 Partage de ressources entre Windows et Linux .................................................................... 65
7.7 FTP ......................................................................................................................................... 71
7.8 NFS. ........................................................................................................................................ 72
7.8.1 Service NFS. ................................................................................................................... 72
7.8.2 Client NFS. ..................................................................................................................... 72
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
3
1. Contexte : Après le déploiement de l’architecture réseau et câblage présenté lors de la réunion précédente,
Robotics Inc fait face à une nouvelle problématique : celle de la mise en place des systèmes
informatiques. L’entreprise vient de s’installer dans les nouveaux locaux et nous avons besoin
d’améliorer les pratiques.
1.1 Cahier des charges : L’équipe informatique manque d’informations quant aux utilisateurs et au parc informatique,
c’est pourquoi nous avons décidé de mettre en place une application de gestion de parc qui
gère aussi la génération de tickets afin que les utilisateurs puissent l’alerter en cas de panne
ou de disfonctionnement (Gestionnaire Libre de Parc Informatique).
Nous avons suivi le cahier des charges concernant la gestion des droits utilisateurs.
Nous avons mis en place un serveur Linux servant principalement d’espace de stockage
(serveur FTP et dossiers utilisateurs avec Samba), mais aussi de système de sauvegarde
(serveur et client NFS) ainsi qu’un service HTTP (php-mysql, apache).
Nous avons mis en place un serveur Windows 2012 R2 Datacenter afin de déployer l’Active
Directory et d’autres fonctionnalités (DNS, DHCP, Serveur d’impression)
Nous avons réparti les rôles comme ceci :
Mr
Du
cam
in (
PD
G)
Mr
Gri
ol (
DA
F)
Mic
kae
l Aff
elt
ran
ger
Flo
ren
t A
rmin
gau
d
Gu
illau
me
Gat
ep
aille
Be
nja
min
Ro
do
t
Etude du projet C C A,R C C C
Contrôle qualité C C A,R C C C
Gestion des risques C C A,R C C C
Décisions financières C R A I I I
Application GLPI C C A I I R R : Réalise
Active directory C C A,R R I R A : Assume
Serveur DNS C C A,R R I I
C : Consulté
Serveur d'impression C C A,R R I I I : Informé
Serveur FTP C C A I R I
Serveur NFS C C A I R I
Client NFS C C A I R I
Serveur DHCP C C A R I I
Serveur HTTP C C A I I R
Samba C C A I I R
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
4
2. Installation des serveurs 2.1 Serveur principal Nous avons mis en place un hyperviseur (VMware ESXi 6.0) sur le serveur principal, ce qui permet
de monter plusieurs systèmes sur un seul serveur physique.
Il est accessible à distance via navigateur web par l’adresse https://82.216.231.101/ ou bien
https://projetevolution.ddns.net (nous avons mis en place un DNS dynamique pour palier à
l’éventualité d’un changement d’adresse IP de la part du fournisseur d’accès internet, ainsi que pour
le côté pratique.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
5
Virtualisation des systèmes d’exploitation.
Pour nous permettre de faire cohabiter deux systèmes d’exploitation sur le même serveur
physique, nous avons choisi de mettre en place la virtualisation de Windows et de Debian. En effet,
cette méthode a l’avantage de pouvoir faire fonctionner plusieurs systèmes d’exploitation sur un seul
et même serveur physique.
L’avantage principal d’une telle méthode va permettre de faire des économies sur plusieurs points :
Moins de matériel physique, donc une consommation d’électricité réduite d’environ 20%.
Moins de matériel qui chauffe, donc des coûts moindres en climatisation.
Meilleure optimisation des machines physique : en effet, un seul serveur avec un seul système
d’exploitation installé sur la machine utilise environ 25% des capacité de la machine ; en
installant plusieurs systèmes d’exploitation, on optimise la capacité de rendement du serveur
physique.
Les systèmes d’exploitation installés sont totalement indépendants les uns des autres, donc
même si un système est défaillant, l’autre ne le sera pas.
L’inconvénient majeur sera donc que tous les systèmes sont hébergés par le même serveur
physique, donc s’il arrive qu’il y ait un problème matériel, tous les services en seront impactés. Il faudra
donc être prudent sur les tolérances de pannes, en mettant en place des systèmes permettant de ne
pas avoir de perte d’activité.
Pour pouvoir gérer plusieurs systèmes d’exploitation, nous avons vu qu’il existait deux principaux
acteurs : Hyper-V et ESXi. Par soucis de praticité, nous avons choisis ESXi car nous étions à l’aise avec
l’environnement VMware.
2.1.1 Windows 2012 R2 Datacenter. Nous avons opté pour la version 2012 de Windows serveur car c’est la version la plus récente, qui
propose le plus de fonctionnalités, et qui a su prouver sa stabilité. Le contrôleur de domaine a été
virtualisé sur l’ESXi. Il est accessible à distance en passant par le Bureau d’accès à distance (RDP) depuis
n’importe quelle machine Windows, à condition de connaître les informations d’authentification.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
6
2.1.2 Debian. Nous avons opté pour Debian comme système Linux, déjà car il est extrêmement stable, gratuit,
et maintenu par d’innombrables utilisateurs. De plus, le système gère intelligemment la mémoire et
est reconnu comme étant sécurisé. Il a été virtualisé sur l’ESXi du serveur principal, et est accessible
distance en passant par le SSH (soit via Linux, soit via un programme tel que PuTTy). L’accès à la
session root via SSH a été bloqué.
2.2 Serveur secondaire Nous avons mis en place un serveur secondaire avec un hyperviseur VMware ESXi afin de répondre
face à des problématiques de sécurité.
2.2.1 Windows 2012 R2 Datacenter Un deuxième Windows server a été déployé. Il gère le DNS secondaire, le basculement de DHCP
actif/actif (il se partage les charge avec le serveur principal), ainsi que la réplication de l’active
directory, afin d’avoir un système toujours opération sans interruption de productivité, même en cas
de panne.
2.2.2 Debian Un deuxième Debian a été déployé, et est utilisé comme Client NFS, afin de sauvegarder
automatiquement les ressources de l’autre serveur.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
7
3. Windows Server 2012 R2 Datacenter 3.1 Serveur DHCP. Le serveur DHCP (Dynamic Host Configuration Protocol) a pour objectif d’attribuer des adresses
IP, masque réseau, passerelle et DNS à toutes les machines qui se connectent au réseau de l’entreprise
de manière automatique pour une durée fixe (appelée bail). Le bail est renouvelé à chaque connexion
de la machine au domaine. La mise en place de ce serveur permet d’éviter d’entrer l’adressage IP
manuellement sur chaque machine qui se connecte au réseau, et donc de gagner du temps.
Nous avons défini la plage d’adresses de 192.168.0.110 à 192.168.1.240. Cette plage d’adresses
nous permet d’accueillir 386 hôtes, ce qui nous laisse de la marge pour une future expansion de
l’entreprise. Pour se voir attribuer une adresse IP via le DHCP, il est nécessaire d’intégrer au préalable
le domaine AD.RoboticsInc.
