projet drive - lerouxlaetitia.files.wordpress.com · franchise s’adresse à des chefs...
TRANSCRIPT
PROJET DRIVE COMPTE - RENDU
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT LPDC.NET Lycée Lamartine
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 1 sur 32
TABLE DES MATIERES 1 Présentation du projet .................................................................................................................................................................... 2
2 Phase 01 : Plateforme d’hébergement web - Dmz ................................................................................................................ 4
3 Création, installations et Configuration des machines .......................................................................................................... 7
4 Configuration des services ............................................................................................................................................................ 9
5 Tests de la plateforme .................................................................................................................................................................... 0
6 Hébergement en conditions réelle .............................................................................................................................................. 1
7 Conclusion ....................................................................................................................................................................................... 17
8 Annexe .............................................................................................................................................................................................. 18
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 2 sur 32
1 PRESENTATION DU PROJET
OBJECTIFS
- Monter une plateforme de Drive, pour le groupe U. Le groupe SISR s’occupe de la partie infrastructure
réseau tandis que le groupe SLAM développera les applications.
SITUATION
- Le groupe U est une enseigne européenne du secteur de la grande distribution à prédominance
alimentaire. Le groupe est parmi les leaders de la grande distribution en France. Son siège social est
situé en région parisienne.
- Ce groupe développe un réseau de magasins franchisés. La franchise Super U a été créée en 1995.
Aujourd'hui incontournable sur le secteur de la distribution française, le groupe cherche à compléter le
maillage du territoire hexagonal par l'intégration de nouveaux commerçants au sein de son réseau. La
franchise s’adresse à des chefs d’entreprise indépendants qui souhaiteraient s’engager dans
l’ouverture d’un nouveau magasin de l’enseigne Super U. Les gérants de magasin de l’enseigne
peuvent intégrer un centre de formation propre à l'enseigne et profiter d'un soutien et d'un
accompagnement ainsi que d'appuis financiers pour la création et la gestion de leur magasin.
- L’actuel projet en cours de développement concerne la mise en place du service Drive au sein de
chaque magasin. Le service Drive est un service gratuit qui permet aux clients de faire leurs courses en
ligne sur Internet tout en profitant des mêmes prix qu'en magasin. Le retrait des achats peut se faire
dès le lendemain de la commande auprès du magasin de rattachement du client. La société de
services en informatique à laquelle vous appartenez a été retenue en tant que prestataire de services
pour :
o Implanter l’infrastructure informatique (réseaux / serveurs / sécurisation) SISR
o Développer les applications métier relatifs au service Drive de l’enseigne Super U SLAM
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 3 sur 32
FONCTIONNEMENT DE L’INFRASTRUCTURE
- L'infrastructure informatique est décomposée comme suit :
o Au siège social est implanté le cœur de réseau de tout le groupe U. Il héberge les serveurs
centraux (authentification, stockage, gestion du réseau, supervision, ...), le stockage de toutes les
données du groupe (fichiers de tous les magasins, fichiers utilisateurs, etc.), les diverses bases de
données de type SQL Server (bases des produits, des magasins, des commandes drive, etc.) -
chaque magasin est équipé d'un réseau local permettant la connexion des différents éléments
informatiques d'un magasin (ordinateurs clients, caisses enregistreuses, imprimantes, tablettes
tactiles).
o C'est à partir de ce réseau que chaque magasin pourra constituer les préparations des
commandes de type drive. Les tablettes tactiles sont connectées en Wifi. - pour accéder à leurs
données, chaque magasin se connecte au siège central à travers une liaison distante spécifique et
sécurisée (de type liaison louée avec VPN). C'est par ce biais que les commandes drive sont
gérées par chaque magasin. - les internautes passent leur commande via un accès internet
normal. - tous les accès extérieurs au siège social doivent impérativement passer par une zone de
sécurité qui est là pour protéger les serveurs centraux et les données du groupe U. Cette zone
sert de lien entre les internautes et les serveurs centraux, par l'intermédiaire d'un site HTTP/PHP.
GROUPE DE REALISATION
- Le projet sera mené par un groupe de quatre étudiants en BTS SIO, à savoir :
o Yilmaz Cuhadar, Guillaume Di Martino, Laëtitia Leroux et Olivier Petit.
AXES REFLEXIONS SUR LE PROJET
- Un système d'hébergement web PHP
- Un système de gestion de bases de données SQL
- Un système d'interconnexion avec l'internet
- Une gestion des connexions extérieures sécurisées à minima :
o Administration distante SSH ou RDP
o Administration SQL distante (SQL direct)
o Connexions http
o Connexions FTP
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 4 sur 32
2 PHASE 01 : PLATEFORME D’HEBERGEMENT WEB – DMZ (INFRASTRUCTURE MINIMALE)
COMPOSITION DE LA PLATEFORME
- Cette plateforme d’hébergement sera composée d’ :
o Un système serveur sous Microsoft Server 2008R2 avec application SGBD SQL Server 2012
Création de l'espace de stockage pour la base de données du projet Drive U avec
plusieurs bases (une pour chaque groupe de développement)
o Un système serveur d'hébergement web sous Linux Ubuntu avec applications Apache 2 et
Proftpd
Création de l'espace de publication du site web Drive U PS avec plusieurs espaces (un
pour chaque groupe de développement)
o Un système d'accès extérieur de type routeur/pare-feu Linux Ubuntu pour la redirection des
accès extérieurs (SSH, RDP, SQL, HTTP, FTP notamment) et la sécurisation des réponses
o Un système de communication Middleware de type ODBC afin d’assurer la communication
entre le système d'hébergement web Apache et le système de gestion de bases de données
SQL Server.
