ppe 3 -...
TRANSCRIPT
[Tapez ici]
PPE 3.1
La Maison des Ligues de Lorraine (M2L) a pour mission de fournir desespaces et des services aux différentes ligues sportives régionales et à
d’autres structures hébergées. La M2L est une structure financée par leConseil Régional de Lorraine dont l'administration est déléguée au Comité
Régional Olympique et Sportif de Lorraine (CROSL).
MISE EN PLACE D’UN OUTIL DE GESTION DE PARC, ADMINISTRATION RESEAU A DISTANCE SECURISEE
PPE 3.1
RAPPEL :
La Maison des Ligues (La M2L), établissement du Conseil Régional de Lorraine, est responsable de la gestion du service des sports et en particulier des ligues sportives ainsi qued’autres structures hébergées. La M2L, comme vous le constaterez dans l’interview avec son responsable, doit fournir les infrastructures matérielles, logistiques et des services à l’ensemble des ligues sportives installées.
Pour assurer le développement du système éducatif sportif de la région Lorraine et des offresaux usagers, le conseil régional et la direction de la M2L ont décidé de développer des services et des capacités d’hébergement pour les ligues sportives.
La M2L comprend plusieurs départements et son organisation lui permet de répondre aux exigences de la région pour assurer l’offre de services et de support technique aux différentes ligues déjà implantées (ou à venir) dans la région.
Sommaire des missions demandées :
Partie 1 : Administration système
- Mission 1 : Mise en place d’un serveur de déploiement multi-images- Mission 2 : Mise en place d’un serveur d’applications- Mission 3 : Mise en place d’outils de gestion de parc et d’incidents
Partie 2 : Administration réseau
- Mission 1 : Service d’accès sécurisé Internet – DMZ- Mission 2 : Service d’administration à distance sécurisée- Mission 3 : Service de haute disponibilité
Partie 3 : Economie – Management
- Etude du financement du projet
Partie 4 : Droit
- Mission 1 : Présenter un dossier actualisé concernant la qualification juridique de la M2L, l’étendue de sa responsabilité juridique vis-à-vis de ses clients, les ligues, ainsi que les moyens de prévention des risques et de protection devant être mis en place chez M2L, chez ses clients et ses fournisseurs.
- Mission 2 : Présenter un dossier actualisé sur les risques auxquelles sont exposées les données des clients que M2L héberge et les moyens juridiques de protection de ces données.
1
PPE 3.1
Présentation de l’équipe en charge du projet PPE 3.1 :
2
Bwah Corporation
Technicien : COSTES Antoine
Technicien : HEIDMANN
Quentin
Chef de projet/Technicien : BEUSELINCK Julien
PPE 3.1
Partie 1 : Administration système- Mission 1 : Mise en place d’un serveur de déploiement multi-images :
Installation d’un Serveur WDS (déploiement d’image système) :
Introduction :
Windows Deployment Services a été introduit avec Windows Server 2008 afin de remplacer le « vieillissant » RIS. WDS fournit un système de déploiement automatisé afin de distribuer des images systèmes via le réseau. Grâce à lui il est possible de déployer rapidement un parc informatique.
WDS se base sur de nombreux services Windows. Aussi il convient de maitriser les services Windows tels qu’Active Directory et DHCP.
Contexte :
Le parc informatique de la M2L commence à se diversifier au niveau des systèmes d’exploitation client. Si la plupart des machines sont équipés du système Windows 7, certaines ligues souhaitent travailler Windows 8. L’administrateur a déjà mis en place un serveur de déploiement d’images basé sur WDS. Il souhaite à présent y ajouter des outils permettant d’une part d’ajouter des images, des logiciels, des pilotes et d’autre part d’automatiser au maximum les déploiements. Les solutions retenues consisteraient à mettre en œuvre des outils MDT et WAIK.
Objectifs :
1. Installer et configurer un système de déploiement d’image2. Personnaliser plusieurs types d’images systèmes
Partie 1 : Installation et configuration du serveur
Prérequis :
Avant de commencer, il est nécessaire de disposer d’une version de Windows Server 2008 R2SP1 Standard/Entreprise/Datacenter téléchargeable depuis le site Microsoft. Il faut également un poste « Hôte » avec d’installé le logiciel Virtual Box pour accueillir les machinesvirtuelles serveurs et clients.
Pour cette installation, il faut 2 serveurs membres du même domaine et une machine cliente sans système d’installé :
« SERVEURAD »: Serveur Contrôleur de domaine (m2l.fr) Active Directory/DNS/DHCP
« WDS » : Serveur Contrôleur de domaine secondaire (m2l.fr) Active Directory/Service WDS/Framework 3.5
« Test Boot PXE » : poste accueillant les images systèmes personnalisées
3
PPE 3.1
- Configuration réseau TCP/IP :
« SERVEURAD » : 172.16.2.61 255.255.255.192
« WDS » : 172.16.2.60 255.255.255.192
« Test Boot PXE » : IP Dynamique (DHCP) étendue de 172.16.2.1 à 172.16.2.50
Préparation des serveurs
Installation de Windows Automated Installation Kit (WAIK)
Configuration de base « SERVEURAD » :
Configuration de base « WDS » :
4
PPE 3.1
- Configuration DHCP :
On a réservé une adresse IP statique 172.16.2.60 pour le serveur WDS, on a ajouté desoptions sur ce serveur (066,067) pour que les machines puissent démarrer sur le réseau pour
récupérer les images de démarrage via le boot réseau (PXE).
Quelques options PXE et DHCP qui sont demandées :
Cocher les deux cases.
5
PPE 3.1
Télécharger la dernière version du WAIK. Monter le fichier iso sur le serveur SRV-WDS, Cliquer sur « Installation du Kit » :
L’assistant d’installation de Windows AIK se lance, faire suivant :
Accepter les termes du contrat, puis suivant :
6
PPE 3.1
Laisser par défaut le chemin d’installation et les droits d’utilisateur :
Confirmer l’installation :
L’état d’avancement démarre :
7
PPE 3.1
A la fin de l’installation, faire fermer :
Installer ensuite le supplément WAIK pour le SP1 de W7/W2008 R2
Microsoft vient de publier une mise à jour de Windows Automated Installation Kit (WAIK) pour Windows 7 SP1.
La nouvelle version 3.1 de Windows PE est présenteWindows PE 3.1 contient les binaires Remote Network Driver Interface Specification (RNDIS).Windows PE 3.1 inclut les binaires 802.1x comme composant optionnel.Windows PE 3.1 ajoute les correctifs pour le support secteur de disques de 4k/512e.Windows PE 3.1 inclut des corrections de bug pour apporter le support du SP1
Il nous faut monter l’ISO « waik_supplement_fr-fr.iso »
Ouvrir l’invite de commande (CMD) et exécuter la commande suivante :
8
PPE 3.1
« Xcopy F:\ ‘’C: \Program Files\Windows AIK\Tools\PETools’’ /ERDY
(La lettre F:\ est le lecteur DVD, elle peut être variable d’un poste à l’autre).
Copie des fichiers :
Installation de la fonctionnalité .net Framework 3.5.1Pour les serveurs Windows 2008 R2, on ne peut plus exécuter « dotnetfx35.exe », c’est une fonctionnalité à ajouter dans le gestionnaire de Serveur :
9
PPE 3.1
Installation de MDT 2012 Update 1
La nouvelle version de MDT est disponible :Grâce à cette solution, vous pourrez déployer Windows XP, Windows7, Windows 8, Office 2010 et 365, Windows serveur 2008 R2.Après avoir téléchargé MDT 2012 update 1, lancer le fichier « MicrosoftDeploymentToolkit2012_x64.msi »
Faire suivant :
Accepter les termes de la licence puis suivant :
10
PPE 3.1
Laisser par défaut, suivant :
Terminer par l’installation :
11
PPE 3.1
L’installation est désormais terminée et MDT 2012 est prêt à être configuré :
Administration de MDT 2012 Update 1Lancer MDT 2012, aller dans « Démarrer », « Tous les programmes », « Microsoft Deployment Toolkit », « Deployment Workbench »Il est plus facile d’envoyer le raccourci vers le bureau en vue des différentes configurations dans la suite du projet :
12
PPE 3.1
Cliquer droit sur « Deployment Share » et Sélectionner « New Deployment Share » ;
Sélectionner le répertoire où le dossier « Deployment Share » sera créée sur le disque C :
Indiquer le « Share Name » : DeploymentShare$ par défaut puis suivant :
13
PPE 3.1
Indiquer « Description Name » laissé par défaut car peu d’importance pour la suite :
On décoche toutes les options sauf « ask if an image should be captured »:
Récapitulatif des options choisies tout au long de ce nouveau ‘’DeploymentShare’’, on vérifiepuis on valide par suivant :
14
PPE 3.1
L’installation se termine en succès, on peut vérifier par la suite le dossier « DeploymentShare » sur le disque C :
Installation du rôle « Services de déploiement Windows »- Prérequis : Les rôles Active Directory et DNS sont installés via un « dcpromo » pour
faire du serveur « WDS » le contrôleur de domaine secondaire.