Charte d’adressage IP :
192.168.0.1 Routeur
192.168.0.100 VMware ESXi
192.198.0.101 Windows server 2012 Contrôleur de domaine
192.168.0.102 Debian principal
192.168.0.103 Windows server 2012 DNS secondaire
192.168.0.104 Debian client NFS
192.168.1.248 PrintToutlemonde
192.168.1.249 PrintRobotique
192.168.1.250 PrintDomotique
192.168.1.251 PrintSAV
192.168.1.252 PrintInformatique
192.168.1.253 PrintDirection
192.168.1.254 PrintAdministration
192.168.0.110 à
192.168.1.240 Plage DHCP
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
8
3.2 Serveur d’impression Nous avons mis en place un serveur d’impression afin de gérer l’ensemble des imprimantes du
parc. Les imprimantes ont été installées sur le serveur d’impression avec une adresse IP fixe.
Le choix des imprimantes a été fait en amont lors du Projet START.
Nous avons donc sept imprimantes mises en place comme défini dans le cahier des charges : elles
doivent avoir un nom sous la forme « PrintNomduservice » :
(Printtoutlemonde, PrinttoutlemondeDir et PrintoutlemondeRobDom sont la même
imprimante, avec des droits différents).
Concernant les droits des utilisateurs des imprimantes :
La direction est prioritaire sur l’ensemble des impressions et peut utiliser les imprimantes
24h/24, 7j/7.
Le service informatique a le contrôle total sur les impressions, 24h/24 et 7j/7.
Les utilisateurs des services robotique et domotique ont l’autorisation d’utiliser les
imprimantes uniquement de 8h (prise de service) à 18h30 (fin de service).
Les assistantes des services SAV et direction peuvent imprimer chez les services robotique,
domotique, ainsi que chez le service informatique.
Nous le verrons plus en détail dans la partie consacrée à la mise en place des stratégies de groupe dans
l’Active Directory, mais l’accès aux imprimantes se déploie automatiquement pour les personnes
concernées lors de leur connexion à leur session.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
9
3.3 DNS (Domain Name Service) Le DNS est un service permettant de traduire une adresse IP en nom de domaine, et
inversement. Par exemple, prenons l’adresse www.google.com : si on arrive bien à accéder à la
page en tapant l’adresse dans la barre d’URL, c’est parce qu’un DNS traduit l’adresse
www.google.com en 216.58.213.164, ce qui correspond à l’adresse IP publique de la machine
hébergeant le site. Si le service DNS ne fonctionnait pas, il n’y aurait aucune « résolution de nom »
lors de la recherche internet, et par conséquent elle échouerait. On pourrait toujours accéder au
site internet en tapant l’adresse IP directement dans la barre, mais nous conviendrons du fait que
ce n’est pas pratique.
Vu son importance, nous avons choisi de créer un deuxième Windows server assurant le rôle
de DNS secondaire, afin d’assurer un service sans interruption.
Sur le DNS principal, nous avons trois zones de recherche directes :
Sur le DNS secondaire, nous avons une zone de recherche directe :
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
10
3.4 Active Directory. L’Active Directory est un service qui permet de gérer les machines, les utilisateurs,
l’authentification et l’identification vers un réseau spécifique. C’est un gestionnaire qui permet
d’organiser la sécurité, les accès et les droits aux ressources pour les utilisateurs authentifiés. L’Active
Directory est un annuaire qui permet de référencer tous les utilisateurs et toutes les machines qui
intègrent le réseau de l’entreprise. Une machine intègre le réseau de l’entreprise par le biais du
contrôleur de domaine, qui est à la base de l’AD. De plus, le contrôleur de domaine traduit la résolution
de nom des postes en adresse IP et inversement.
Plusieurs autres services vont pouvoir, grâce à ce contrôleur de domaine, prendre place sur le
serveur : serveur d’impression, DHCP, serveur de fichier. Pour notre entreprise Robotics Inc, nous
avons choisi comme nom de domaine : AD.RoboticsInc
L’active directory est constitué d’unités d’organisation. Dès lors que le contrôleur de domaine est
créé, plusieurs OU par défaut apparaissent dans l’arborescence.
Builtin : groupe d’utilisateur tel que « administrateurs », « invités » ou « utilisateurs » par
défaut.
Computers : tous les PC intégrant pour la première fois l’AD se retrouvent ici.
Domain controllers : contient les contrôleurs de domaine.
Users : comptes utilisateurs et groupe d’utilisateurs par défaut.
Par la suite, nous allons pouvoir créer nos OU (Organisation Unit = Unité d’organisation) de
manière à ce que nous puissions appliquer facilement sur celles-ci des GPO (Group Policy Object =
Stratégie de groupe).
C’est pourquoi nous aurons plusieurs OU avec les noms des services de l’entreprise :
Nous avons également créé une OU « ordinateur » qui nous permettra des transférer les
ordinateurs venant d’intégrer l’AD pour les isoler des autres périphériques entrants, et aussi pouvoir
appliquer des GPO facilement aux ordinateurs actifs sur le réseau.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
11
3.5 Stratégie de groupe (GPO) Les stratégies de groupes, aussi nommées GPO (Group Policy Object), sont des outils de
l'environnement utilisateur ou de configuration de l'ordinateur membres d'un domaine Active
Directory. Selon les exigences, nous pouvons les affecter à un ensemble d'ordinateurs ou à un
ensemble d'utilisateurs. Par exemple, nous pouvons créer une GPO qui permettra lors de l’allumage
du PC d’installer un logiciel particulier avant même de savoir qui va se connecter sur ce PC. Ça sera le
même principe avec la connexion d’un utilisateur à sa session, qui quand il ouvrira sa session se
retrouvera avec le logiciel que l’on voulait installer via la GPO.
Une GPO va permettre d’automatiser diverses tâches, parmi ces exemples :
Régler les droits utilisateurs.
Planifier des mises à jour.
Installer/désinstaller des programmes.
Imposer des mots de passe complexes.
Planifier des audits.
Interdire l’accès à des périphériques.
Une GPO possède deux parties bien distinctes : une partie Ordinateur et une partie Utilisateur.
Au moment du boot, l'ordinateur va appliquer les parties Ordinateur des GPO qui le concernent puis
au moment du logon, l'ordinateur va aller chercher les parties Utilisateur des GPO qui concernent
l'utilisateur.
Pour voir les GPO appliquées à l’ordinateur, il faut taper la commande suivante : gpresult /r
Une GPO ne s’applique pas nécessairement au moment où elle est créée, cependant, il est possible de
forcer une GPO sur un ordinateur/utilisateur en tapant la commande : gpupdate /force
Malgré cette commande, il faudra parfois redémarrer le PC pour que la GPO s’applique.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
12
Vous nous avez demandé d’appliquer plusieurs règles pour le bon fonctionnement du système. Voici notre liste de GPO, qui correspond à chacune des exigences du cahier des charges :
Assistance à distance : Permet d’appliquer sur chaque poste l’autorisation d’assistance à distance.
Audit : Permet de mettre en place deux audits.
Commun : Permet de créer un lecteur réseau sur les postes vers un dossier commun.
Commun Administration : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour l’administration.
Commun Direction : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour la direction.
Commun Informatique : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le service informatique.
Commun SAV : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le SAV.