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 5 sur 32
SCHEMAS DE LA PHASE 01
- Ce schéma a été créé sous Microsoft Visio 2013
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 6 sur 32
CONFIGURATION DES ADRESSES IP DE LA PHASE01
- Voici la configuration IP de chaque machine présentes sur la plateforme.
2.3.1 RESEAU DU LYCEE – 171.19.100.0 /24
Machine Adresse IP Nom sur le réseau Services
Serveur DNS 172.19.100.210 Lamsio.loc DNS
Client SLAM 172.19.100. ??? . . . . . .
2.3.2 RESEAU SERVICES HEBERGEUR – 192.168.100.0 /24
Machine Adresse IP Nom sur le réseau Services
Routeur hébergeur 172.19.100.193
192.168.100.254 Rtr01
Pare-feu/NAT
iptables
Serveur Web/FTP 192.168.100.10 Srvweb01 HTTP/HTTPS/PHP/FTP
Apache + Proftpd
Serveur SQL 192.168.100.20 Srvsql01 SQL server 2012R2
Machine test 192.168.100.10 Testmachine01 Client FTP + accès SQL
ORGANISATION DU GROUPE DE TRAVAIL
- Pour réaliser au mieux ce projet, les différentes tâches sont réparties équitablement entre les quatre
personnes du groupe.
- Un planning prévisionnel est établi afin de respecter le cahier des charges du projet. (cf Annexe)
- Les différentes tâches seront réalisées au lycée, ainsi qu’au domicile des membres du groupe si besoin.
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 7 sur 32
CREATION, INSTALLATIONS ET CONFIGURATION DES MACHINES
2.5.1 BASE
- Afin d’optimiser la création et l’homogénéité de nos machines Linux, nous créons une première
machine virtuelle qui servira de base pour chacune des autres.
- Celle-ci est créée avec VMware Player et tourne sous Ubuntu 14.04LTS server.
- La configuration est volontairement légère : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur.
- On implémente d’origine la coloration du #, le verrouillage du pavé numérique dans le fichier rc.local
pour plus de praticité et l’on effectue la mise à jour de la base de données de téléchargement.
apt-get update
2.5.2 WEB
- Réglages des paramètres physiques
o Les mêmes que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur
- Réglages carte réseaux
o Adresse IP, masque et passerelle
# Etho
iface eth0 inet static
address 192.168.100.10
netmask 255.255.255.0
gateway 192.168.100.254
- La création de Srvweb01 (web + ftp) consiste à installer le paquet Apache2 sur la machine.
apt-get install apache2
- Puis à installer le paquet proftpd.
apt-get install proftpd
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 8 sur 32
2.5.3 SQL
- Réglages des paramètres physiques
o : 1 processeur 2 cœur, 2048Mo RAM et 40Go de disque dur
La configuration est plus lourde car MS2008R2 réclame (beaucoup) plus de
ressources qu’un serveur Linux
- Réglages carte réseaux : adresse IP, masque et passerelle
o @IP 192.168.100.20, Masque 255.255.255.0 et @pass 192.168.100.254
ROUTEUR
- Réglages des paramètres physiques
o La même que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur
- Mise en place des deux cartes réseaux
- Réglages carte réseaux : adresse IP, masque et passerelle
# Eth0 WAN
iface eth0 inet dhcp
# Eth1 LAN
iface eth0 inet static
address 192.168.100.254
netmask 255.255.255.0
gateway 192.168.100.254
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 9 sur 32
CONFIGURATION DES SERVICES
2.7.1 PROFTPD
- Paramétrage de base du fichier de configuration proftpd
vim etc/proftpd/proftpd.conf
- Voici quelques options utiles dans notre cas, le reste du fichier demeurant inchangé :
o Le nom su serveur ftp
ServerName « srvweb01 »
- Cette ligne est très importante puisqu’elle cantonne les utilisateurs ftp dans leur dossier
respectif. Ceux-ci ne peuvent alors pas remonter dans l’arborescence
# Use this to jail all users in their homes
DefaultRoot ~
- Ici l’adresse du serveur ftp
MasqueradeAddress 192.168.100.10
- On impose les autorisations à appliquer aux fichiers transféré. En l’occurrence, les utilisateurs
non autorisés ne pourront modifier les fichiers.
Umask 002 002
- La mise en place de ces paramètres s’effectue après un redémarrage du service serveur ftp.