15
PPE 3.1
Dans le gestionnaire du serveur, dans ajout rôle, sélectionner « Services de déploiementWindows » :
L’assistant d’installation se lance, présentant les fonctionnalités du service WDS :
Laissé par défaut, coché « Serveur de déploiement » ainsi que « Serveur de transport » :
16
PPE 3.1
Confirmer ensuite l’installation du rôle :
Patienter le temps que l’installation se termine :
L’installation se conclue par un succès :
17
PPE 3.1
Intégration des systèmes, logiciels, pilotes, modèlesAjout d’un système d’exploitation dans MDT 2012Dans « Deployment Workbench », rubrique operating systems, clic droit puis New Folder:
Créer son dossier, donner un nom, etc…
Clic droit sur le dossier « x64 » créé et cliquer droit puis « Import Operating System :
Insérer le DVD source du système d’exploitation à déployer, ou monter le fichier ISO. Cocher « Full set of source files » :
Sélectionner via le bouton « Browse » le lecteur contenant les sources à importer dans MDT2012 :
18
PPE 3.1
Nommer les sources à importer, dans notre cas : « Windows 7 x64» :
Récapitulatif du processus :
19
PPE 3.1
L’état de progression de l’importation de l’image Windows 7 :
Succès de la progression d’importation du système :
20
PPE 3.1
On constate dans le dossier « x64x que l’image Windows 7 Pro comprend les différentes versions existante de Windows 7 en format 64bits :
Création d’une séquence de tâches pour ce nouvel OS à déployer
Clic droit sur « Task Sequence » puis cliqué sur « New Task Sequence » ;
On attribue un ID à notre séquence de tâches, dans notre cas : « w7Pro », ainsi qu’un nom :« w7 pro x64» :
21
PPE 3.1
On choisira comme « Template » : « Standard Client Task Sequence » :
On sélectionne le système d’exploitation importé dans le dossier « x64 » :
Cochez « Do not specify a product key at this time » Cela permet de ne pas spécifier de clé delicence Windows pour le moment :
22
PPE 3.1
Ensuite on nomme l’utilisateur, ce paramètre ne sera pas pris en compte, de même pourl’organisation, ces paramètres seront renseignés plus tard : Utilisateur ; M2L :
Cochez « Do not specify an Administrator password at this time »:
23
PPE 3.1
On vérifie le récapitulatif et on valide :
La séquence de tâches est maintenant créée, on ferme l’assistant en cliquant sur « Finish » :
24
PPE 3.1
Importation des drivers pour un modèle :Clic droit sur « Out-of-Box Drivers » dans le Deployment Workbench :
Créer un dossier « nom de l’OS » (ex : Windows) créer un sous-dossier avec les différentstypes : x64, x86, encore un sous-dossier avec la marque du fournisseur, ensuite un sous-
dossier avec le modèle du PC, et pour finir les drivers correspondants.
Recherche du chemin des drivers :
Création d’une application à déployerClic droit sur « Applications « Puis cliquer sur « New Application » ;
Choisir la première option « Application with source files » car le serveur dispose del’exécutable du logiciel :
25
PPE 3.1
Ensuite il faut détailler le logiciel, nom entier, nom simple, version, langue :
Après avoir détaillé les informations du logiciel, ajouter le chemin où le logiciel Firefox est placé.
Entrer le nom du répertoire de l’application « Firefox 33.0» :
26
PPE 3.1
Spécifier la commande à exécuter pour installer l’application :
« fichier.exe /S /noreboot »
S’affiche ensuite un résumé du paramétrage définit :
Le package d’application se crée :
27
PPE 3.1
Partie 2 : Personnalisation d’image système
Création de l’image WIM :Après le processus de configuration comprenant l’image système, les drivers, la séquence de tâche et enfin l’application, il est maintenant possible de créer une image « WIM ». L’image WIM est un format permettant de démarrer une installation de type système d’exploitation par exemple et dans ce cas permettre au poste client de lancer via le PXE Windows l’installation d’un système.
Pour créer l’image WIM, faire clic droit sur MDT Deployment Share puis « Update Deployment Share »;
Dans l’assistant installation cocher la case “Compress the boot image contents to recoveryspace used by removed or modified content”:
Les détails de l’installation :
28
PPE 3.1
Patientez jusqu’à la fin de l’installation :
MDT crée ces fichiers WIM dans le répertoire C:\DeploymentShare\Boot, on observe lesfichiers LiteTouchePE_x64 et LiteTouchPE_x86 qui serviront au serveur WDS pour le
déploiement de système via PXE :
29
PPE 3.1
Transfert vers le serveur WDS :
Dans les services de déploiement de Windows il faut ajouter une image de démarrage, on fait clic droit sur images de démarrage et ajouter une nouvelle image de démarrage ;
Sélectionner les deux images WIM x86 et x64 indépendamment dans le dossier C:\DeploymentShare\Boot :
Renommer le nom de l’image suivant si l’architecture est en 64 bits ou autre. (Ex : « Windows 7 (x64))
30
PPE 3.1
Un récapitulatif de l’image de démarrage :
L’assistant d’ajout d’image se lance, cliquer sur terminé lorsque la tâche s’est achevé :
31
PPE 3.1
Test de l’installation d’image sur un poste client en PXE (démarrage sur le réseau) :
Après les deux serveurs de configurés vient maintenant la phase installation de l’image système sur une machine cliente. La machine cliente est donc une troisième machine virtuelle nommé Test Boot PXE disposant de 1 Go de ram et d’un disque dur virtuel de 40 Go.La séquence de démarrage a été modifié dans le BIOS pour pouvoir démarrer en mode PXE par le réseau et donc de se connecter au serveur WDS.
Une fois le démarrage sur le réseau, faire F12 pour sélectionner le boot, puis une adresse IP obtenue via le serveur DHCP, appuyer sur F12 une seconde fois :
Remarque : Il y a un message d’erreur sur ce screenshot « Exiting Intel PXE ROM… ».C’estjuste que le délai pour appuyer sur F12 est court, le déploiement est bien fonctionnel.
Choisir ensuite l’image système configurer sur le serveur WDS :
32
PPE 3.1
Une fois l’image choisit, le serveur WDS charge les fichiers de l’image« LiteTouchPE_x64.wim »:
S’affiche ensuite l’assistant Microsoft Deployment Toolkit afin de préparer le nouveausystème ;
La première fenêtre propose de démarrer l’installation du système, il est également possiblede définir une configuration IP statique pour joindre le contrôleur de domaine :
33
PPE 3.1
Démarrer par “Run The Deployment Wizard to install a new operating system”, une demandede login Administrateur du réseau sera à renseigner :
Il faut ensuite cocher la séquence de tâche créée précédemment :
34
PPE 3.1
Renseigner les détails du poste client (Nom, Domaine ou Workgroup, Login Administrateur) :
Laisser par défaut les deux secondes configurations :
Définir la zone temporelle : GMT+1 pour la France :
35
PPE 3.1
Choisir l’application à installer qui dans ce cas présent est Firefox:
Avant de commencer l’installation, le détail de l’assistant d’installation s’affiche :
36
PPE 3.1
L’installation démarre et commence par synchroniser le processus de tâche suivant laconfiguration définit précédemment :
Le processus d’installation varie suivant la configuration matériel du serveur WDS, c’est pourcela qu’en lui attribuant plus de ressource tel que la mémoire ram, l’installation s’effectuera
plus rapidement :
Le processus continu et le système Windows Seven Pro x64 démarre normalement commepour la première utilisation. Il demandera en premier temps de renseigner la clé de licence
Windows puis ajoutera le poste client dans le domaine m2l.fr (un redémarrage automatiques’exécutera).
Le nouveau système est installé, connecté sur le domaine m2l.fr, dispose de l’applicationFirefox :
37
PPE 3.1
- Mission 2 : Mise en place d’un serveur d’applications : Installation et configuration d’un serveur TSE sous Windows 2008 R2 :
Introduction :
Terminal Server (TSE) est un composant de Microsoft Windows qui permet à un utilisateur d’accéder à des applications et des données sur un ordinateur distant.