Commun Service Domotique : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le service domotique.
Commun Service Robotique : Permet de créer un lecteur réseau sur les postes concernés vers un dossier pour le service robotique.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
13
Déco forcée : Permet d’afficher un message d’avertissement à 18:55 et de fermer la session à 19:00 pour Mme Beziat, Mme Ella, Mme Ayo et Mme Acien.
Déploiement Filezilla : Permet d’installer le logiciel Filezilla sur les postes des utilisateurs, afin qu’ils puissent accéder au serveur FTP.
Fichiers CD/Disquette : Les services robotique, domotique et SAV ne peuvent parcourir ou ouvrir les dossiers ou fichier à partir d’une disquette ou d’un CD.
GPO Administration : Permet de déployer les imprimantes pour l’administration.
GPO Direction : Permet de déployer les imprimantes pour la direction.
GPO Informatique : Permet de déployer les imprimantes pour le service informatique.
GPO SAV : Permet de déployer les imprimantes pour le SAV.
GPO Service Domotique : Permet de déployer les imprimantes pour le service domotique.
GPO Service Robotique : Permet de déployer les imprimantes pour le service robotique.
GPO Toutlemonde : Permet de déployer l’imprimante accessible à tout le monde.
GPO ToutlemondeDir : Permet de rendre la direction prioritaire sur les impressions.
GPO ToutlemondeDomRob : Les services domotique et robotique ne peuvent imprimer qu’entre 8:00 et 17:00.
InsLogiciels : En dehors de la direction et du service informatique, personne ne peut installer de logiciels sur sa machine ni modifier l’heure.
Lecteurs CD/Disquettes : Les lecteurs disquette et CD sont désactivés sur les postes des services robotique et domotique.
Liens bureau : Permet de déployer le raccourci GLPI.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
14
Comme dit précédemment, chaque GPO peut être lié à un utilisateur, un groupe ou à un
ordinateur de l’AD, ce qui va nous permettre d’être à la fois très précis dans le ciblage, mais également
très rapide dans le déploiement de la règle.
Voici un exemple de GPO que l’on appliquera à toutes les OU pour que les quatre personnes
nommées puissent prendre le contrôle de tous les postes du parc informatique de l’entreprise.
Après quoi, l’utilisateur n’aura qu’à cliquer sur Assistance à distance et se laisser guider.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
15
3.6 Stratégies de comptes.
3.6.1 Gestion de l’espace disque. Les propriétés du disque Windows nous permettent de mettre en place une gestion de l’espace
disque grâce à un système de quota, que l’on va pouvoir appliquer à chaque membre de d’AD. Ci-
dessous, nous appliquons la règle demandée, en limitant à 5Go les données pouvant être stockés sur
le serveur, et en mettant une alerte à 4Go qui va permettre d’avertir l’utilisateur qu’il ne lui reste que
1Go de place.
Ci-dessous, l’affichage des quotas appliqué :
3.6.2 Stratégie de mots de passe. Le mot de passe doit répondre aux exigences de complexité.
Il doit être composé de 8 caractères minimum.
Il doit être modifié par l’utilisateur lors de sa première connexion.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
16
3.6.3 Horaires d’accès.
Mme Beziat, Mme Ella, Mme Ayo et Mme Acien ne peuvent se connecter qu’entre 8:00 et
18:00.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
17
La direction, le SAV, et le service informatique peuvent se connecter 24h/24.
Tous les autres salariés ne peuvent se connecter qu’entre 07:00 et 20:00.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
18
4. Debian. Pour permettre de communiquer entre une machine Windows et linux, il est essentiel
d’une part que le serveur Windows soit correctement configuré (DNS, DHCP, ACTIVE
DIRECTORY) et que tous les paquets et fichiers de configuration soient renseignés sur la
machine linux. Tous ces paramètres sont essentiels pour la bonne cohésion des deux
environnements. En effet, si l’un ou l’autre des serveurs est mal paramétré, le partage de
ressources ne fonctionnera pas.
La configuration de ce partage se situe sur la machine linux : il n’y a aucune action à mener
sur le Windows si les paramètres de ce dernier ont été convenablement pré-établis.
4.1 Paquets à installer. Sur Linux, un paquet et un fichier compressé comprenant l’ensemble des données nécessaires à
l’installation d’un programme.
Nous aurons besoin d’un certain nombre de paquets pour pouvoir faire fonctionner l’ensemble :
Realmd
krb5-user
libpam-krb5
sssd
samba
acl
4.2 Mise en place Tout d’abord, il faut que la machine debian rejoigne le domaine AD. RoboticsInc à l’aide de la
commande realm join : cette opération est essentielle pour que le linux soit renseigné auprès de notre
contrôleur de domaine et que l’ordinateur soit visible dans l’active directory. Sans cette première
configuration nous ne pourrions pas communiquer avec le Windows.
Une fois notre machine ajoutée au domaine, le fichier de configuration sssd va être
automatiquement généré et renseigné. Le paquet sssd a pour fonctionnalité de faire remonter tous
les utilisateurs présents dans l’active directory sur le debian, mais à ce stade les utilisateurs ne peuvent
toujours pas s’identifier ou se connecter sur le linux.
Pour pouvoir autoriser nos utilisateurs de l’AD à s’authentifier au debian il faut éditer le fichier de
configuration kerberos.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
19
4.2.1 Kerberos. Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes
et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception
frauduleuse des mots de passe des utilisateurs.
Afin d'obtenir l'autorisation d'accès à un service, un utilisateur distant doit envoyer son identifiant au serveur d'authentification.
Le serveur d'authentification vérifie que l'identifiant existe et envoie un ticket initial au client distant, chiffré avec la clé associée au client.
Le ticket initial contient :
o Une clé de session, faisant office de mot de passe temporaire pour chiffrer les communications suivantes ;
o Un ticket d'accès au service de délivrement de ticket. Le client distant déchiffre le ticket initial avec sa clé et obtient ainsi un ticket et une clé de
session. Grâce à son ticket et sa clé de session, le client distant peut envoyer une requête chiffrée au service de délivrement de ticket, afin de demander l'accès à un service.
A présent, si la configuration est réussie, les utilisateurs de notre domaine peuvent se connecter
sur la machine. La prochaine étape consiste donc à créer des dossiers partagés via le paquet samba.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
20
4.2.2 Samba Samba est un logiciel d'interopérabilité qui permet à des ordinateurs Unix de mettre à disposition
des imprimantes et des fichiers dans des réseaux Windows, en mettant en œuvre le protocole
SMB/CIFS de Microsoft Windows. Samba donne la possibilité aux ordinateurs Windows d'accéder aux
imprimantes et aux fichiers des ordinateurs Unix en permettant aux serveurs Unix de se substituer à
des serveurs Windows.
4.2.3 Protocole SMB/CIFS. Le protocole SMB (Server Message Block) est un protocole permettant le partage des
ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows. Dans l'ancien
Windows NT 4, il était appelé CIFS (Common Internet File System).
Il faut ensuite créer les dossiers des différents services de l’entreprise sur le debian, si le fichier de configuration de samba à bien été renseigné les différents dossiers « commun service » doivent être visibles sur l’environnement Windows.