/etc/init.d/proftpd restart
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 10 sur 32
2.7.2 GESTION UTILISATEUR
- Création de l’utilisateur slam1 et de son dossier personnel sur srvweb01.
root@srvweb01 :~# useradd –m –d /home/slam1 –s /bin/false slam1
- Attributions de son mot de passe, « slam1 »
root@srvweb01 :~# passwd slam1
Enter new Unix password :
Retype new Unix password :
Passwd : password updated successfully
2.7.3 ALIAS
- Fichier de configuration des alias de slam1 sur srvweb01
root@srvweb01:~# vim /etc/apache2/sites-available/siteslam1.conf
…
Alias /slam1 /home/slam1
<DIRECTORY /home/slam1>
Options FollowsymLinks Multiviews
AllowOverride All
Require all granted
</DIRECTORY>
- La création d’autres alias s’effectue simplement en copiant ce fichier et en modifiant les
paramètres
root@srvweb01:~# cp /etc/apache2/sites-available/siteslam1.conf etc/apache2/si tes-available/siteslam1.conf
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 11 sur 32
- La commande a2ensite [alias] est utilisée pour que l’alias soit pris en compte par le serveur
web.
root@srvweb01:~# a2ensite /etc/apache2/sites-available/siteslam1.conf
Enabling site slam1 .
To activate the new configuration, you need to run :
Service apache2 reload
- Le redémarrage du service apache2 est nécessaire pour que cette dernière modification soit
prise en compte.
root@srvweb01:~# service apache2 reload
*Reloading web server apache2
*
2.7.4 SQL SERVER
2.7.4.1 Installation
- L’installation et la gestion se fait comme sur tout produit Microsoft, c’est-à-dire par formulaires
et menus contextuels
- L’installation ne sera donc pas détaillée car standard et habituelle
2.7.4.2 Création utilisateur/bdd
- L’ordre d’installation est bien précis, et doit être respecté
- Ainsi, un clic droit sur « base de données » affiche le menu contextuel, on choisit « nouvelle
bdd »
- Une bdd est ainsi créée avec comme propriétaire, nous-même ; mais cette base doit être
reliée à nos clients. C’est leur base
- On créé donc la connexion entre eux deux
- On choisit « nouvelle connexion » dans le menu contextuel de /sécurité/connexions
o Paramètre à imposer
Authentification SQL Server
Reste par défaut
- Ensuite, la relation est à effectuer au niveau des propriétés de la bdd précédemment créée
- On impose alors ici la nouvelle connexion en tant que propriétaire
- Et enfin on vérifie les bonnes relations et connections avec la base
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 12 sur 32
2.7.4.3 Gestion des droits et autorisations
2.7.4.4 Gestion des accès
2.7.5 ROUTAGE ET SECURITE
2.7.5.1 Nat
- Il faut mettre en place le masquage d’adresse sur l’interface eth0 car cela permet aux clients de ne
connaitre que l’adresse du routeur en sortie
- Afin que chaque requête soit redirigée vers le bon serveur nous devons mettre en place la
redirection d’adresse
o C’est-à-dire que toute requêtes utilisant le port :
80 sera rediriger vers srvweb01
443 sera rediriger vers srvweb01
20 et 21 sera rediriger vers srvweb01
2.7.5.2 Pare-feu
- Il faut avoir deux types de pare-feu afin d’effectuer des tests
o Un pare-feu ouvert et un pare-feu fermé
- Rappel : le pare feu ouvert n’aura pas de restrictions, donc aucune sécurité, mais est utile pour faire des
tests
- Le pare-feu utilisé pour la suite du projet sera bien sûr le fermé
- Ici, on gère le pare-feu par iptable
- On distingue trois « chemins » pour faire transiter les données :
o En entrée sur le routeur (Input)
o En sortie par le routeur (Output)
o En passant par le routeur (Forward)
- Le pare-feu fermé
o Le pare-feu fermé c’est quoi ?
- Le pare feu fermé bloque tout et c’est à l’administrateur de choisir quoi laisser passer
- Dans le cadre de notre projet nous devons laisser passer les messages :
o HTTP (port 80)
o HTTPS (port 443)
o NTP (port 123)
o DNS (port 53)
o SQL
o FTP (port 20 et 21)
o TRAFFIC LOCAL
o SMTP
o SSH (port 22)
o Retour de connexion
TESTS DE LA PLATEFORME
2.8.1 PROCEDURE DE TEST
- Pour les nombreux tests, nous avons testé la plateforme de long en large pendant plusieurs heures.
Depuis l’intérieur, puis depuis l’extérieur, tous les services ont été testés.
Les résultats sont positifs dans l’ensemble et peu de problèmes se sont présentés.
2.8.1.1 Résultats et problèmes rencontrés
CES QUELQUES PROBLEMES ONT ETE ASSEZ HANDICAPANTS ET C’EST A FORCE DE PERSEVERANCE QUE CEUX-CI ONT ETE
ERADIQUES
2.8.1.1.1 Les droits
- Problème de droit avec le serveur ftp
2.8.1.1.2 Le pare-feu
- En effet, quelques menus réglages ont été nécessaires pour valider complètement la plateforme
2.8.1.1.3 Sql Server
- La création et la connexion entre utilisateur et bdd est assez complexe et très ordonnée. Aucune erreur
n’est permise lors de l’exécution
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 1 sur 32
HEBERGEMENT EN CONDITIONS REELLE
2.9.1 REDACTION D'UNE FICHE DE PROCEDURE / MODE D'EMPLOI
- Ce mode d’emploi est à destination des futurs utilisateurs et contient toutes les informations nécessaires à
la bonne mise en œuvre de l’hébergement.
- En outre, il contient aussi les mots de passe spécifique à chaque client.
o Ce document est disponible en annexe.
2.9.2 ACCUEIL DES CLIENTS ET EXPLICATIONS
- Nous avons tenté d’être le plus professionnel possible dans notre approche du client en leur proposant
les services de bases attendus.