Contexte :
Afin de faciliter les ligues et les services de la M2L dans leur installation, l’administrateur envisage de mettre en place un serveur d’application basé sur TSE permettant aux utilisateurs d’accéder et d’utiliser les applications qui y sont installées. Le serveur est hébergédans le VLAN informatique dans un serveur suffisamment redimensionné, car tous les traitements se font au niveau du serveur. La solution offre plusieurs avantages : côté administration système, cela réduit les coûts d’exploitation, sécurise le serveur et les applications, utiliser les PC clients en tant que clients légers ne nécessitant pas de performance. Côté utilisateurs, ils peuvent accéder à partir du bureau à distance ou depuis une interface WEB, aux applications qui leurs affectées. La solution peut être enrichie pour la mise en place d’une ferme de serveurs TSE pour assurer une haute disponibilité et la répartition de charge. Il est donc vital, compte tenu du contexte, d’intégrer ce nouveau service dans l’infrastructurede la M2L.
Objectifs : 1. Installation de l’Autorité de certification2. Installation des services TSE3. Personnalisation des services TS4. Configuration des RemoteApp5. Configuration de l’Active Directory6. Création stratégies de groupes (GPO)7. Accès au serveur
Prérequis :- Un poste « Hôte » avec d’installé le logiciel Virtual Box pour accueillir les machines
virtuelles serveurs et clients.- Serveur Windows 2008 R2 Contrôleur de domaine (« m2l.fr » ici) AD/DHCP/DNS... - Client Windows 7 en IP dynamique et intégrée au domaine « m2l.fr » (pour la phase
de test).- Par facilité, on installera directement avant toute action complémentaire les logiciels
destinés pour une installation Finale (Pack-office, Logiciels de programmation, Bloc-notes et autre utilitaires).
38
PPE 3.1
Configuration du serveur :
1. Installation Autorité de certification :
Aller dans gestionnaire de serveur puis Rôles :
39
PPE 3.1
Clic droit sur Rôles puis « Ajouter des rôles » :
Cocher « Services de certificats Active Directory »
Faire suivant :
Cocher « Autorité de certification » :
40
PPE 3.1
Suivant puis choisir « Entreprise » :
Suivant, choisir « Autorité de certification racine » :
Suivant, choisir « Créer une nouvelle privée » :
41
PPE 3.1
Suivant, laisser par défaut :
Suivant, nom d’Autorité :
Suivant, Période de validité : Laisser par défaut
42
PPE 3.1
Suivant, laisser par défaut :
Récapitulatif de l’installation :
Progression de l’installation :
43
PPE 3.1
Fin de l’installation : Cliquer sur Fermer
2. Installation des services TSE
44
PPE 3.1
Dans le gestionnaire de serveur, sélectionner le rôle « Service Bureau à distance » :
Faire suivant :
Choisir « Installer quand même le service Hôte Bureau à distance (recommandé) » :
Cliquer sur « Ajouter les services de rôles requis » :
45
PPE 3.1
Cocher les fonctionnalités suivantes :
- Hôte de session bureau à distance (anciennement service Terminal Server)
- Gestionnaire de licences des services Bureau à distance (gère les licences d’accès client TS)
- Service Broker pour les connexions Bureau à distance (gère l’équilibrage de charge de lasession ainsi que l’accès aux utilisateurs aux programmes RemoteApp)
- Passerelle des services Bureau à distance (permet aux utilisateurs autorisés de se connecterau serveur via Internet)
- Accès Bureau à distance par le Web (permet aux utilisateurs d’accéder aux programmesRemoteApp et aux services Bureau à distance par le navigateur web)
Faire suivant :
46
PPE 3.1
Choisir « Ne nécessite pas l’authentification au niveau du réseau » :
Choisir « Configurer ultérieurement » :
47
PPE 3.1
Ajouter les groupes d’utilisateurs autorisés (par défaut les membres du groupe « Utilisateursdu Bureau à distance » ont déjà un accès) :
Faire suivant :
Cocher « Configurer une étendue de découverte pour ce serveur de licences » :
48
PPE 3.1
Puis, sélectionner le certificat pour le chiffrement SSL qui a été généré précédemment :
Choisir « Ultérieurement » :
Faire suivant :
49
PPE 3.1
Laisser coché « Serveur NPS » et faire suivant :
Récapitulatif de l’installation :
Fin de l’installation (redémarrage du serveur nécessaire) :
50
PPE 3.1
3. Personnalisation des services TS
Dans les Outils d’Administration, puis Services Bureau à distance et cliquer sur «Configuration d’hôte de session Bureau à distance » :
Clic droit sur RDP-Tcp puis Propriétés :
51
PPE 3.1
Pour éviter l’utilisation inutile des licences, il est possible de modifier les paramètres pour lessessions déconnectées, inactives… :
4. Configuration des RemoteApp :
Dans les Outils d’Administration, Services Bureau à distance puis cliquer sur « GestionnaireRemoteApp » :
52
PPE 3.1
Cliquer sur « Ajouter des programmes », l’assistant RemoteApp s’ouvre :
Sélectionner l’application voulue (ici ce sera WordPad) :
53
PPE 3.1
Cliquer sur Suivant puis Terminer :
Cliquer sur « Paramètre des signatures numériques » :
54
PPE 3.1
Cliquer sur Modifier et cocher « Signer avec un certificat numérique » et sélectionner lecertificat créé précédemment :
55
PPE 3.1
Enfin sélectionner si programme est accessible via le Web ou pas (« Afficher/Masquer dansl’accès Bureau à distance »):
Remarque : Dans la case Accès Bureau, « Oui » signifie qu’il est accessible via le Web, « Non »signifie qu’il ne l’est pas.
5. Configuration de l’Active Directory
Aller dans Outils d’Administration, puis « Utilisateurs et ordinateurs Active Directory » :
56
PPE 3.1
Dans l’AD créer une nouvelle OU nommée « Ljudo » (Ligue Judo) dans cet exemple :
Puis créer un nouveau groupe « LGJudo » lui-même membre du groupe « Utilisateurs dubureau à distance » :
57
PPE 3.1
Aller dans Outils d’Administration, cliquer sur « Stratégie de sécurité locale » :
58
PPE 3.1
Sous Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateurs :
Ajouter le groupe « LGJudo » à la stratégie « Autoriser l’ouverture de session par les servicesBureau à distance » :
59
PPE 3.1
Remarque : Noter que dans une configuration en domaine comme celle-ci il est parfois nécessaire de modifier les stratégie de domaine pour autoriser l’ouverture de session locale aux groupes TSE ainsi que l’ouverture de session TSE ; pour cela allez dans Outils d’administration / Gestionnaire de Stratégie du Domaine pour modifier le « Default Domain Policy »
Puis dans Configuration Ordinateur / Stratégie / Paramètres Windows / Paramètres de sécurité / Stratégies Locales / Attribution des droits utilisateurs.
Éditer les clés : « Autoriser l’ouverture de session Terminal serveur » et « Permettre l’ouverture d’une session locale » pour ajouter le groupe TSE
Dans l’AD ou dans la gestion des utilisateurs locaux (si serveur TSE dissocié du serveur AD), ajouter le groupe TSE au groupe « Ordinateur Accès Web TS » (pour permettre une connexion via le Web et notre serveur IIS)
6. Création stratégies de groupes (GPO) :
Aller dans Outils d’Administration puis, « Gestion de stratégies de groupe » :
60
PPE 3.1
Dans l’OU « LGJudo », créer un objet GPO dans ce domaine et le lier ici… :
Il ne vous reste plus qu’à choisir dans les modèle d’administration quelles sont les limitations que vous voulez appliquer.
Quelques exemples :Empêcher l’accès aux lecteurs depuis le poste de travailDésactiver le menu contextuelEnlever Internet ExplorerInterdire la modification du bureau… etc (les possibilités sont très nombreuses, il y a plus de 900 critères)
Exemple : « Supprimer l’application Ajouter/Supprimer des programmes » :
61
PPE 3.1
Menu pour activer, désactiver ce paramètre :
7. Accès au serveur : (Poste Client)
Via le Bureau à distance :
Dans ce cas renseigner identifiant et mot de passe de session Windows, puis, allez dans Tousles programmes / Accessoires / Connexion Bureau à distance :
62
PPE 3.1
Entrer le nom du serveur ou l’adresse IP (172.16.2.61) et cliquer sur « Connexion » :
Demande mot de passe pour se connecter :
Affichage du certificat, cliquer sur OK :
63
PPE 3.1
Début de la session bureau à distance :
On peut aller dans tous les programmes ou sur le lien si existant et choisir l’applicationvoulue :
Exemple avec WordPad :
64
PPE 3.1
Via le web :
Ouvrir le navigateur Internet, aller sur l’adresse « https://nom_du_serveur/RDWeb »:
Se connecter avec identifiant et mot de passe :
65
PPE 3.1
On a accès à nos RemoteApp via le navigateur Web :
On clique sur WordPad et l’application se lance :Il peut nous demander de saisir identifiant et mot de passe « identifiant : m2l.fr\user puis
mot de passe »
66
PPE 3.1
Remarque : le navigateur Internet Explorer peut bloquer les modules complémentaires etdonc rendre impossible le lancement des applications, pour enlever la sécurité, aller sur le
serveur, puis dans Gestionnaire de serveur, aller sur « Paramétrer la Configuration desécurité renforcée d’Internet Explorer » :
Choisir « Désactiver » pour les deux :
67
PPE 3.1
- Mission 3 : Mise en place d’outils de gestion de parc et d’incidents
Contexte :
Le parc informatique de la M2L et des ligues devient de plus en plus important. Il est composé entre autres de matériels, de logiciels, d’imprimantes, d’équipements réseau etc. accumulés tout au long des années. Les machines sont équipées de systèmes d’exploitation divers et des logiciels propriétaires et open source.