4.2.3.1 Access control list. Nous avons choisi de créer tous les répertoires partagés des différents services et le dossier de
chaque utilisateur sur la machine debian. En effet comme expliqué plus haut, les utilisateurs
s’authentifieront sur le linux à l’aide de kerberos, qui utilise le système de clés secrètes et de tickets et
non pas les mots de passe en clair pour se connecter. Cela aura pour effet d’augmenter la sécurité afin
qu’aucun mot de passe ne puisse être découvert.
Des permissions seront effectives sur les différents dossiers de chaque service. Par exemple,
seuls les membres du service administratif auront accès au répertoire partagé Administratif.
Néanmoins comme le souhaitait la direction, le service informatique aura un droit en lecture et
écriture sur tous les répertoires partagés de chaque service, tandis que la direction aura juste la
permission de lecture.
Sous linux, les permissions se définissent avec la commande chmod (change mode) en ajoutant
l’option récursive -R à cette commande tous les dossiers enfants auront les mêmes permissions que le
dossier parent.
Concernant les dossiers personnels de chaque utilisateur nous avons dû utiliser les ACL (Access Control
List)
Les systèmes de type UNIX n'acceptent, classiquement, que trois types de droits :
Lecture (Read) Écriture (Write) Exécution (eXecute)
Pour trois types d'utilisateurs :
Le propriétaire du fichier Les membres du groupe auquel appartient le fichier Tous les autres utilisateurs
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
21
Cependant, cette méthode ne couvre pas suffisamment de cas, notamment en entreprise. En effet, les réseaux d'entreprises nécessitent l'attribut de droits pour certains membres de plusieurs groupes distincts. Grace au ACL on peut permettre à n'importe quel utilisateur, ou groupe, un des trois droits (lecture, écriture et exécution) et cela sans être limité par le nombre d'utilisateurs que l'on veut ajouter. De ce fait aucun utilisateur ne pourra accéder au dossier de son collègue mise à part le service informatique qui pourra lire et écrire sur ce dossier et la direction qui ne pourra que lire. La commande pour éditer des acl sur un fichier est setfacl -m user : pour l’utilisateur et g : pour le groupe.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
22
4.3 FTP (File Transfert Protocol) Qu’est-ce qu’un FTP et à quoi sert-il ?
FTP est l’abréviation de File Transfer Protocol.
Grâce au FTP, des données comme par exemple des pages internet, des images ou des animations
sont déposées dans une case d’une mémoire externe. Le FTP sera donc un langage qui va permettre
l’échange de fichiers entre 2 ordinateurs, et plus exactement dans notre cas entre un serveur et un
client.
On va donc parler de Serveur FTP et de Client FTP. Lorsque le premier reçoit une demande, il vérifie
les droits et si le client à les droits suffisants, il répond à cette demande, sinon elle est rejetée. Le
Client sera celui qui vas être à l’initiative de toutes les transactions.
Nous avons fait un comparatif de quelques serveurs FTP :
ProFTPd est l’un des serveur FTP le plus connu et le plus ancien. Il a donc évolué au fil du temps ce qui en fait aujourd’hui le serveur ftp le plus fourni en plugin.
PureFTPd se veut être sécurisé avant tout. Malgré le fait qu’il soit moins connu, on peut trouver pas mal de ressources le concernant sur Internet.
VsFTPd signifie : Very Security FTP Daemon. Comme son nom l’indique, c’est un serveur très sécurisé mais également très léger. Toutefois, cela n’en fait pas un serveur de moindre envergure car il est tout de même utilisé par de gros sites tel que ftp.debian.org.
Pour répondre à la requête nous avons donc choisis d’installer ProFTPd sur linux et avons opté pour Filezilla, un très bon client FTP.
4.4 NFS.
4.4.1 Service NFS.
Le Network File System (NFS) est à l’origine un protocole développé par Sun Microsystems en 1984 permettant à un ordinateur d’accéder aux fichiers présents sur des machines distantes via un réseau.
Pour notre part nous en aurons besoins afin de sauvegarder les fichiers présents sur Debian dans un autre Debian. Nous avons donc mis en place un deuxième linux pour pouvoir installer le client NFS, qui pourras sauvegarder automatiquement les ressources du serveur NFS.
4.4.2 Client NFS
Nous avons mis en place un deuxième linux pour pouvoir installer le client NFS, qui pourras sauvegarder automatiquement les ressources du serveur NFS.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
23
5. Application. Un logiciel de gestion de parc informatique a pour fonctionnalité première de référencer
l’intégralité des postes informatiques présent dans une entreprise dans une base de données. Dans un
second temps, il permet d’identifier et gérer tout type de bien (imprimantes, écrans, périphériques),
gérer la localisation physique et l’affectation de l’utilisateur en l’associant à son ordinateur. Mais aussi
le suivi de la traçabilité des mouvements des équipements, la gestion des composants matériels et
logiciels des machines, la gestion des logiciels avec non-conformité des licences.
Il doit aussi être capable de pouvoir gérer les demandes et incidents des utilisateurs. Pour cela,
il est indispensable que l’outil gère la création de tickets pour les utilisateurs et assignation de tickets
pour les techniciens informatiques.
Le logiciel que le nous avons choisi de mettre en place au sein de notre société se nomme GLPI
(Gestionnaire Libre de Parc Informatique). Nous avons fait ce choix pour plusieurs raisons que nous
allons expliquer.
5.1 Présentation GLPI GLPI est un logiciel de gestion libre de parc informatique, la première version a été lancé le 17
novembre 2003, au fur et à mesure des années le logiciel a su s’améliorer, accroitre sa performance,
répondre au besoin des techniciens et utilisateurs et a su se moderniser. GLPI est aujourd’hui la
référence du logiciel de gestion parc open source.
5.2 Caractéristiques
5.2.1 Général Gestion multi-entités (multi-parcs, multi-structures)
Système d’authentification multiple (local, LDAP, AD, Pop/Imap, CAS, x509...) et multi-serveurs
Système de permissions et de profils
Module de recherche critère multiple
Actions automatiques paramétrables
5.2.2 Inventaire Importation des données d’inventaire des agents FusionInventory via le plugin
FusionInventory
Inventaire du parc d’ordinateurs avec gestion des périphériques internes, espaces disques
et des composants interne
Inventaire du parc de moniteurs avec gestion des connexions aux ordinateurs
Inventaire du parc d’imprimantes avec gestion des connexions aux ordinateurs
Inventaire du parc logiciel avec gestion des licences
Affectation du matériel par zone géographique
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
24
5.3 Mise en place Nous avons choisi d’installer GLPI sur un linux la distribution (Debian), pour ce faire il a fallu
installer différents paquets sur la machine pour pouvoir utiliser le logiciel.
Dans un premier temps il a fallu installer MY-SQL (système de gestion de base de données
relationnelle), puis créer une base de données pour l’implémenter dans la configuration de GLPI.
Dans un second temps nous avons installé apache (serveur http ou web) et PHP (utilisé pour produire
des pages Web dynamiques via un serveur http) ses deux paquets auront pour but de pouvoir accéder
à GLPI sur n’importe quel navigateur internet.
