Download - PROJET DRIVE - lerouxlaetitia.files.wordpress.com · franchise s’adresse à des chefs d’entreprise indépendants qui souhaiteraient s’engager dans l’ouverture d’un nouveau

PROJET DRIVE COMPTE - RENDU

Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT LPDC.NET Lycée Lamartine

PROJET DRIVE 2015 - 2016

Y. CUADAR - G. DI MARTINO – L. LEROUX - O. PETIT Page 1 sur 32

TABLE DES MATIERES 1 Présentation du projet .................................................................................................................................................................... 2

2 Phase 01 : Plateforme d’hébergement web - Dmz ................................................................................................................ 4

3 Création, installations et Configuration des machines .......................................................................................................... 7

4 Configuration des services ............................................................................................................................................................ 9

5 Tests de la plateforme .................................................................................................................................................................... 0

6 Hébergement en conditions réelle .............................................................................................................................................. 1

7 Conclusion ....................................................................................................................................................................................... 17

8 Annexe .............................................................................................................................................................................................. 18



1 PRESENTATION DU PROJET

OBJECTIFS

- Monter une plateforme de Drive, pour le groupe U. Le groupe SISR s’occupe de la partie infrastructure

réseau tandis que le groupe SLAM développera les applications.

SITUATION

- Le groupe U est une enseigne européenne du secteur de la grande distribution à prédominance

alimentaire. Le groupe est parmi les leaders de la grande distribution en France. Son siège social est

situé en région parisienne.

- Ce groupe développe un réseau de magasins franchisés. La franchise Super U a été créée en 1995.

Aujourd'hui incontournable sur le secteur de la distribution française, le groupe cherche à compléter le

maillage du territoire hexagonal par l'intégration de nouveaux commerçants au sein de son réseau. La

franchise s’adresse à des chefs d’entreprise indépendants qui souhaiteraient s’engager dans

l’ouverture d’un nouveau magasin de l’enseigne Super U. Les gérants de magasin de l’enseigne

peuvent intégrer un centre de formation propre à l'enseigne et profiter d'un soutien et d'un

accompagnement ainsi que d'appuis financiers pour la création et la gestion de leur magasin.

- L’actuel projet en cours de développement concerne la mise en place du service Drive au sein de

chaque magasin. Le service Drive est un service gratuit qui permet aux clients de faire leurs courses en

ligne sur Internet tout en profitant des mêmes prix qu'en magasin. Le retrait des achats peut se faire

dès le lendemain de la commande auprès du magasin de rattachement du client. La société de

services en informatique à laquelle vous appartenez a été retenue en tant que prestataire de services

pour :

o Implanter l’infrastructure informatique (réseaux / serveurs / sécurisation) SISR

o Développer les applications métier relatifs au service Drive de l’enseigne Super U SLAM



FONCTIONNEMENT DE L’INFRASTRUCTURE

- L'infrastructure informatique est décomposée comme suit :

o Au siège social est implanté le cœur de réseau de tout le groupe U. Il héberge les serveurs

centraux (authentification, stockage, gestion du réseau, supervision, ...), le stockage de toutes les

données du groupe (fichiers de tous les magasins, fichiers utilisateurs, etc.), les diverses bases de

données de type SQL Server (bases des produits, des magasins, des commandes drive, etc.) -

chaque magasin est équipé d'un réseau local permettant la connexion des différents éléments

informatiques d'un magasin (ordinateurs clients, caisses enregistreuses, imprimantes, tablettes

tactiles).

o C'est à partir de ce réseau que chaque magasin pourra constituer les préparations des

commandes de type drive. Les tablettes tactiles sont connectées en Wifi. - pour accéder à leurs

données, chaque magasin se connecte au siège central à travers une liaison distante spécifique et

sécurisée (de type liaison louée avec VPN). C'est par ce biais que les commandes drive sont

gérées par chaque magasin. - les internautes passent leur commande via un accès internet

normal. - tous les accès extérieurs au siège social doivent impérativement passer par une zone de

sécurité qui est là pour protéger les serveurs centraux et les données du groupe U. Cette zone

sert de lien entre les internautes et les serveurs centraux, par l'intermédiaire d'un site HTTP/PHP.

GROUPE DE REALISATION

- Le projet sera mené par un groupe de quatre étudiants en BTS SIO, à savoir :

o Yilmaz Cuhadar, Guillaume Di Martino, Laëtitia Leroux et Olivier Petit.

AXES REFLEXIONS SUR LE PROJET

- Un système d'hébergement web PHP

- Un système de gestion de bases de données SQL

- Un système d'interconnexion avec l'internet

- Une gestion des connexions extérieures sécurisées à minima :

o Administration distante SSH ou RDP

o Administration SQL distante (SQL direct)

o Connexions http

o Connexions FTP



2 PHASE 01 : PLATEFORME D’HEBERGEMENT WEB – DMZ (INFRASTRUCTURE MINIMALE)

COMPOSITION DE LA PLATEFORME

- Cette plateforme d’hébergement sera composée d’ :

o Un système serveur sous Microsoft Server 2008R2 avec application SGBD SQL Server 2012

Création de l'espace de stockage pour la base de données du projet Drive U avec

plusieurs bases (une pour chaque groupe de développement)

o Un système serveur d'hébergement web sous Linux Ubuntu avec applications Apache 2 et

Proftpd

Création de l'espace de publication du site web Drive U PS avec plusieurs espaces (un

pour chaque groupe de développement)

o Un système d'accès extérieur de type routeur/pare-feu Linux Ubuntu pour la redirection des

accès extérieurs (SSH, RDP, SQL, HTTP, FTP notamment) et la sécurisation des réponses

o Un système de communication Middleware de type ODBC afin d’assurer la communication

entre le système d'hébergement web Apache et le système de gestion de bases de données

SQL Server.