Compte tenu de la répartition des services sur plusieurs bâtiments et sur plusieurs étages, des exigences de performance et de réactivité attendues, une gestion manuelle du parc informatique devient rapidement longue et fastidieuse.
Afin d’assurer une meilleure gestion du patrimoine informatique au niveau de la M2L et des ligues qu’elle héberge, l’administrateur de la M2L vous confie la mission d’identifier un outil open source permettant d’inventorier le parc informatique concernant les configurations des ordinateurs. Cette gestion devrait à terme être automatisée pour gagner du temps, et suivre l’évolution du parc, par des remontées automatiques d’inventaires.
OCS Inventory est basé sur le serveur web XAMPP. Le fichier d’installation est à télécharger sur le site d’OCS (http://www.ocsinventory-ng.org/) rubrique Downloads. La version utilisée est la plus récente (1.02.1 à ce jour). Attention toutefois à vérifier que la version de l’agent téléchargé correspond bien à la version serveur. De même lors d’une mise à jour du serveur OCS, une mise à jour des agents sera nécessaire.
Téléchargez l’exécutable du serveur sur le site d’OCS et lancez l’installation.
Dans le cas où les modules nécessaires sont déjà installés, le message suivant s’affiche :
Dans le cas contraire, le message ci-dessous sera affiché :
68
PPE 3.1
L’installation se lance, cliquez sur Next
Acceptez les termes de la licence.
69
PPE 3.1
Sélectionnez le répertoire de destination de l’installation (si XAMPP est déjà présent, le répertoire sera automatiquement renseigné, dans le cas contraire le répertoire par défaut estC:\XAMPP).
Il vous sera ensuite demandé d’installer les composants nécessaires à l’utilisation d’OCS (XAMPP, add-ons pearl …) s’ils ne sont pas sur le système.
Si les composants sont présents, seul OCS Inventory NG Server est coché.
70
PPE 3.1
Sinon, XAMPP Web server est également coché.
Une foisl’installation terminée, deux nouveaux services sont ajoutés : un pour le fonctionnement duserveur Web apache et un autre pour le fonctionnement de la base de données mysql. Ces
deux services sont démarrés automatiquement donc il sera inutile de les démarrer via lepanneau de contrôle de XAMPP.
71
PPE 3.1
NOTE : si le poste sur lequel vous installez votre OCS dispose déjà d’un serveur web (IIS ou autre que XAMPP), il faudra alors modifier le port utilisé par XAMPP dans le fichier “httpd.conf”. Un outil est fourni lors de l’installation de XAMPP : xampp-portchecker.exe qui permet de déterminer si les ports sont déjà utilisés et par quelles applications.
Configuration du serveur OCS
1. Paramétrage de la base de données
Une fois le serveur OCS installé, il faut le paramétrer.
Commencez par ouvrir le navigateur internet puis rendez-vous sur la page http://localhost/ocsreports. Cette page pointe vers le serveur OCS installé en local. En premier lieu, il faudra vous identifier sur le serveur de base de données MySQL avec un utilisateur ayant les droits nécessaires à la création d’une base de données. Cette base sera utilisée par OCS pour stocker les informations issues de l’inventaire du parc.
Par défaut remplissez les champs comme suit :
Le nom d’utilisateur MySQL : root.
Le mot de passe est laissé vide.
Le nom de l’hôte : localhost.
72
PPE 3.1
NOTE : le script d’initialisation de la base de données exécutera les actions suivantes : création de la base de données ocsweb (51 tables), création de l’utilisateur ocs/ocs et attribution des privilèges suivants : CREATE, SELECT, INSERT, UPDATE, DELETE, DROP, REFERENCES, INDEX, ALTER, LOCK, CREATE TEMP. Si vous ne souhaitez pas utiliser l’utilisateurocs/ocs, il vous faudra modifier dans le fichier de configuration (dbconfig.inc.php) la valeur de la variable COMPTE_BASE et celle de la variable PSWD_BASE représentant respectivementle login et le mot de passe du compte utilisé par OCS.
Il vous sera ensuite donné la possibilité d’entrer une valeur de texte pour le TAG. Laissez vide ce champ. Cliquez sur soumettre la requête.
73
PPE 3.1
Le paramétrage de notre serveur d’inventaire est maintenant terminé. Et vous pouvez vous connecter à l’interface d’administration de votre serveur OCS.
74
PPE 3.1
Par défaut l’utilisateur crée pour administrer le serveur OCS est le suivant : admin/admin.
75
PPE 3.1
2. Paramètres de sécurité.
Il vous faut maintenant sécuriser votre serveur. En effet le compte administrateur (root) par défaut de MySQL ne dispose pas d’un mot de passe. Pour paramétrer la sécurité de votre serveur, ouvre votre navigateur et rendez-vous à l’adresse suivante : http://localhost/security/xamppsecurity.php
Entrez ensuite un mot de passe pour le compte root de MySQL et la méthode d’authentification à PhpMyAdmin. Validez vos changements en cliquant sur le bouton.
Vous pouvez également protéger l’accès à XAMPP en renseignant un login/mot de passe dans la section XAMPP DIRECTORY PROTECTION .htaccess).
Les changements prendront effet au prochain démarrage des services d’Apache et de MySQL.
Déploiement Agent OCS
Maintenant que le paramétrage du serveur est effectué, il va falloir déployer l’agent OCS sur l’ensemble des postes client.
L’une des possibilités de déploiement de l’agent OCS est l’installation via la prise de contrôle à distance en se connectant sur chacun des postes. Cette opération étant longue et fastidieuse, nous allons utiliser une stratégie de groupe pour le déploiement.
Au préalable, téléchargez sur le site d’OCS l’archive contenant l’agent. Faites attention à bien prendre l’agent dont la version est la même que le serveur (1.02.1 dans notre exemple). Dézippez l’archive extraite, celle-ci doit contenir 3 fichiers .exe :
76
PPE 3.1
OcsAgentSetup.exe
OcsLogon.exe
ocsagent.exe
Il existe plusieurs versions différentes de l’agent OCS, une version stand alone (OcsAgentSetup.exe) et une version service (ocsLogon.exe). Nous utiliserons l’installation du service, principalement pour sa taille (le .exe en pèse que 66Ko).
1. Deposer le package d’installation d’OCS sur le serveur.
La première étape consiste à déposer le .exe permettant d’installer OCS sur le serveur d’inventaire. Pour ce faire, téléchargez l’outil OCS Inventory Packager sur le site d’OCS.
Décompressez l’archive .zip téléchargée.
Recherchez dans le dossier d’OCS (C:\XAMPP) le fichier server.crt et copiez le dans le repertoire dans lequel vous avez extrait le packager. Renommez-le en cacert.pem.
Copiez également dans ce répertoire le fichier OcsAgentSetup.exe.
Lancez OcsPackager.exe.
Les paramètres sont les suivants :
Exe file : donnez le chemin du fichier OcsAgentSetup.exe
Certificate : donnez le chemin du fichier cacert.pem
Command line options : /S /NP /PNUM:80 /DEBUG /SERVER:192.168.1.1 /NOSPLASH /NoOcs_ContactLnk /TAG:exemple
Explications :
/S : pour une installation silencieuse (aucun écran ne perturbe l’utilisateur)
/NP : désactive le filtrage proxy
/PNUM : xx : indiquez le numéro de port de votre OCS (par défaut 80 sauf si un autre serveur web ou service utilise ce port sur votre serveur, si tel est le cas indiquez le port spécifié dans le fichier .conf de XAMPP)
/DEBUG : debug mode
/SERVER:xxx.xxx.xxx.xxx : IP de votre serveur
77
PPE 3.1
/NOSPLASH : désactive l’écran de chargement
/NoOcs_ContactLnk : n’installe pas la partie ‘Contact’.
/TAG : tag pour filtrer les machines renseignez ici le nom du site, client …
Label : laissez vide
UserName : Administrateur@mondomaine
Password : mot de passe administrateur
NOTE : Attention, veillez à bien renseigner le TAG, il permettra de trier les pc remontés plus facilement. Cliquez ensuite sur next et choisissez une destination pour le fichier généré.