La troisième phase consiste à installer un paquet ldap pour créer une connexion entre GLPI et les
utilisateurs de notre active directory et bien sûr ensuite installer le paquet GLPI ainsi que le plugin
fusion inventory qui permettra de faire remonter toutes les informations d’un ordinateur. Le reste de
la configuration se fera sur le web.
5.4 Plugin Fusion Inventory Le plugin fusion inventory a pour but de faire remonter toutes les caractéristiques matérielles
(Processeur, disque dur, mémoire Ram), le système d’exploitation embarqué dans la machine ainsi que
tous les logiciels installés sur un ordinateur avec leurs licences, sur la base de données de GLPI.
Pour mettre en place ce plugin, nous avons dû installer le paquet sur la machine linux, une fois installé
télécharger le plugin depuis l’interface de configuration de GLPI et ensuite activer le module. L’agent
et donc installé coté serveur.
Sur les postes clients pour un soucis de gain de temps et d’automatisation des taches, nous avons créé
un script pour installer l’agent qui ensuite a été déployé par GPO sur l’ensemble de notre parc afin que
les postes remontent tous instantanément sur la bases de données de GLPI.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
25
5.5 Mode consultation et gestion Comme le désirait la direction, nous avons créé un profil spécial consultation pour les
utilisateurs et un profil gestion uniquement pour le service informatique.
Ces deux profils remplissent toutes demandes souhaitées par la hiérarchie.
En mode consultation : Consulter la liste des postes décrits par : les noms/prénoms d’utilisateur, le nom du local, les
caractéristiques de l’UC.
Pour chaque poste, offrir la possibilité de consulter : la fiche liste des écrans associés au poste, la liste des imprimantes associées au poste.
Permettre la recherche multicritères de poste : utilisateur, local, mémoire vive, disque dur.
En mode gestion : Enregistrer/modifier/supprimer des utilisateurs.
Enregistrer/modifier/supprimer des locaux.
Enregistrer/modifier/supprimer des écrans.
Enregistrer/modifier/supprimer des imprimantes.
Enregistrer un poste en sélectionnant un utilisateur existant, un local existant, un ou plusieurs écrans existant, une ou plusieurs imprimantes existantes, et en saisissant les caractéristiques de l’UC ainsi que la date de début d’utilisation.
Modifier un poste.
Supprimer un poste.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
26
Ci contre quelques illustrations de l’interface web GLPI
Gestion du parc informatique
Gestion des tickets d’incidents
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
27
Gestion des utilisateurs de l’Active Directory
Gestion des lieux
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
28
6. Gestion des risques (tolérance de panne).
La tolérance aux pannes (on dit également « insensibilité aux pannes ») désigne une méthode de conception permettant à un système de continuer à fonctionner, éventuellement de manière réduite (on dit aussi en « mode dégradé »), au lieu de tomber complètement en panne, lorsque l'un de ses composants ne fonctionne plus correctement.
L'expression est employée couramment pour les systèmes informatiques étudiés de façon à rester plus ou moins opérationnels en cas de panne partielle, c'est-à-dire éventuellement avec une réduction du débit ou une augmentation du temps de réponse. En d'autres termes, le système ne s'arrête pas de fonctionner, qu'il y ait défaillance matérielle ou défaillance logicielle.
La classification des systèmes en matière de disponibilité conduit communément à 7 classes,
de la classe non prise en compte (système disponible 90 % du temps, et donc indisponible plus d'un
mois par an) à la classe ultra disponible (disponible 99,99999 % du temps et donc indisponible
seulement 3 secondes par an) : ces différentes classes correspondent au nombre de 9 dans le
pourcentage de temps durant lequel les systèmes de la classe sont disponibles.
N.B. : Une année dure 8 760 heures, soit 525 600 minutes.
Source : Wikipédia
Pour nous permettre de pouvoir réagir à chaque type de panne, et assurer un service continu, nous
avons choisi de mettre en place plusieurs solutions :
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
29
6.1 RAID 5. Le RAID : “Redundant Array of Independent Disks” est une unité de stockage appelée grappe
permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit les performances,
soit la sécurité ou la tolérance aux pannes de l'ensemble du ou des systèmes.
Nous avons opté pour le RAID 5 afin d’assurer la meilleure redondance des données, en effet ce niveau
de raid est le plus répandu au sein des entreprises. Le RAID 5 utilise l’entrelacement des données dans
une technique de stockage conçue pour assurer la tolérance aux pannes et il permet un meilleur
compromis entre sécurité et espace disponible.
Il consiste en la répartition des données sur plusieurs disques (au moins 3) de telle manière qu'au
moins un disque soit redondant, de telles sortes que si un des disques de la grappe tombe en panne il
n’affectera pas le système et les données. Le nouveau disque installé se reconstruira automatiquement
par rapport à l’ancien.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
30
6.2 Réplication systèmes. Nous avons mis en place deux serveurs physiques avec chacun une couche VMware ESXi, et
possédant tous deux un Windows Server 2012 R2 et un Debian.
Sur le serveur principal, le Windows est contrôleur de domaine principal, et offre tous les
services nécessaires. Sur le serveur secondaire, nous avons mis en place un DNS secondaire afin
d’assurer un service sans interruption.
Nous avons aussi mis en place une réplication de l’active directory. Les deux serveurs se synchronisent
afin d’avoir les mêmes données en permanence.
Enfin, nous avons mis en place un basculement au niveau du DHCP, en actif/actif, ce qui permet à la
fois de partager les charges des requêtes entre les deux serveurs, mais aussi d’assurer un service sans
interruption.
Du côté des systèmes Debian, le service NFS et le client NFS se synchronisent tous les jours à minuit.
6.3 Onduleur et groupe électrogène En plus des onduleurs présents pour le matériel informatique, nous prévoyons en effet
d’installer un groupe électrogène qui permettra de ne pas avoir de perte de productivité. En effet, les
onduleurs permettent d’éviter des coupures de courants brèves, de l’ordre de 20 à 30 minutes, mais
si la panne électrique s’annonce plus longue, le groupe électrogène prendra alors le relai. Il sera installé
à l’extérieur, à proximité de la salle technique principale.
6.4 Contrat de maintenance. Lors de l’achat des serveurs, nous avons trois choix de garantie avec HP:
La première, le contrat de base, gratuit, le contrat « next day », prochain jour ouvré.
Cette garantie engage le mainteneur à intervenir le lendemain de la panne, du lundi,
au vendredi.
La deuxième, le contrat 4h. Cette garantie engage le mainteneur à intervenir dans les
4h, même en week-end. -> 200€ par an pour deux serveurs DL360 Gen7.
Enfin, la troisième, pour laquelle nous optons, le contrat 6h CTR (call to repare). Le
mainteneur s’engage à réparer la panne dans les 6h, faute de quoi il aurait des
pénalités à verser. -> 250€ par an pour deux serveurs DL360 Gen7.
En effet, 250€ par an n’est pas une grosse somme aux vues de la sécurité et de la disponibilité que cela
offre.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
31
7. Annexes. 7.1 DNS.
7.1.1 Installation du serveur DNS. Procédure pour installer un serveur d’impression sur Windows server 2012 :
1. Ouvrir le tableau de bord, et cliquer sur Ajouter des rôles et des fonctionnalités
2. Cliquer sur « Suivant »
3. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » puis cliquer sur
« Suivant ».