- Ainsi ils se sont vu remettre un mode d’emploi les aidant à mettre en ligne leur projet. Une assistance a
aussi été prévue, mais sur les trois tests effectués, aucune erreur n’est à déplorer.
3 PHASE 02 : DMZ ET SIEGE (INFRASTRUCTURE CENTRALE)
COMPOSITION DE LA PLATEFORME
- En plus de la DMZ, notre seconde plateforme d’hébergement (siège) sera composée de :
o Un système serveur sous Microsoft Server 2008R2 avec application Active Directory + DNS
(local)
Création de l’annuaire active directory avec utilisateurs
Mise en place d’un DNS local (groupeu.local)
o Un routeur situé entre le siège et la DMZ
o Un serveur Nagios chargé de superviser l’ensemble des matériels réseaux
o Un serveur proxy pour gérer les connexions à internet à partir du réseau interne sous squid
o Un serveur de messagerie
o Un accès VPN sous openvpn
- Un service DNS (groupeu.com) a été ajouté au serveur SQL de la DMZ permettant aux utilisateurs
extérieurs d’accéder par nom aux machines de la DMZ.
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 2 sur 32
SCHEMA DE LA PHASE 02
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 3 sur 32
CONFIGURATION DES ADRESSES IP DE LA PHASE01
- Voici la configuration IP de chaque machine présentes sur la plateforme.
3.3.1 RESEAU SERVICES HEBERGEUR – 192.168.100.0 /24 (DMZ)
Machine Adresse IP Nom sur le réseau Services
Routeur hébergeur 172.19.100.193
192.168.100.254 Routeur-ppe3
Pare-feu/NAT
iptables
Serveur Web/FTP + DNS 192.168.100.230 srvweb01
HTTP/HTTPS/PHP/FTP
Apache + Proftpd
DNS (groupeu.com)
Serveur SQL 192.168.100.240 Srvsql01 SQL server 2012R2
Machine test 192.168.100.10 Testmachine01 Client FTP + accès SQL
3.3.2 RESEAU SIEGE – 192.168.200.0 /24 (SIEGE)
Machine Adresse IP Nom sur le réseau Services
Routeur interne 192.168.200.254
192.168.100.253 Routeur-ppe3 Routage
Serveur Active directory
et DNS 192.168.200.10 Srvad01
Active directory (annuaire) et
DNS local (groupeu.local)
Serveur supervision
192.168.200.20 Srvnagios01 Nagios
Proxy 192.168.200.30 Srvproxy01 Kerberos + squid
CREATION, INSTALLATIONS ET CONFIGURATION DES MACHINES
3.4.1 ROUTEUR INTERNE
- Réglages des paramètres physiques
o La même que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur
- Mise en place des deux cartes réseaux
- Réglages carte réseaux : adresse IP, masque et passerelle
# Eth0 LAN (DMZ)
iface eth0 inet static
address 192.168.100.253
netmask 255.255.255.0
# Eth1 LAN (Siege)
iface eth1 inet static
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 4 sur 32
address 192.168.200.254
netmask 255.255.255.0
3.4.2 SRVAD
- Réglages des paramètres physiques
o : 1 processeur 2 cœur, 2048Mo RAM et 40Go de disque dur
La configuration est plus lourde car MS2008R2 réclame (beaucoup) plus de
ressources qu’un serveur Linux
- Réglages carte réseaux : adresse IP, masque et passerelle
o @IP 192.168.200.10, Masque 255.255.255.0 et @pass 192.168.200.254
3.4.3 SERVEUR DE SUPERVISION
3.4.3.1 Réglages des paramètres physiques
- Un processeur
- 512 Mo de RAM
- Un disque de 20 Go (dynamique avec fichiers séparés)
- Une carte réseau NAT pour l'accès extérieur
- Une carte réseau interne sur Vmnet3 pour le réseau interne virtuel
- Pas de carte son
- Pas d'imprimante
3.4.3.2 Installation de linux
- Installation Ubuntu 14.04
- Compte : srvnagios01
o Activez le compte root (mot de passe serveur).
- Paramétrez les cartes réseaux :
o eth0 (carte NAT) : client DHCP
o eth1 (carte sur Vmnet3) : statique en 192.168.200.20/24
- Mettez à jour les fichiers hosts et hostname pour le bon nom de machine (srvnagios01).
3.4.3.3 Installation de Nagios
- Mettez à jour la base de données des paquetages.
- Préparez l'installation de Nagios V3:
o Paquetage : nagios3
- Lancez l'installation de Nagios :
o Pour le mot de passe du compte nagiosadmin, fixez le mot de passe nagiosadmin.
o Pour la question concernant la gestion de la messagerie, nous n'en avons pas pour
l'instant, donc, installation sans système de messagerie.