Rendez-vous sur l’interface administrateur de votre serveur OCS. Cliquez sur le bouton ‘Client’ ou ‘Agent’ représenté par des engrenages.
Parcourrez l’arborescence du disque à la recherche du fichier ocspackage.exe que vous venezde générer puis uploadez le.
2. Créer une GPO pour le déploiement du lanceur
Pour déployer le lanceur, nous allons créer une stratégie de groupe dans notre Active Directory. Rendez-vous donc dans l’outil de gestion des utilisateurs et ordinateurs Active Directory.
Nous allons créer une règle d’installation au démarrage des ordinateurs de manière à inventorier l’ensemble du parc.
Commencez par faire un clic droit sur l’OU contenant les ordinateurs puis rendez-vous dans proprieté puis ‘Stratégie de groupe’ (ou ‘Group Policy’). Créez une nouvelle stratégie et nommez là ocs.
Éditez votre stratégie, rendez-vous dans les options de l’ordinateur (Computer Configuration)puis sélectionnez les options Windows (Windows Settings), et enfin les scripts de démarrage et d’arrêt (Scripts Startup/Shutdown).
Éditez le script de démarrage (Startup).
Cliquez sur ‘Montrer les fichiers’ (Show Files) et collez à cet emplacement votre fichier OcsLogon.exe. Renommez le de la manière suivante : <ip_du_serveur>.exe soit 172.16.2.59.exe dans notre cas.
Ajoutez ce .exe comme script de démarrage en cliquant sur ‘Ajouter’ et en le sélectionnant.
Renseignez la ligne ‘Options’ en ajoutant /INSTALL.
78
PPE 3.1
Validez.
Au prochain démarrage de chacune des machines, l’agent OCS devrait s’installer.
NOTE : vous pouvez aussi ajouter votre .exe sur un partage réseau et mettre la commande duscript d’ouverture de session de vos utilisateurs.
3. Debug de l’installation
Pour vérifier sur un PC que l’installation à eu lieu, rendez-vous à la racine du disque C:\. Un dossier ocs-ng devrait avoir été créé et contenir un fichier texte appelé ocspackage.exe. Il s’agit du log d’installation de l’agent OCS. Vérifiez la cohérence de ce fichier. Voici un exempled’installation réussie :
ocspackage.exe_:_********************************************************ocspackage.exe_:_Starting Ocspackager on 21/09/2009 at 8:58:07ocspackage.exe_:_Contents: OcsAgentSetup.exe v4.0.5.4ocspackage.exe_:_Temp dir: C:\WINDOWS\TEMP\nsc5.tmp\ocspackage.exe_:_Parameters: /S /NP /PNUM:80 /DEBUG /SERVER:192.168.1.1 /NOSPLASH /NoOcs_ContactLnk /TAG:ocsocspackage.exe_:_Install folder: C:\Program Files\OCS Inventory Agentocspackage.exe_:_Certificate: C:\Program Files\OCS Inventory Agent\cacert.pemocspackage.exe_:_File collection:ocspackage.exe_:_Testing current user IsUserAdmin:ocspackage.exe_:_User= "SYSTEM" AccountType= "Admin" IsUserAdmin= "true"ocspackage.exe_:_User is Admin:ocspackage.exe_:_Launching setup directly...instocs.exe_:_Attempt to create "C:\Program Files\OCS Inventory Agent" dir...instocs.exe_:_Copying certificate:cacert.pem to "C:\Program Files\OCS Inventory Agent\"...instocs.exe_:_Lauching OcsSetup.exe (see Contents)...instocs.exe_:_============== Start of OcsSetup.exe log =============********************************************************Starting OCS Inventory Agent 4.0.5.4 setup on 21/09/2009 at 8:58:08Checking if setup not already running...OK.Command line is: "C:\WINDOWS\TEMP\nsc5.tmp\OcsSetup.exe" /S /NP /PNUM:80 /DEBUG /SERVER:192.168.1.1 /NOSPLASH /NoOcs_ContactLnk /TAG:ocsParsing command line arguments...OKChecking for silent mode...Enabled.Checking for splash screen...Disabled.Checking if logged in user has Administrator privileges...OKTrying to determine if service was previously installed...No--Trying to stop service and kill processes...Terminate OcsService.exe : 603Terminate OCSInventory.exe : 603Terminate download.exe : 603Terminate inst32.exe : 603--Copying new files to directory <C:\Program Files\OCS Inventory Agent>...
79
PPE 3.1
--Updating service configuration (service.ini)...Trying to install and/or start service...Installing service on NT like OS.Starting service on NT like OS.---Set ACL on OCS Inventory servcice:Result:0Comments: INFO: Processing ACL of: <OCS INVENTORY>SetACL finished successfully.Set ACL on C:\Program Files\OCS Inventory Agent\service.ini:Result:0Comments: INFO: Processing ACL of: <\\?\C:\Program Files\OCS Inventory Agent\service.ini>SetACL finished successfully.---/NoOcs_ContactLnk usedDisable Ocs_Contact shortcut in Start menuSUCESS: OCS Inventory Agent 4.0.5.4 successfuly installed on 21/09/2009 at 8:58:32 instocs.exe_:_============== End of OcsSetup.exe log =============instocs.exe_:_End of instocs.exe on 21/09/2009 at 8:58:33ocspackage.exe_:_End of ocspackage.exe on 21/09/2009 at 8:58:33
Installation GLPI
Commencez par télécharger GLPI sur le site http://glpi-project.org/
Décompressez ensuite l’intégralité de l’archive téléchargée dans le répertoire htdocs du serveur Xampp.
Ouvrez votre navigateur internet et rendez-vous à l’adresse http://localhost/glpi
Choisissez la langue Française.
80
PPE 3.1
Acceptez les termes de la licence et cliquez sur Continuer.
Cliquez sur « Installation ».
81
PPE 3.1
En premier lieu la compatibilité du système va être vérifiée. Tous les tests doivent donner le résultat ‘Parfait’. Il arrive qu’un des tests échoue : le test de la mémoire. Si tel est le cas continuez quand même l’installation.
1. Paramétrage général de GLPI
82
PPE 3.1
Commencez par paramétrer la connexion à la base de données.
Le serveur MySQL à renseigner est : localhost.
Pour le couple login/mot de passe du compte MySQL, par défaut le login est root et le mot de passe est laissé vide mais si vous avez sécurisé votre compte après l’installation d’OCS et que les services Apache et MySQL ont étés redémarrés, utilisez le mot de passe renseigné lors de la sécurisation (cf -> partie II.2 de ce document.
83
PPE 3.1
Entrez un nom pour votre base de données et cliquez sur continuer. Une fois le script de création exécuté, un message indiquant le bon déroulement de l’opération devrait apparaîtreet vous pourrez désormais accéder à la page d’administration de votre serveur GLPI à cette adresse : http://localhost/glpi
Cliquez sur Continuer.
84
PPE 3.1
Le compte administrateur de glpi par défaut est le suivant : glpi/glpi.
2. Paramétrage du module OCSNG de GLPI.
Pour que votre serveur GLPI puisse communiquer avec votre serveur OCS, il vous faudra renseigner un certain nombre de paramètres.
En premier lieu, rendez-vous sur la page d’administration d’OCS puis survolez le menu de configuration (icône de clé à molette sur fond jaune) et cliquez sur config. Vérifiez alors que le paramètre ‘FREQUENCY’ est fixé à ‘Always Inventoried’ (‘Toujours inventorié’). Si tel n’est pas le cas, sélectionnez cette option et cliquez sur le bouton en bas de la page pour mettre à jour la configuration.
85
PPE 3.1
Rendez-vous à nouveau sur la page de GLPI puis allez dans le menu Configuration puis Générale et enfin cliquez sur l’onglet Restrictions. Vérifiez que la valeur du paramètre ‘Activerle mode OCSNG’ est fixée sur oui, si tel n’est pas le cas, activez-le puis cliquez sur le bouton Valider.
86
PPE 3.1
Rendez-vous ensuite dans le menu Configuration puis Mode OCSNG et cliquez sur localhost, si localhost n’est pas présent, ajoutez un serveur OCS via le ‘+’ en haut de la page et remplissez les champs.
87
PPE 3.1
Dans l’onglet général, vérifiez que les paramètres sont corrects et que le test à la base de données OCS est réussi.
88
PPE 3.1
Dans l’onglet Informations Générales, sélectionnez les paramètres que vous souhaitez synchroniser avec OCS.
NOTE : il est important de choisir comme lieu le TAG (que nous avons paramétré avec le nom du client, site, … lors de la création du package d’installation). Cela permettra d’établir un critère discriminant si les informations devaient être remontées vers GLPI. (Ceci évite d’avoir des centaines de PC à trier et à répartir en différentes entités).