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
32
4. Sélectionner « Sélectionner un serveur du pool des serveurs », sélectionner le serveur voulu
et cliquer sur « Suivant »
5. Cliquer de nouveau sur « Suivant », et cocher la case « Serveur DNS ».
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
33
6. Cliquer sur « Ajouter des fonctionnalités », cliquer sur « Suivant » 3 fois et cliquer sur
« Installer »
7. Cliquer sur « Fermer » une fois l’installation terminée. Le serveur DNS apparait sur le tableau
de bord. Redémarrer la machine.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
34
7.1.2 Configuration serveur DNS 1. Ouvrir le gestionnaire DNS
2. Dérouler l’arborescence DNS et clic droit sur Zones de recherche direct, puis cliquer sur
« Nouvelle zone… »
3. Cliquer sur « Suivant »
4. Puis sélectionner « Zone principale » et sur « Suivant »
5. Définir un nom de zone et cliquer sur « Suivant » 3 fois d’affiler et cliquer sur « Terminer »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
35
7.2 DHCP.
7.2.1 Installation du serveur DHCP (Windows Server 2012 R2). Procédure pour installer un serveur DHCP sur Windows server 2012 :
1. Ouvrir le tableau de bord, et cliquer sur Ajouter des rôles et des fonctionnalités
2. Cliquer sur « Suivant »
3. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » puis cliquer sur
« Suivant ».
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
36
4. Sélectionner « Sélectionner un serveur du pool des serveurs », sélectionner le serveur voulu
et cliquer sur « Suivant »
5. Cliquer de nouveau sur « Suivant », et cocher la case « Serveur DHCP »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
37
6. Une nouvelle fenêtre s’ouvre, cliquer sur « Ajouter des fonctionnalités » et cliquer sur
« Suivant » 3 fois.
7. Cocher la case « Redémarrer automatiquement… », cliquer sur « Oui » et sur « Installer »
8. Une fois l’installation terminée, cliquer sur « Fermer »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
38
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
39
7.2.2 Configuration du serveur DHCP (Windows server 2012 R2). Création d’une étendue sur le serveur DHCP
1. Ouvrir le « Tableau de bord » et cliquer sur « Outils » puis sur « DHCP »
2. Dérouler l’arborescence du DHCP, et faire un clic droit sur « IPv4 », puis cliquer sur
« Nouvelle étendue »
3. Cliquer sur « Suivant », et rentrer un nom et une description pour la nouvelle étendue et
cliquer sur « Suivant »
4. Rentrer une adresse IP de début et une adresse IP de fin pour l’étendue. Laisser la longueur
et le masque de sous-réseau par défaut. Cliquer sur « Suivant », et une nouvelle fois sur
« Suivant ».
5. La durée du bail permet de définir combien de temps le périphérique connecter au serveur
DHCP va avoir une adresse IP. Définir le temps voulu et cliquer sur « Suivant » 2 fois.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
40
6. Sélectionner « Oui, je veux activer cette étendue maintenant » et cliquer sur « Terminer »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
41
7.3 Active Directory.
7.3.1 Déploiement de l’active directory. 1. Ouvrir le tableau de bord, et cliquer sur Ajouter des rôles et des fonctionnalités
2. Cliquer sur « Suivant »
3. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » puis cliquer sur
« Suivant ».
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
42
4. Sélectionner « Sélectionner un serveur du pool des serveurs », sélectionner le serveur voulu
et cliquer sur « Suivant »
5. Cliquer de nouveau sur « Suivant », et cocher la case « Services AD DS» et cliquer sur
« Ajouter des fonctionnalités » puis cliquer sur « Suivant » 3 fois.
6. Cocher la case « Redémarrer automatiquement … » et cliquer sur « Installer »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
43
7. Cliquer sur « Fermer ». L’AD DS apparait sur le tableau de bord.
8. Sur le tableau de bord, cliquer sur « Promouvoir ce serveur en contrôleur de domaine »,
cette manipulation va permettre l’installation de la nouvelle forêt.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
44
9. Insérer le « Nom de domaine racine » et cliquer sur « Suivant »
10. Décocher « Serveur DNS » si le serveur DNS est déjà installé sur le serveur, sinon cocher et le
contrôleur de domaine servira de DNS. Le GC est un catalogue permettant de regrouper les
informations nécessaires aux utilisateurs et les ordinateurs dans la structure. Le mot de
passe DSRM est un outil de restauration pour les utilisateurs et les ordinateurs. Cliquer sur
« Suivant »
11. Cliquer sur « Suivant » 3 fois et cliquer sur « Installer »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
45
12. Une fois l’installation terminée, le serveur doit redémarrer pour finaliser le contrôleur de
domaine.
13. Au redémarrage, le serveur demande le mot de passe administrateur précédemment définit.
Le mot de passe devra être changé pour rentrer dans la session.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
46
7.3.2 Intégrer un poste au domaine. 1. Sur le PC que l’on souhaite faire rentrer dans l’AD, ouvrir Ordinateur.
2. Puis cliquer sur « Propriété système »
3. Puis cliquer sur « Modifier les paramètres »
4. Dans l’onglet « Nom de l’ordinateur », cliquer sur « Modifier »
5. Choisir le nom du PC et sélectionner domaine, puis rentrer le nom du domaine, ici
AD.RoboticsInc puis cliquer sur « OK »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
47
6. Pour pouvoir intégrer le PC dans l’AD, celui-ci demande un mot de passe administrateur
7. Une fois rentré, un message indique que l’on est bien rentré sur le domaine, et nous propose
de redémarrer pour finaliser l’intégration.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
48
7.3.3 Création d’une GPO (Stratégie de groupe).
1. Se connecter au serveur :
2. Ouvrer la console « Gestion de stratégie de groupe » :
3. Cliquer droit sur le nom de domaine, et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici :
4. Dans le champ « Nom », taper le nom de la GPO et cliquer sur « OK » :
5. La GPO apparait dans la liste à la racine du domaine. Cliquer droit et modifier :
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
49
6. L’éditeur de gestion s’ouvre, et on peut choisir les options que l’on souhaite pour
créer une GPO :
Dans cet exemple, la GPO va permettre de supprimer l’application Ajout/suppression de programme
sur l’ordinateur.
7. Une fois la création terminée, glisser la GPO dans les groupes ou l’on souhaite l’appliquer
à l’aide de l’arborescence.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
50
7.4 Impression.
7.4.1 Déploiement du serveur d’impression. Procédure pour installer un serveur d’impression sur Windows server 2012 :
1. Ouvrir le tableau de bord, et cliquer sur Ajouter des rôles et des fonctionnalités
2. Cliquer sur « Suivant »
3. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » puis cliquer sur
« Suivant ».
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
51
4. Sélectionner « Sélectionner un serveur du pool des serveurs », sélectionner le serveur voulu
et cliquer sur « Suivant »
5. Cliquer de nouveau sur « Suivant », et cocher la case « Service d’impression et de
numérisation de documents » et cliquer sur « Suivant » les deux prochaines fois.