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 5 sur 32
3.4.4 PREPARATION DE LA STATION WINDOWS 7 TEST
- Préparez une machine virtuelle pour la station Windows 7
o un processeur
o 512 Mo de RAM
o un disque de 20 Go (dynamique avec fichiers séparés)
o une carte réseau interne sur Vmnet3 pour le réseau interne virtuel
o pas de carte son
o pas d'imprimante
- Installez un système Windows 7
- Paramétrez la carte réseau :
o carte sur Vmnet3 : statique en 192.168.200.10/24
3.4.5 CONFIGURATION MACHINE PROXY
- Réglages des paramètres physiques
o Les mêmes que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur
- Réglages carte réseaux
o Adresse IP, masque et passerelle
# Etho
iface eth0 inet static
address 192.168.200.30
netmask 255.255.255.0
gateway 192.168.200.254
- La création de Srvproxy01 consiste en deux étapes, établir une connexion avec le serveur
hébergeant l’AD avec kerberos, puis configurer le service squid
- Pour faire ceci la démarche consiste au préalable à préparer la machine en installant plusieurs
paquets
3.4.5.1 Paquets pour Kerberos
3.4.5.1.1 *krb5-user : outils de connexion pour l'authentification Kerberos
apt-get install krb5-user
3.4.5.1.2 *libpam-krb5 : bibliothèques pour Kerberos
apt-get install libpam-krb5
3.4.5.1.3 *ntpdate : client de connexion NTP pour synchroniser les horloges
apt-get install ntpdate
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 6 sur 32
3.4.5.1.4 *winbind : outil client pour interroger une base de comptes Microsoft
apt-get install winbind
3.4.5.1.5 *samba : service serveur SMB/CIFS de fichiers/imprimantes/connexion pour UNIX
apt-get install samba
3.4.5.2 Paquets pour Squid
apt-get install squid
apt-get install proxy
CONFIGURATION DES SERVICES
3.5.1 SERVICE ACTIVE DIRECTORY
3.5.1.1 Active directory
Installation du service Active directory
Gestion des utilisateurs :
Administrateurs : AdministrateurNU
3.5.2 SERVICE DNS
3.5.2.1 DNS (groupeu.local)
3.5.2.2 DNS (groupeu.com)
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 7 sur 32
3.5.3 ACCES A L'INTERFACE WEB DE SUPERVISION
- Lancez le navigateur Web de la station sur l'URL :http://192.168.200.20/nagios3
3.5.4 SERVICE PROXY
3.5.4.1 Configuration de Kerberos
3.5.4.1.1 Synchroniser l'heure avec celle du serveur
Le protocole Kerberos nécessite une synchronisation temporelle entre la machine que l'on veut lier (notre Linux
dans ce cas) et la machine serveur (notre serveur AD dans notre cas).
- On synchronise l'heure avec :
ntpdate @IP_SrvAD
où @IP_SrvAD est l'adresse IP du serveur AD.
- On vérifie l’heure avec
date
==> Elle doit correspondre à celle du serveur AD.
3.5.4.1.2 Configurer Kerberos
Kerberos est un protocole d'authentification sécurisé par clé et par ticket utilisé par le système Windows Server.
Il est donc nécessaire de configurer Kerberos sur le système Linux que l'on veut lier à l'AD.
On modifie le fichier /etc/krb5.conf :
# Configuration utilisée par les librairies Kerberos
[libdefaults]
# Domaine AD par défaut (typé DNS en majuscules)
* default_realm = DOMAINEAD.LOCAL
# temps de validité d'un ticket (5 mn)
* clock_skew = 300
# Durée de vie d'un ticket
* ticket_lifetime = 24000
# Fonctionnement de la résolution DNS
* dns_lookup_realm = false
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 8 sur 32
* dns_lookup_kdc = true
# Définition des différents domaines Active Directory
[realms]
# Définition du domaine DOMAINEAD.LOCAL
DOMAINEAD.LOCAL = {
# Serveur Kerberos (en général le même que le serveur AD)
kdc = SRVAD.DOMAINEAD.LOCAL
# Serveur d'administration de l'AD
admin_server = SRVAD.DOMAINEAD.LOCAL
# Suffixe DNS a ajouter quand les appels se font sans suffixe
default_domain = DOMAINEAD.LOCAL
}
# Traduction entre domaines Microsoft (NETBIOS ou DNS) et domaines Kerberos
[domain_realm]
# On traduit tous les suffixes Microsoft ".domainead" en suffixes Kerberos "DOMAINEAD"
.domainead = DOMAINEAD
# On traduit tous les suffixes Microsoft "domainead" en suffixes Kerberos "DOMAINEAD"
domainead = DOMAINEAD
3.5.4.1.3 Remarques :
DOMAINEAD.LOCAL : nom du domaine DNS de l'AD en MAJUSCULES
SRVAD : nom d'hôte du serveur
domainead : nom du domaine Microsoft
DOMAINEAD : nom du domaine Kerberos
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 9 sur 32
3.5.4.2 Configuration de squid
La configuration s’effectue en modifiant le fichier vim /etc/suid3/squid.conf
Ce service a pour particularité de ne posséder qu’un seul fichier de configuration d’environ 1500 lignes !
Mais il a pour avantage de contenir en son sein toute l’aide nécessaire pour la configuration de squid.
3.5.4.2.1 Réglage de base :
# ligne 1460==>
http_port 3128
...
icp_port 3130
# ligne 4750
visible_hostname
default:srvproxy01
3.5.4.2.2 Authentification
- On cherche le paragraphe TAG: auth_param.
...
# Utilisation du programme ntlm_auth avec une version d'authentification2.5 NTLMSSP
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-tlmssp
auth_param ntlm children 5
# Utilisation du programme ntlm_auth avec une version d'authentification2.5 basique (plaintext)
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
# Texte envoyé au navigateur
auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 10 sur 32
3.5.4.2.3 Listes de contrôles d'accès
- On cherche le paragraphe INSERT YOUR OWN RULES HERE.