89
PPE 3.1
Partie 2 : Administration réseau
- Mission 1 : Service d’accès sécurisé Internet – DMZ :
Contexte :
Soucieux d’améliorer son offre aux associations, les responsables M2L décident de faire évoluer le service d’accès vers l’Internet en améliorantla qualité et la sécurité du traficentre le réseau interne et Internet ceci pour l’ensemble des utilisateurs de M2L.
Le projet s’étend aussi à la mise à disposition du public Internet de services d’accès aux sites WEB des ligues et de téléchargement de documents ou de brochures diverses. Ces serveurs sont accessibles à travers d’une zone commune sécurisée DMZ. Un serveur installé dans la DMZ hébergera ces services.
Un Pare Feu sera configuré sur les interfaces permettant l’accès à Internet et à la DMZ pour règlementer et filtrer les communications.
DMZ, zone démilitarisé :
La zone démilitarisée (delimitarized zone) est une troisième interface sur un Firewall (sous réseau séparé du réseau local) possédant des machines qui sont susceptible d’être accéder par internet, si la DMZ est piraté, le réseau local ne sera pas compromis.
L’espace DMZ est gérer par un pare feu au travers de règles de filtrage. Les ressources accessibles depuis l’internet sont dissociées des ressources accessibles à l’intérieur du réseau. Ces ressources peuvent être :
- Serveur WEB ou FTP
- Un intranet pour les employés
- Serveur mail
- Toute autre ressource permettant à la société de dialoguer avec internet.
90
PPE 3.1
Firewall, règle de filtrage :
Un pare-feu (coupe-feu ou firewall) est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu permet de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :
- une interface pour le réseau à protéger (réseau interne) ;
- une interface pour le réseau externe.
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
- D'autoriser la connexion (allow) ;
- De bloquer la connexion (deny) ;
- De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :
- D'autoriser uniquement les communications ayant été explicitement autorisées :
- D'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.
Table de filtrages :
- Les sous réseaux des ligues et M2L ont accès à l’Internet mais il n’est pas possible pour le public Internet d’accéder à un des équipements du réseau interne.
- Les serveurs de téléchargement (FTP) et WEB Extranet (HTTP) de la DMZ sont accessibles à la fois par les sous réseaux des ligues et par le public Internet.
- Les sous réseaux de l’association M2L ne doivent pas accéder au serveur de téléchargement FTP de la DMZ sauf le sous réseau Informatique.
- Seuls les 7 postes du sous réseau Informatique M2L possédant les 7 adresses les plus hautes (dont les 2 postes de l’administrateur réseau) peuvent effectuer les commandes de test ping et tracert vers tous les éléments du réseau des ligues et vers l’Internet.
- Seul le serveur WEB de la DMZ peut effectuer des requêtes vers le serveur de base dedonnées (sur le port 5430) situé dans le sous réseau informatique à l’adresse 172.16.2.57.
91
PPE 3.1
Commandes sur le routeur M2L :
On crée d’abord les règles de filtrage :
conf taccess-list 101 permit tcp any 172.16.0.0 0.0.0.255 establishedaccess-list 101 permit tcp any 192.168.0.12 0.0.0.15 eq 20access-list 101 permit tcp any 192.168.0.12 0.0.0.15 eq 80access-list 101 icmp permit any 172.16.2.48 0.0.0.7 echo-reply access-list 102 permit tcp host 192.168.0.12 172.16.2.57 eq 5430
On attribue les règles de filtrage au port concerné :
int fa1/0ip access-group 101 inexint fa1/1ip access-group 102 inex
Dans le cadre de la M2L, la mission consiste en la mise à disposition du public d’Internet, de services d’accès aux sites WEB des ligues, téléchargements de documents ou brochures diverses, la configuration du firewall.
92
PPE 3.1
- Mission 2 : Service d’administration à distance sécurisée :
Contexte :
Pour pallier à certaines failles de sécurité relative à l’administration à distance des équipements constituant le réseau, l’administrateur a décidé de refondre son outil d’administration à distance en utilisant un protocole sécurisé empêchant ainsi de possibles prises de contrôle sur les équipements par des utilisateurs non autorisés. L’administrateur décide d’utiliser l’application SSH pour administrer son réseau.
L’administrateur décide de mettre en place un outil d’administration à distance avec un protocole sécurisé et une prise en main d’équipement dont les utilisateurs ne sont pas autorisés. Pour cela l’utilisateur utilisera l’application SSH. Internet est un environnement hostile, et la sécurité est l'affaire de tous. Si vous vous connectez à une machine via Internet.
SSH et Telnet :
SSH fait appel à la cryptographie forte pour protéger votre connexion contre les écoutes, les détournements et autres attaques. Telnet est un protocole plus ancien, qui n'offre qu'une sécurité minimale.
SSH vous permet de vous connecter au serveur et de passer une commande dans la foulée, de façon à ce que le serveur exécute la commande et ferme la connexion tout seul, ce qui permet d'utiliser SSH pour des traitements automatisés, sans intervention humaine ce qui facilite le travail de l’administrateur.
Si la machine cliente et le serveur sont tous deux sur le même réseau, et si ce réseau est protégé par un (bon) pare-feu, il y a moins de danger à utiliser Telnet.
Secure Shell :
SSH est un protocole de communication sécurisé, qui permet grâce à un programme informatique pour se connecter à distance, communiquer, en toute sécurité grâce à la cryptographie. Cette fonction peut être utile en cas de problème sur une machine d’un parc informatique qui nécessite une intervention, cela facilite la tâche de l’administrateur.
En SSH, les données sont sécurisées par des algorithmes de cryptage symétrique et asymétrique :
- Le cryptage asymétrique : Le cryptage asymétrique, utilise une clé dite « publique » qui sert à crypter, une clé dite « privée » qui sert à décrypter. Avec ce type d'algorithme, on ne peut décrypter un message que si l'on connaît la clé privée.
- Le cryptage symétrique : Avec cette méthode, on utilise une clé (un mot de passe secret) pour crypter un message la même est utiliser pour décrypter le message. Il faut donc que la personne qui crypte et celle qui décrypte connaissent toutes deux cette clé qui sert à crypter et décrypter.
93
PPE 3.1
Tout d’abord en utilisant le cryptage asymétrique pour échanger discrètement une clé de cryptage symétrique. Ensuite le cryptage symétrique crypte les échanges. Le symétrique est utilisé pour communiquer car il utilise moins de ressource, asymétrique juste pour l’échange de la clef privé du cryptage symétrique. En pratique il vous suffira d’entré un login et un mot de passe pour se connecter à distance.
Annexe 2 : SSH avec putty :
Spécifier la version du protocole SSH: Les options -1 et -2 forcent PuTTY à utiliser la version 1 ou la version 2 du protocole SSH.
Choisir un numéro de port local, sur votre machine à vous, sur lequel PuTTY doit se mettre à l'écoute des connexions entrantes. Il y a probablement plein de numéros de port disponibles au-delà de 3000.
Avant de vous connecter en SSH à la machine distante, allez dans le panneau Tunnels.
Tapez le nom d'hôte et le numéro de port à utiliser sur la machine distante dans la case Destination, en les séparant par un deux-points (exemple : popserver.exemple.com:110 pour vous connecter à un serveur POP-3).
Spécifier une clé privé SSH: l'option -i vous permet d'indiquer le nom d'un fichier de clé privée au format *.PPK, que PuTTY utilisera pour l'authentification auprès du serveur.
94
PPE 3.1
Nombre de tentative en cas d’échec :
PuTTYgen est un générateur de clés. Il génère des paires de clés publiques et privées. Lorsque vous lancez PuTTYgen, vous obtenez une fenêtre où vous avez le choix entre 'Generate'.
95
PPE 3.1
Choix de la taille et donc de la solidité de la clé: La clé RSA est générée en cherchant deux nombres premiers qui font chacun la moitié de la longueur demandée, et en les multipliant l'un avec l'autre. Si vous demandez à PuTTYgen une clé RSA de 1024 bits, il va prendre deux nombres premiers de 512 bits chacun et les multiplier ensemble. Le résultat de cette multiplication peut faire 1024 bits de long, mais il peut aussi n'en faire que 1023. Il se peut donc que vous n'obteniez pas exactement la longueur de clé que vous avez demandée.
Délai renouvellement des clés :
Manuel utilisateur de Putty : http://marc.terrier.free.fr/docputty/index.html
96
PPE 3.1
- Mission 3 : Service de haute disponibilité :
Contexte :
L’association, par l’intermédiaire de son service technique, se doit d’assurer une bonne qualité de service sur son réseau vis-à-vis des utilisateurs. L’administrateur demande à son service technique de déployer les solutions permettant de sécuriser l’écoulement du trafic même en cas de panne d’une liaison dans la chaîne de communication.