Le serveur d’impression va s’installer, et on pourra retrouver le service sur le tableau de bord.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
52
7.4.2 Installation d’une imprimante. 1. Ouvrir « Gestion de l’impression »
2. Dérouler l’arborescence du gestionnaire d’impression, et faire un clic droit sur
« Imprimantes » et cliquer sur « Ajouter une imprimante »
3. Sélectionner « Ajouter une nouvelle imprimante via un port existant » et cliquer sur
« Suivant »
4. Sélectionner le pilote qu’on aura préalablement installé sur le serveur, et cliquer sur
« Suivant »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
53
5. Choisir le nom de l’imprimante, puis cliquer sur « Suivant », et une nouvelle fois sur
« Suivant »
6. L’installation de l’imprimante est terminée, et apparait dans la liste des imprimantes
disponibles.
7. Cliquer droit sur l’imprimante, puis cliquer sur « Propriété »
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
54
8. Dans ces propriétés, nous pouvons régler plusieurs paramètres, comme le partage de
l’imprimante dans l’onglet « Partage », attribuer une adresse IP à l’imprimante via l’onglet
« Ports », régler les impressions dans « Avancé » et définir qui peut « Imprimer » et « Gérer
cette imprimante » en ajoutant les utilisateurs/groupe de l’AD.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
55
7.5 Installation GLPI On commence par installer les différents paquets :
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
56
Une fois les différents paquets installés, la fenêtre pour taper le mot de passe de mysql s’affiche :
Il faut ensuite créer une base de données dans mysql et créer un utilisateur qui aura tous les
privilèges sur celle-ci.
Il faut ensuite redémarrer le service mysql. La base de données est ainsi créée et opérationnelle.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
57
Télécharger installer et dézipper les paquets de GLPI et Fusion Inventory.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
58
Ne pas oublier de changer les droits sur le dossier glpi sinon aucune opération ne pourra être réalisée
si le dossier appartient à root.
Déclarer glpi dans apache2 en éditant un fichier de configuration sinon l’accès via le web sera
impossible.
Taper vi /etc/apache2/sites-available/glpi pour éditer le fichier de configuration.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
59
Changer la ligne 12 par DocumentRoot /var/www sur le fichier de configuration : vi
/etc/apache2/sites-enabled/000-default.conf.
Puis redémarrer les services mysql et apache avec les commandes service apache2 reload et service
mysql reload.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
60
Toute la configuration se déroule sur le web à présent.
Taper le mot de passe choisi lors de l’installation de MySQL.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
61
Sélectionner la base de données crée dans MySQL.
Le plugin fusion inventory à installer et à activer.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
62
Il faut renseigner l’onglet annuaires LDAP pour que les utilisateurs de notre AD puisse remonter sur
GLPI.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
63
Et enfin le script d’installation pour pouvoir déployer l’agent fusion inventory par GPO sur les postes.
'
'
' USER SETTINGS
'
'
' SetupVersion
' Setup version with the pattern <major>.<minor>.<release>[-<package>]
'
SetupVersion = "2.3.18"
' SetupLocation
' Depending on your needs or your environment, you can use either a HTTP or
' CIFS/SMB.
'
' If you use HTTP, please, set to SetupLocation a URL:
'
' SetupLocation = "http://host[:port]/[absolut_path]" or
' SetupLocation = "https://host[:port]/[absolut_path]"
'
' If you use CIFS, please, set to SetupLocation a UNC path name:
'
' SetupLocation = "\\192.168.0.101\Deploy\fusioninventory-agent_windows-x64_2.3.18"
'
' You also must be sure that you have removed the "Open File Security Warning"
' from programs accessed from that UNC.
'
SetupLocation = "https://github.com/tabad/fusioninventory-agent-windows-
installer/releases/download/" & SetupVersion
' SetupArchitecture
' The setup architecture can be 'x86', 'x64' or 'Auto'
'
' If you set SetupArchitecture = "Auto" be sure that both installers are in
' the same SetupLocation.
'
SetupArchitecture = "Auto"
' SetupOptions
' Consult the installer documentation to know its list of options.
'
' You should use simple quotes (') to set between quotation marks those values
' that require it; double quotes (") doesn't work with UNCs.
'
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
64
SetupOptions = "/acceptlicense /runnow
/server='http://192.168.0.102/glpi/plugins/fusioninventory/' /S"
' Setup
' The installer file name. You should not have to modify this variable ever.
'
Setup = "fusioninventory-agent_windows-" & SetupArchitecture & "_" & SetupVersion & ".exe"
' Force
' Force the installation even whether Setup is previously installed.
'
Force = "No"
' Verbose
' Enable or disable the information messages.
'
' It's advisable to use Verbose = "Yes" with 'cscript //nologo ...'.
'
Verbose = "No"
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
65
7.6 Partage de ressources entre Windows et Linux Pour joindre la machine linux au domaine nous allons taper la commande
realm join [email protected] AD.RoboticsInc
Pour vérifier que nous avons bien rejoint le domaine taper realm list
Vérifions que le fichier de configuration sssd soit bien renseigné automatiquement cela permettra
aux utilisateurs de l’active directory de remonter sur le debian.
Editons le fichier de configuration kerberos pour que les utilisateurs puissent s’authentifier sur la
machine.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
66
En effet, pour se connecter à un AD, il faut passer par une authentification Kerberos.
Or, Kerberos nécessite un réglage optimal de l’heure : moins de 5 minutes d’écart entre notre serveur Debian et le Contrôleur de domaine. Nous allons donc nous servir Du serveur de temps de notre Contrôleur de Domaine afin de récupérer son heure et de l’appliquer à notre serveur debian.
Test de la synchronisation de l’heure avec le contrôleur de domaine réussi.
Si le test est réussi la machine nous donne ses informations.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
67
root@debian:~# /usr/sbin/ntpdate-debian
1 Dec 23:05:38 ntpdate[71614]: step time server 192.168.0.101 offset -18.306587 sec
Nous allons maintenant éditer le fichier de configuration de samba ce qui permettra d’accéder aux
répertoires partagés depuis les postes clients.
[global]
workgroup = ADROBOTICSINC
server string = debian
#dns proxy = no
#valid users = %S
#create mask = 0700
#directory mask = 0700
netbios name = debian
#server role = standalone server
#map to guest = bad user
#domain master = yes
#local master = no
#os level = 66
#wins server = yes
#wins server = 192.168.0.101
# Add the IPs / subnets allowed acces to the server in general.
# The following allows local and 10.0.*.* access
#hosts allow = 127. 10.0.