# Spécifie une ACL qui oblige à utiliser une authentification par ntlm
acl ntlm proxy_auth REQUIRED
# Spécifie une ACL qui désigne mes réseaux internes
acl dmz src 192.168.100.0/24
acl siege src 192.168.200.0/24
# Autorise mes réseaux internes à aller sur internet à condition qu'ils s'authentifient par AD
http_access allow dmz ntlm
http_access allow siege ntlm
# Interdit toutes les autres possibilités
http_access deny all
3.5.4.2.4 Autres paramètres de Squid
- On cherche le paragraphe TAG: append_domain.
append_domain .domainead.local
- On cherche le paragraphe TAG: forwarded_for.
forwarded_for off
3.5.4.2.5 Droits d'accès aux fichiers Squid
Pour que l'authentification soit fonctionnelle, l'utilisateur du service proxy doit pouvoir accéder à certains fichiers
du système.
- On change donc le propriétaire des fichiers log de Squid :
sudo chown -R proxy:root /var/log/squid3
- Remarque : la commande suivante n'est plus effective après reboot de la machine proxy :
sudo chown -R proxy:root /var/run/samba/winbindd_privileged
- On cherche le paragraphe TAG: cache_effective.
cache_effective_group winbindd_priv
- Pour finir,
squid -z
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 11 sur 32
3.5.5 PARAMÉTRAGE DU SWITCH
3.5.5.1 Identification de l’équipement
- Les trois paramètres suivants permettent de stocker des informations factuelles relatives à l’équipement :
o Sysname : le nom du commutateur, choisi suivant la règle de nommage des collèges
o Contact : le nom de l’entité/personne en charge d’administrer l’équipement.
o Location : le nom du site et emplacement du commutateur dans l’établissement.
- L’invite de commande répétée au début de chaque ligne de commande peut être utilisée pour identifier
aisément le commutateur sur lequel la session console est ouverte. Pour se faire, il faut remplacer sa
valeur par défaut, «HP », par le nom de l’équipement. Utiliser la commande « sysname» comme suit :
[HP]sysname XXX
- Il est nécessaire d’activer l’agent SNMP pour rentrer les informations de contact et location :
[HP]snmp-agent
[HP]snmp-agent sys-info contact XXX
[HP]snmp-agent sys-info location XXX
3.5.5.2 créer un compte utilisateur
3.5.5.2.1 Modifier l’interface gérant les accès à distance
- Configuration de l’interface gérant les connexions à distances (telnet, ssh)
<HP>system-view
[HP]user-interface vty 0 15
- Configuration du mode d’authentification (scheme=base locale) pour ces connexions
[HP-ui-vty0-15]authentication-mode scheme
- Configuration du mode d’authentification pour l’interface console
[HP]user-interface aux 0
[HP-ui-aux0]authentication-mode scheme
[HP-ui-aux0]
3.5.5.2.2 Créer les utilisateurs
- On crée un utilisateur administrateur : XXX
<HP>system-view
System View: return to User View with Ctrl+Z.
[HP]local-user XXX
New local user added.
[HP-luser-XXX]password XXX mdp
[HP-luser-XXX]service-type terminal ssh telnet
[HP-luser-XXX]authorization-attribute level 3
- De la même façon on crée un utilisateur avec des droits limités : opérateur
<HP>system-view
System View: return to User View with Ctrl+Z.
[HP]local-user operateur
New local user added.
[HP-luser-operateur]password xxx mdp
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 12 sur 32
[HP-luser-operateur]service-type terminal ssh telnet
[HP-luser-operateur]authorization-attribute level 0
3.5.5.3 Gestion des vlans
3.5.5.3.1 Création des vlans
<HP>system-view
System View: return to User View with Ctrl+Z.
[HP]vlan 1
[HP-vlan1]name DEFAULT_VLAN
[HP-vlan1]vlan XXX
…
[HP-vlanXXX]quit
- On peut voir les vlans existants via la commande :
[HP]display vlan
Total 5 VLAN exist(s).
The following VLANs exist:
1(default), XXX,
[HP]
3.5.5.3.2 Attribution des vlans sur les ports
- On se place d’abord dans le vlan dans lequel on veut affecter des ports puis on lui affecte ceux-ci.
[HP]vlan 1
[HP-vlan1]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/xx
[HP-vlan1]quit
[HP]vlan XXX
[HP-vlanXXX]port Gig 1/0/xx to Gig 1/0/24
[HP-vlanXXX]quit
[HP]
- On peut voir l’affectation des vlans
[HP-GigabitEthernet1/0/24]display vlan 1
3.5.5.3.3 Lien trunk (tagged)
[HP]interface GigabitEthernet 1/0/45
[HP-GigabitEthernet1/0/45]port link-type trunk
[HP-GigabitEthernet1/0/45]port trunk permit vlan 1 50 60 100 110
3.5.5.4 message d’accueil
- Lorsque l’on se connecte au commutateur en mode « Commande En Ligne » (CLI), l’utilisateur doit être
averti qu’il se connecte à un équipement actif du réseau et que la connexion est securisée. Ce message
d’accueil peut être modifié comme suit :
[HP]header login $AVERTISSEMENT - Vous etes actuellement sur un equipement reseau sur lequel l'acces est
reglemente et securise$
3.5.5.5 PARAMETRAGE ip
3.5.5.5.1 Configuration d’une adresse ip pour un vlan
- Nous allons mettre une ip pour le vlan xxx. Cela permet une prise en main à distance.