Cette exigence sera réalisée par l’implantation de matériels et de liens redondants sur les nœuds stratégiques du réseau afin de pallier aux défaillances possibles de ces éléments.
Il vous est demandé de préparer l’installation et la configuration des éléments sur les nœuds suivants :- Le réseau de commutation des ligues comprendra les commutateurs d’accès et le commutateur de distribution qui sera relié en boucle permettant ainsi l’introduction de chemins de secours .Les liaisons entre les commutateurs d’accès et le commutateur de distribution seront réalisées en double attachement par agrégation de liens pour pallier aux possibles ruptures de liaisons.- L’accès Internet à haute disponibilité grâce à la redondance du routeur d’accès FAI. Deux abonnements Internet seront loués au FAI. Un abonnement qui portera tout le trafic en fonctionnement normal, le deuxième assurera la continuité Internet en cas de panne du premier.- La redondance des services réseau DHCP et DNS
HSRP (Hot Standby Router Protocol): HSRP permet à un routeur de secours de prendre immédiatement le relais de façon
transparente dès qu’un problème physique apparaît sur le routeur principal.
- La continuité de service pour l’accès à Internet est réalisée à l’aide de 2 routeurs physiques vus comme un seul routeur virtuel par le routeur M2L, ces 2 routeurs se relaient en cas de panne. Cette fonction sera assurée par le protocole VRRP ou HSRP chez Cisco.
- Si le routeur, que nous appellerons primaire, devient indisponible le routeur secondaire prendra sa place automatiquement. Les paquets continueront de transiterde façon transparente car les 2 routeurs partagent une même adresse de passerelle IP et MAC virtuelle.
- Dans chaque sous-réseau où HSRP est actif, on définit un groupe de routeurs, c'est-à-dire un identifiant numérique. Le numéro du groupe varie de 0 à 255, il peut donc exister jusqu'à 256 groupes HSRP dans un même sous-réseau. Chaque groupe est associé à une adresse IP virtuelle distincte.
- Dans un groupe, un routeur actif sera élu : celui qui aura la priorité la plus élevée. Les autres routeurs sont en standby et écoutent les messages émis par le routeur actif. Périodiquement, les routeurs du groupe échangent des messages Hello pour s'assurerque les routeurs du groupe sont encore joignables.
97
PPE 3.1
o Fiches de test :
98
PPE 3.1
99
PPE 3.1
100
PPE 3.1
101
PPE 3.1
Partie 3 : Economie – Management
- Etude du financement du projet :
Contexte :
La mise en place du projet d’évolution du réseau nécessite la mobilisation de ressources humaines, technologiques et financières. Cette mission représente un investissement, qu’il faut pouvoir évaluer puis budgéter afin d’en définir les conditions de financement et d’amortissement. Ces informations sont importantes pour mesurer les paramètres de qualitéde service du projet (retard, dépassement de budget, échec).
Dans cette mission il vous est demandé d’étudier le financement et en particulier de présenter le plan de financement.
Etude de la M2L :
Statut juridique :
La Maison des Ligues est un établissement du Conseil Régional. Ce n’est pas une entité juridique en propre.
Financement de la M2L :
Elle est financée à 100 % (pour son fonctionnement et pour la construction récente de l’extension des bâtiments C et D) par le Conseil Régional et sans aucune participation du Conseil Général de Meurthe et Moselle, bien qu’elle abrite un certain nombre de comités départementaux. Une convention de cogestion a été passée entre le Conseil Régional et le Comité Régional Olympique et Sportif de Lorraine pour la gestion de l’outil « Maison des Ligues ». Le CROSL est une association financée par le ministère via le CNDS (Centre National de Développement du Sport).
En échange des services offerts par la M2L, les ligues sportives donnent une contrepartie financière.
Revenus :
- 6€ /m²/ligues/mois payé tous les trimestres.- Réservation de salle : 4 niveaux de tarifications.- Plan impact emploi associations.- Service d’établissement de bulletin de salaire.- Service d’impression / affranchissement.- Location de téléphonie IP
Dépenses :
- Achat de matériels (Ordinateurs, switches, serveurs, etc…)- Salaires- Impôts
102
PPE 3.1
Coûts du PPE 1.1 :
Imprimantes : 12 898 euros TTC Fournisseur Internet : 1079 euros/an TTC Switches : 14 908 euros TTC Câblage / Connectique : 10825 € TTC Serveurs : 2 000 € TTC Postes fixes : 27 000 € TTC Poste portables : 12 000 € TTC Ecrans : 5 000 € TTC Licences OS : 2 000 € TTC (Windows 7, Windows Server 2008 R2)
Coût total PPE 1.1 : 87 710 € TTC
Coûts du PPE 1.2 :
SAN / NAS : 18 000 € TTC Appliance : 15 000 € TTC
Coût total PPE 1.2 : 33 000 € TTC
Coûts du PPE 2.1 :
Salaires : 10 000 € /moiso Chef de projet (4 000 € /mois)o Techniciens : 1 expert réseaux ,1 expert système et 1 technicien polyvalent
(2 000 € /mois chacun)
Le personnel se répartira les tâches de façon à assurer l’installation, l’exploitation ainsi que lamaintenance du projet.
Matériel : 7 376 € TTC o Switches (x4) : 1 420 € chacun donc 5 680 €o Routeurs + cartes réseaux (x2 : M2L et Ligue) : 800 € chacun donc 1 600 €o Câblage : 8 sachets de 50 connecteurs RJ45 : 96 €
Coût total PPE 2.1 : 17 376 € TTC
Coûts du PPE 3.1 :
Salaires : 8 000 € /moiso Chef de projet (4 000 € /mois)o Techniciens : 1 expert réseaux ,1 expert système (2 000 € /mois chacun)
Matériel : Serveur 2000 € TTC Licences OS : Windows Server 2008 R2 environ 250 € TTC
Coût total PPE 3.1 : 10 250€ TTC COUT TOTAL DU PROJET : environ 148 336 € TTC
Durée : Projet effectué sur 2 ans
Partie 4 : Droit
103
PPE 3.1
- Mission 1 : Présenter un dossier actualisé concernant la qualification juridique de la M2L, l’étendue de sa responsabilité juridique vis-à-vis de ses clients, les ligues, ainsi que les moyens de prévention des risques et de protection devant être mis en place chez M2L, chez ses clients et ses fournisseurs.
- Mission 2 : Le responsable juridique vous demande également un dossieractualisé sur les risques auxquelles sont exposées les données des clientsque M2L héberge et les moyens juridiques de protection de ces données.
Préalablement à la conclusion du présent Contrat, le Client M2L a pu vérifier que les services fournis par Bwah Corporation soient respectés dans le cadre de ce contrat, et lors de la signature il s’engagera en toute connaissance de cause.
I – PARTIES
Entre la société Bwah Corporation, une SAS (prestataire)
Et,
La M2L (maison des ligues) 13 rue Jean Moulin - BP 70001 54510 TOMBLAINE
II – OBJET DU CONTRAT
M2L (Maison des ligues) souhaite qu'une entreprise prestataire s'occupe de l'ensemble des services informatiques proposés. C'est pour cela qu'elle a contacté l'entreprise Bwah Corporation afin qu'il accomplisse la mission qui est décrit dans l'article.
III - DOMAINES D’INTERVENTION
3-1 Contexte
Il est entendu entre les parties que Bwah Corporation prend en charge certaines tâches qui sont, de l’accord des parties, classées par partie.
3-2 Partie
A/ Réseau informatique
- Suivi et assistance du fonctionnement du réseau interne à l’entreprise Ethernet et/ou Wifi.
- Etablissement de la topographie du réseau
- Assistance auprès des fournisseurs et/ou installateurs
B/ PARC INFORMATIQUE
- Suivi et assistance du bon fonctionnement du parc informatique
- Reporting de l’état des postes (hardware et software)
- Assistance auprès des fournisseurs et/ou installateurs
C/ ADMINISTRATION PC – SERVEURS - TABLETTES
104
PPE 3.1
- Plates-formes supportées Windows XP/Vista/Seven, Linux, Android
- Paramétrage des postes, Tablettes, ou des serveurs
- Gestion des mises à jour des logiciels
- Mise en place des stratégies de sécurité
- Préconisations
- Assistance auprès des fournisseurs et/ou installateurs
En tout état de cause, le prestataire n’interviendra en aucune manière sur les versions de système non supporté par l’éditeur. Il en est de même pour toute licence qui serait découverte comme n’étant pas une licence originale valide.