# log files split per-machine:
log file = /var/log/samba/log.%m
# enable the following line to debug:
# log level =3 # maximum size of 50KB per log file, then rotate: max log size = 50# Here comes the
juicy part!
security = ADS
encrypt passwords = yes
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
68
passdb backend = tdbsam
realm = AD.ROBOTICSINC
# Not interested in printers
load printers = no
cups options = raw
# This stops an annoying message from appearing in logs
printcap name = /dev/null
[COMMUN]
writeable = yes
guest ok = yes
public = yes
path = /var/COMMUN
locking = no
write list = @"utilisateurs du [email protected]"
browsable = yes
#force create mode = 0770
#force directory mode = 770
valid users = @"utilisateurs du [email protected]"
[DIRECTION]
writeable = yes
public = yes
guest ok = no
path = /var/COMMUN DIRECTION
browsable = yes
#read only = no
writeable = no
write list = @"[email protected]", @"[email protected]"
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
69
valid users = @"[email protected]", @"[email protected]"
[SAV]
writeable = yes
public = yes
guest ok = no
path = /var/COMMUN SAV
browsable = yes
read only = yes
write list = @"[email protected]", @"[email protected]"
valid users = @"[email protected]", @"[email protected]",
[INFORMATIQUE]
comment = INFORMATIQUE
writeable = yes
public = yes
guest ok = no
path = /var/INFORMATIQUE
browsable = yes
read only = yes
write list = @"[email protected]"
valid users = @"[email protected]", @"[email protected]"
[SERVICE ROBOTIQUE]
writeable = yes
public = yes
guest ok = no
path = /var/COMMUN SERVICE ROBOTIQUE
browsable = yes
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
70
read only = yes
write list = @"[email protected]", @"service [email protected]"
valid users = @"service [email protected]", @"[email protected]",
[SERVICE DOMOTIQUE]
writeable = yes
public = yes
guest ok = no
path = /var/COMMUN SERVICE DOMOTIQUE
browsable = yes
read only = yes
write list = @"[email protected]", @"service [email protected]"
valid users = @"service [email protected]", @"[email protected]",
[ADMINISTRATIF]
writeable = yes
public = yes
path = /var/COMMUN ADMINISTRATIF
browsable = yes
read only = yes
write list = @"[email protected]", @"[email protected]"
valid users = @"[email protected]", @"[email protected]",
Il ne reste plus qu’à donner les permissions aux différents utilisateurs et groupe avec la commande
chmod ainsi que de mettre en place les ACL sur les différents dossiers personnels des utilisateurs
avec la commande setfacl -m.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
71
7.7 FTP Pour commencer nous installons le paquet ProFTPd : apt-get install proftpd
Lors de la mise en place de ProFTPd une fenêtre s’ouvre et nous demande si nous souhaitons qu’il soit indépendant ou lancé par inetd.
Le mode inetd est généralement le mieux adapté pour les sites à faible trafic, qui ne gèrent que peu de sessions FTP. Le mode indépendant est le mieux adapté pour les sites à trafic dense, il n’est pas nécessaire de modifier les autres fichiers de configuration autres que le fichier proftpd.conf, pour les ports, les serveurs virtuels ou tout autre élément.
Nous choisirons le mode indépendant qui permettra d’importants échanges avec le serveur. Ensuite, nous devons configurer ProFTPD :
vi /etc/proftpd/proftpd.conf
Nous allons modifier le fichier de configuration qui nous permettra :
L’intégration des utilisateurs de l’active directory leurs permettant d’écriture, lecture et téléchargement dans leurs dossiers mais de lecture simple dans celui de leurs groupes ainsi que de ne pas pouvoir lire, écrire et télécharger sur ceux de leurs collègues
La possibilité aux anonymes de pouvoir se connecter en lecture et téléchargement sans avoir possibilité d’écriture, ils sont bloqués dans un répertoire anonyme et ne peuvent donc aller sur les répertoires des autres utilisateurs.
DefaultRoot ~ est ajouté pour restreindre les utilisateurs, avec leurs accès, dans leur propre dossier de base uniquement.
Dans le fichier /etc/proftpd/proftpd.conf, on dé-commente la ligne Include /etc/proftpd/tls.conf afin de charger le fichier de configuration de tls. Nous procédons ensuite à la configuration du fichier /etc/proftpd/tls.conf. Pour sécuriser la connexion, nous créerons dans les répertoires définis les certificats.
Nous devons faire un compte FTP anonyme dans ProFTPd, il suffit de dé-commenter les lignes concernant la programmation Anonymous share.
Il ne nous reste plus qu’à relancer le serveur FTP pour prendre en compte la nouvelle configuration avant d’installer le client Filezilla.
Tout d’abord, on récupère le fichier d’installation sur le site officiel de Filezilla, une fois téléchargé on passe à l’installation du logiciel.
La licence d’utilisation s’affiche, on clique sur I Agree, par défaut l’installation se fait en standard. Puis on suit les instructions d’installation.
Pour démarrer le serveur FTP on ouvre Filezilla et on renseigne dans la ligne Hôte le périphériques concerné (192.168.0.102), dans Identifiant (ceux de l’utilisateur avec son domaine, pour notre part ce seras [email protected]), le mot de passe de l’utilisateur ainsi que le Port qui seras en l’occurrence le 22 (SSH).
Une fois avoir cliqué sur connexion rapide l’utilisateur sera en possession de son dossier sur le FTP.
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
72
7.8 NFS.
7.8.1 Service NFS. Commençons tout d’abord par installer le paquet suivant sur la première machine linux :
apt-get install nfs-kernel-server
Voici comment nous avons autorisé les serveurs clients à lire et à écrire sur le répertoire créé:
chmod 755 /var/
chmod 755 /etc/
chmod 755 /home/
Dans le cas où nous voulons partager le répertoire /home, les permissions ne doivent pas être modifiées. Pour partager le répertoire NFS sur le réseau nous allons rajouter dans le fichier /etc/exports ses lignes : /etc 192.168.0.104(sync,no_root_squash) /var 192.168.0.104(sync,no_root_squash) /home 192.168.0.104(sync,no_root_squash) Ensuite, nous mettons à jour la table NFS avec les nouveaux points de partage.
exportfs –r
Pour terminer nous relançons le service NFS pour la partie serveur.
7.8.2 Client NFS. Nous avons installé sur ce debian la version cliente du nfs en réalisant un apt-get install nfs-kernel-
server . Activer et démarrer les services NFS :
Systemctl enable rpcbind
Systemctl start rpcbind
Avant de monter le partage NFS, nous devons vérifier les partages disponibles sur le serveur NFS. Pour
ce faire, voici la commande que nous avons réalisé sur le client-serveur.
Showmount -e 192.168.0.102
Par la suite nous avons créé les points de montage du répertoire NFS ainsi que monté le contenu
partagé du Serveur NFS dans la machine cliente comprenant le fichier /home du Serveur NFS le /var et
le /etc :
mkdir /mnt/ home
mkdir /mnt/var
mkdir /mnt/etc
mount 192.168.0.102:/home /mnt/home
Mickael Affeltranger, Florent Armingaud, Benjamin Rodot, Guillaume Gatepaille
73
mount 192.168.0.102:/var /mnt/var
mount 192.168.0.102:/etc /mnt/etc
Afin de vérifier si la commande de « montage » a bien été réalisée nous faisons un :
mount | grep nfs
Nous réalisons un df -hT pour vérifier également le partage NFS monté.
Nous avons besoin de monter le partage NFS à la fin du client permanent qu'il doit être monté même
après le redémarrage. Donc nous devons ajouter le partage NFS dans le fichier /etc /fstab de la
machine cliente.
Une fois le montage permanent installé nous pouvons redémarrer la machine et les points de montage
seront permanents même après le redémarrage.