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 13 sur 32
[HP]interface vlan-interface 100
[HP-Vlan-interface100]ip address xx.xx.xx.xx 255.255.255.0
3.5.5.5.2 Mise en place de la route par défaut (passerelle)
[HP]ip route-static 0.0.0.0 0.0.0.0 xx.xx.xx.xx
3.5.5.6 Activation et configuration ssh et http
[HP]ip http enable
[HP]ssh server enable
Info: Enable SSH server.
[HP]public-key local create rsa
Warning: The local key pair already exist.
Confirm to replace them? [Y/N]:Y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
+++++++++++++++++++
++++++++++++
+++++
++++++++++++
HP]user-interface vty 0 15
[HP-ui-vty0-15]protocol inbound ssh
3.5.5.7 Spanning tree
- Le protocole spanning-tree permet aux commutateurs de résoudre les situations de boucles dans le
réseau. Nous allons donc l’activer.
[HP]stp enable
[HP]stp mode rstp
- On rajoute la ligne ci-dessous pour le switch maître.
[HP] stp priority 0
3.5.5.8 Serveur de temps
- On renseigne en premier lieu l’adresse ip de notre serveur de temps sur lequel nous allons nous
synchroniser.
[HP]ntp-service authentication enable
[HP]ntp-service unicast-server xx.xx.xx.xx
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 14 sur 32
- On crée ensuite un fuseau horaire que l’on nomme PARIS (GMT +1)
[HP]clock timezone "PARIS (GMT +1)" add 01:00:00
- Enfin on active la fonction “summer-time” qui permet le passage automatique à l’heure d’été ou d’hiver.
[HP]clock summer-time "PARIS (GMT +1)" repeating 02:00:00 2014 March last Sunday
03:00:00 2014 October last Sunday 01:00:00
- Pour effectuer la vérification, les commandes suivantes sont utilisées :
[HP]display clock
10:29:14 PARIS (GMT +1) Wed 07/23/2014
Time Zone : PARIS (GMT +1) add 01:00:00
Summer-Time : PARIS (GMT +1) repeating 02:00:00 2014 March last Sunday 03:00:00
2014 October last Sunday 01:00:00
[HP]
<HP>display ntp-service status
Clock status: synchronized
Clock stratum: 3
Reference clock ID: 10.171.132.5
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 84.01 ms
Root dispersion: 157.58 ms
Peer dispersion: 33.52 ms
Reference time: 08:45:13.585 UTC Jul 23 2014(D779F499.95C31593)
3.5.5.9 Mise en place du protocole snmp
[HP]snmp-agent sys-info version all
[HP]snmp-agent community write xxx
3.5.5.10 activation lldp
- LLDP est un protocole standardisé de découverte des équipements voisins. Pour l’activer, il faut configurer
la ligne de commande suivante :
[HP]lldp enable
3.5.5.11 Gestion des ports
- Pour activer un port qui ne semble pas l’être, la commande est la suivante :
[HP]interface GigabitEthernet 1/0/XX
[HP-GigabitEthernet1/0/XX]undo shutdown
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 15 sur 32
- Pour désactiver un port, la commande est la suivante :
[HP]interface GigabitEthernet 1/0/XX
[HP-GigabitEthernet1/0/XX]shutdown
- Mise en place d’une description sur les ports des commutateurs. Il est alors plus facile d’identifier quels
sont les équipements connectés au commutateur.
[HP]interface GigabitEthernet1/0/XX
[HP-GigabitEthernet1/0/XX]description Lien Cuivre Cascade vers Baie XX – Switch IP
ON
- Pour remettre à zéro les compteurs sur une interface, la commande suivante est à exécuter en mode
user-view
<HP>reset counters interface GigabitEthernet 1/0/1
3.5.5.12 Désactivation sur les ports non interconnectés
- Quand ces protocoles sont actifs ils broadcastent des paquets de découverte sur tous les ports en
fonctionnement. Il est donc préférable d’utiliser NDP que sur les ports d’interconnexion entre les
équipements réseau.
[HP]undo ndp enable interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/44
3.5.5.13 Enregistrement des modifications locale
- Toutes commandes validées par ENTRÉE sur le commutateur ont un effet immédiat et sont
automatiquement sauvegardées dans la « running config ». Au prochain redémarrage, le commutateur,
utilise la startup config donc toutes les modifications doivent être enregistrées dans ce fichier. Par défaut,
la configuration est sauvegardée dans le fichier startup.cfg.
- Il existe donc deux types de fichiers de configuration :
o saved-configuration : C’est le fichier de configuration utilisé pour l'initialisation et qui contient la
configuration sauvegardée.
o current-configuration : fichier de configuration temporaire qui se rapporte à la configuration de
l’utilisateur réalisée pendant le fonctionnement. Cette configuration est stockée dans la mémoire
vive dynamique (DRAM). Elle est supprimée en se rechargeant.
- Les commandes suivantes permettent de visualiser les deux configurations.