D/ ELEMENTS EXTERIEURS DE SECURITE : ANTIVIRUS, FIREWALL…
- Audit de l’existant
- Paramétrage
- Mises à jour
- Préconisations
- Assistance auprès des fournisseurs et/ou installateurs
E/ HOTLINE BUREAUTIQUE
- Conseil et accompagnement sur les outils de bureautique standard, Microsoft office.
L’accompagnement des utilisateurs ne sera toutefois possible qu’une fois leur niveau validé et les éventuelles formations préconisées par le PRESTATAIRE effectuées.
F/ INTERNET
- Paramétrage des postes
- Mises à jour
- Conseil et accompagnement aux utilisateurs
- Mise en place des procédures de sécurité et/ou de filtrage si le CLIENT détient les équipements
- Préconisations
- Assistance auprès des fournisseurs et/ou installateurs
G/ VEILLE TECHNOLOGIQUE
105
PPE 3.1
Le PRESTATAIRE s’engage, dans le cadre de l’allocation temps, affectée au présent contrat, à effectuer pour son CLIENT, les recherches sur les thèmes affectés par celui-ci.
3-3 Organisation générale
Le CLIENT autorisera le PRESTATAIRE à installer sur ses équipements les outils que celui-ci juge nécessaire à l’accomplissement de sa mission.
Le CLIENT autorisera le PRESTATAIRE à faire intervenir des sous-traitants spécialisés lorsque cela s’avèrera nécessaire.
Dans le cas où ces interventions donneraient lieu à facturation, un devis préalable sera proposé à M2L pour acceptation.
Le prestataire qui verrait des préconisations vitales non suivies d’effet verrait sa responsabilité entièrement dégagée.
3-5 Reporting
Le Prestataire assurera régulièrement l’information générale du Client sur les points suivants :
- Les dysfonctionnements constatés tant au niveau des matériels que des logiciels
- Les contrats pris avec les Fournisseurs et les Prestataires tiers (développeurs, etc…)
- Les revendications ou demandes particulières formulées par le personnel du Client directement au
Prestataire
- Les nécessités d’évolution des systèmes et/ou des solutions mis en place
Le Prestataire rendra compte en outre au Client du déroulement et de l’évolution de sa mission.
Un compte rendu sera réalisé au moins une fois par trimestre sur support défini en accord avec le
M2L et Bwah Corporation
Le Prestataire s’oblige en outre à répondre par écrit ou oralement pendant la durée du présent contrat, à toute question du Client relative à l’objet dudit contrat.
Le prestataire peut en lieu et place d’un reporting inapproprié proposer la mise en place de cahier de correspondance. Il ne sera apporté aucune modification à la mission du Conseil sans l’accord écrit des deux parties, passé au moyen d’un avenant indiquant les incidences éventuelles notamment sur la rémunération ou le délai convenu.
IV - OBLIGATIONS DU PRESTATAIRE
106
PPE 3.1
4-1 Exécution de la mission
D’un commun accord entre les parties, le temps consacré par le PRESTATAIRE à la mission est fixé aux Conditions Particulières annexées au présent contrat.
Toute latitude est laissée au PRESTATAIRE pour exécuter sa mission (télémaintenance…), celui-ci s’engage toutefois à se rendre dans les locaux du CLIENT une fois par trimestre.
Le PRESTATAIRE Bwah Corporation désignera chez la M2L un représentant chargé de superviser l’exécution des missions. Il veillera pendant toute la durée du contrat, à ce que son personnel ne perturbe ni ne nuise à la bonne marche des services.
4-2 Propriété des résultats
Tous documents, rapport et cahier des charges remis au M2L deviendront la propriété exclusive de ce dernier, sans que Bwah Corporation puisse les divulguer ou les utiliser au profit de tous tiers aux présentes.
Il ne pourra faire état, communiquer ou publier tout ou partie des conclusions ou solutions qui en sont tirées sans l’accord exprès et préalable de M2L.
4-3 Confidentialité
Le PRESTATAIRE s’engage, tant pendant la durée du présent contrat qu’après la résiliation ou l’extinction de celui-ci pour quelque cause que ce soit, à garder confidentiel tous renseignements techniques, commerciaux, financiers ou autres se rapportant à l’activité du CLIENT.
Le Prestataire s’engage à faire en sorte que cette obligation soit respectée en toutes circonstances par ses employés.
Le PRESTATAIRE est autorisé à mentionner le nom "M2L" dans ses références commerciales.
4-4 Responsabilité – Assurances-Litige
Le PRESTATAIRE s’engage à apporter à sa mission toute la diligence nécessaire et en se conformant aux usages de la profession.
Il sera tenu responsable des fautes que lui, ou ses préposés auront commis dans l’exécution de ses prestations de conseil et d’assistance.
Il ne pourra être tenu responsable des dommages indirects subis par M2L, tels que manque àgagner ou perte trouvant leur origine dans l’exécution du présent contrat.
En toute hypothèse, la réparation par le PRESTATAIRE du préjudice subi par le CLIENT ne pourra excéder le montant de la rémunération du présent contrat.
Le Prestataire souscrira toute police d’assurances de responsabilité professionnelle et s’assurera que ses sous-traitants bénéficient d'une assurance adapté.
En cas de litige entre le PRESTATAIRE et M2L, le PRESTATAIRE s'engage à faire appel à un médiateur afin de régler le litige.
107
PPE 3.1
V - OBLIGATIONS DU CLIENT
5-1 Information – Collaboration
M2L communiquera au PRESTATAIRE toutes informations ou documents de toute nature nécessaires à l’exécution de ses prestations.
Il permettra aux préposés du PRESTATAIRE de se rendre dans ses locaux afin qu’ils puissent observer les conditions d’exercice de leurs activités, recueillir les informations utiles et consulter les documents nécessaires.
Il est de la responsabilité du CLIENT de fournir au PRESTATAIRE les logiciels dont les droits d’utilisation ont été acquittés. Le CLIENT renonce donc à tous recours contre le PRESTATAIRE dans le cadre d’une action en revendication des droits sur la propriété intellectuelle.
5-2 Propriété des résultats
M2L sera propriétaire exclusif de tous documents, rapport et cahier des charges remis pas le
PRESTATAIRE.
Il ne pourra toutefois faire état, communiquer, publier ou céder tout ou partie des conclusions ou solutions qui en sont tirées sans l’accord exprès et préalable du PRESTATAIRE.
5-3 Confidentialité
M2L s’engage, pendant la durée du présent contrat qu’après la résiliation ou l’extinction de celui-ci pour quelques cause que ce soit, à garder confidentiel tous renseignements se rapportant aux techniques, méthodes ou au savoir-faire du PRESTATAIRE.
Il s’engage à faire en sorte que cette obligation soit respectée en toutes circonstances par les ligues.
5-4 Assurances
L'entreprise Bwah Corporation s’engage à souscrire pendant toute la durée du contrat une assurance garantissant les responsabilités civiles aux salariés Bwah Corporation qui propose leurs services au sein de M2L.
5-5 Non sollicitation de personnel
Le CLIENT s’interdit d’engager directement ou indirectement tout membre du personnel du
PRESTATAIRE pendant la durée du contrat et pendant une période de deux ans à compter de son extinction.
VI – REMUNERATION
6-1 Rémunération
108
PPE 3.1
En contrepartie de l’exécution des prestations décrites dans le contrat, M2L s’oblige à verser à
Bwah Corporation une rémunération dont les conditions de paiement sont fixées au préalable avec Bwah Corporation.
Les prestataires présent au sein de M2L est rémunérer par Bwah Corporation.
6-2 Modalités de règlement
Les modalités de règlement sont fixées aux Conditions Particulières annexées au présent contrat.
Le contrat se paie par avance chaque mois par prélèvement automatique mensuel
VII – DUREE
Le présent contrat est consenti et accepté pour une durée initiale de un an allant du jour de la signature au 31 décembre de l’année civile en cours lors de la signature.
A l’expiration de cette période, le contrat se poursuit par tacite reconduction par période de un an, à défaut de volonté contraire manifestée par l’une ou l’autre partie selon les modalitésqui suivent.
Le présent contrat prend effet à compter de sa signature par les deux parties.
VIII – RESILIATION
L’échéance du contrat étant fixé au 31 décembre de chaque année, le présent contrat peut serésilier par les parties moyennant une demande par courrier recommandé avec avis de réception ou exploit d’huissier adressé TROIS MOIS avant la date d’échéance du contrat.
La résiliation peut être obtenue en cas d’inexécution d’une des parties, de ses obligations. Dans ce cas la résiliation du contrat serait encourue de plein droit, TRENTE jours après une mise en demeure restée sans effet.
XI - ELECTION DE DOMICILE
Pour l’exécution du présent contrat et de ses suites, les parties élisent domicile à leur siège social.
Fait à Paris, le 23/11/2014
En deux exemplaires :
POUR M2L, POUR Bwah Corporation
109