<HP>display current-configuration
<HP>display saved-configuration
- Après toutes modifications, il convient donc de sauvegarder
<HP>save
The current configuration will be written to the device. Are you sure? [Y/N]:Y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 16 sur 32
flash:/startup.cfg exists, overwrite? [Y/N]:Y
Validating file. Please wait......................
The current configuration is saved to the active main board successfully.
Configuration is saved to device successfully.
<HP>
p.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:Y
Validating file. Please wait......................
The current configuration is saved to the active main board successfully.
Configuration is saved to device successfully.
<HP>
3.5.5.14 Ajouter une configuration minimale pour envoyer un fichier en tftp
[HP]interface Vlan-interface1
[HP-Vlan-interface1]ip address xx.xx.xx.xx 255.255.255.0
[HP] interface GigabitEthernet1/0/1
[HP-GigabitEthernet1/0/XX] port link-type access
[HP-GigabitEthernet1/0/XX] undo shut
- Retrouver le port où est branché un poste avec son adresse IP :
<HP>tracemac by-ip xx.xx.xx.xx
- Retrouver le poste où est branché un poste avec son adresse MAC et par le vlan
<HP>tracemac by-mac 0024-9B07-EB1B vlan 100
- Afficher la configuration de tous les vlans :
<HP>Display vlan all
- Afficher l’état et les vlans de toutes les interfaces :
<HP>Display brief interface
3.5.5.15 Procédure TFTP
- Installer tftpd 32 ou 64 bits sur une machine distante Windows
- Sélectionner seulement les fonctionnalités tftp
- Noter l'@ip de la machine
- Se connecter au switch en mode utilisateur
- Taper "dir" pour lister les fichiers du switch
- Entrer la commande suivante pour envoyer le fichier sur la machine distante
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 17 sur 32
o Si un seul vlan par port
"tftp <@ip serveur tftp> put <Nom du fichier sur le switch> <Nom du fichier désiré>"
o Si plusieurs vlan par port
"tftp <@ip serveur tftp> source-ip <@ipvlan> put <Nom du fichier sur le switch> <Nom du fichier désiré>"
o Entrer la commande suivante pour récupérer le fichier à partir de la machine distante
o Si un seul vlan par port
"tftp <@ip serveur tftp> get <Nom du fichier sur la machine distante> <Nom du fichier désiré>"
o Si plusieurs vlan par port
"tftp <@ip serveur tftp> source-ip <@ipvlan> get <Nom du fichier sur la machine distante> <Nom du fichier désiré>"
- Works...
3.5.5.16 Configuration du switch
- CF annexe
4 CONCLUSION
BILAN
- Cette expérience est très enrichissante pour chacun d’entre nous en partant de zéro, nous avons réussi à
atteindre le but que nous nous étions fixé
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 18 sur 32
5 ANNEXE
SITES UTILES
5.1.1 GENERAUX
- http://shakup.net/mettre-en-place-son-propre-serveur-dhebergement-sous-linux/
- http://openclassrooms.com/courses/un-serveur-d-hebergement-multiutilisateur-sous-linux
- http://doc.ubuntu-fr.org/apache2
- http://doc.ubuntu-fr.org/reseau
- http://packages.ubuntu.com
- http://cc.in2p3.fr/docenligne/134/fr
5.1.2 SQL SERVER
- http://www.dotnet-
france.com/Documents/SQLServer/Admin/Gestion%20des%20utilisateurs,%20des%20groupes
%20et%20des%20r%C3%B4les%20dans%20SQL%20Server%202008.pdf
5.1.3 FTP
- http://forum.ubuntu-fr.org/viewtopic.php?id=110915
- http://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux/les-utilisateurs-et-
les-droits
- https://www.virtualmin.com/node/8786
- http://fr.wikibooks.org/wiki/Le_syst%C3%A8me_d%27exploitation_GNU-
Linux/Le_serveur_de_fichiers_FTP
- http://forum.ubuntu-fr.org/viewtopic.php?id=192890
5.1.4 ALIAS
- http://www.developpez.net/forums/d16316/webmasters-developpement-web/serveurs-
apache-iis/apache/apache-ajout-d-alias-vers-repertoire-virtual/
- http://www.linux-france.org/prj/edu/archinet/systeme/ch16s02.html
- http://www.it-connect.fr/creer-des-alias-de-commandes-sous-linux%EF%BB%BF/
- http://doc.ubuntu-fr.org/alias
5.1.5 ROUTAGE
- http://www.it-connect.fr/configurer-un-routeur-sous-
linux%EF%BB%BF/#IV_Activation_du_NAT*
PROJET DRIVE 2015 - 2016
Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 19 sur 32
5.1.6 PROXY
- http://www.commentcamarche.net/contents/610-serveur-proxy-et-reverse-proxy
- http://www.commentcamarche.net/faq/6323-installer-un-serveur-proxy-http-squid
- http://www.linux-france.org/prj/edu/archinet/systeme/ch40.html
SCHEMA
- CF phase01+02.vsdx
PLANNING
- CF PP14PPE3LPDC.pdf
CONFIGURATION DU SWITCH
- config-tpsisr5-h3c-04122015.cfg
MODE OPERATOIRE
5.5.1 CLIENT
- CF Mode_emploi.pdf
5.5.2 HEBERGEUR
- CF Création_utilisateur.pdf