SCHEMAS DE LA PHASE 01

- Ce schéma a été créé sous Microsoft Visio 2013



CONFIGURATION DES ADRESSES IP DE LA PHASE01

- Voici la configuration IP de chaque machine présentes sur la plateforme.

2.3.1 RESEAU DU LYCEE – 171.19.100.0 /24

Machine Adresse IP Nom sur le réseau Services

Serveur DNS 172.19.100.210 Lamsio.loc DNS

Client SLAM 172.19.100. ??? . . . . . .

2.3.2 RESEAU SERVICES HEBERGEUR – 192.168.100.0 /24


Routeur hébergeur 172.19.100.193

192.168.100.254 Rtr01

Pare-feu/NAT

iptables

Serveur Web/FTP 192.168.100.10 Srvweb01 HTTP/HTTPS/PHP/FTP

Apache + Proftpd

Serveur SQL 192.168.100.20 Srvsql01 SQL server 2012R2

Machine test 192.168.100.10 Testmachine01 Client FTP + accès SQL

ORGANISATION DU GROUPE DE TRAVAIL

- Pour réaliser au mieux ce projet, les différentes tâches sont réparties équitablement entre les quatre

personnes du groupe.

- Un planning prévisionnel est établi afin de respecter le cahier des charges du projet. (cf Annexe)

- Les différentes tâches seront réalisées au lycée, ainsi qu’au domicile des membres du groupe si besoin.



CREATION, INSTALLATIONS ET CONFIGURATION DES MACHINES

2.5.1 BASE

- Afin d’optimiser la création et l’homogénéité de nos machines Linux, nous créons une première

machine virtuelle qui servira de base pour chacune des autres.

- Celle-ci est créée avec VMware Player et tourne sous Ubuntu 14.04LTS server.

- La configuration est volontairement légère : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur.

- On implémente d’origine la coloration du #, le verrouillage du pavé numérique dans le fichier rc.local

pour plus de praticité et l’on effectue la mise à jour de la base de données de téléchargement.

apt-get update

2.5.2 WEB

- Réglages des paramètres physiques

o Les mêmes que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur

- Réglages carte réseaux

o Adresse IP, masque et passerelle

# Etho

iface eth0 inet static

address 192.168.100.10

netmask 255.255.255.0

gateway 192.168.100.254

- La création de Srvweb01 (web + ftp) consiste à installer le paquet Apache2 sur la machine.

apt-get install apache2

- Puis à installer le paquet proftpd.

apt-get install proftpd



2.5.3 SQL


o : 1 processeur 2 cœur, 2048Mo RAM et 40Go de disque dur

La configuration est plus lourde car MS2008R2 réclame (beaucoup) plus de

ressources qu’un serveur Linux

- Réglages carte réseaux : adresse IP, masque et passerelle

o @IP 192.168.100.20, Masque 255.255.255.0 et @pass 192.168.100.254

ROUTEUR


o La même que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur

- Mise en place des deux cartes réseaux


# Eth0 WAN

iface eth0 inet dhcp

# Eth1 LAN


address 192.168.100.254

netmask 255.255.255.0

gateway 192.168.100.254



CONFIGURATION DES SERVICES

2.7.1 PROFTPD

- Paramétrage de base du fichier de configuration proftpd

vim etc/proftpd/proftpd.conf

- Voici quelques options utiles dans notre cas, le reste du fichier demeurant inchangé :

o Le nom su serveur ftp

ServerName « srvweb01 »

- Cette ligne est très importante puisqu’elle cantonne les utilisateurs ftp dans leur dossier

respectif. Ceux-ci ne peuvent alors pas remonter dans l’arborescence

# Use this to jail all users in their homes

DefaultRoot ~

- Ici l’adresse du serveur ftp

MasqueradeAddress 192.168.100.10

- On impose les autorisations à appliquer aux fichiers transféré. En l’occurrence, les utilisateurs

non autorisés ne pourront modifier les fichiers.

Umask 002 002

- La mise en place de ces paramètres s’effectue après un redémarrage du service serveur ftp.

/etc/init.d/proftpd restart



2.7.2 GESTION UTILISATEUR

- Création de l’utilisateur slam1 et de son dossier personnel sur srvweb01.

root@srvweb01 :~# useradd –m –d /home/slam1 –s /bin/false slam1

- Attributions de son mot de passe, « slam1 »

root@srvweb01 :~# passwd slam1

Enter new Unix password :

Retype new Unix password :

Passwd : password updated successfully

2.7.3 ALIAS

- Fichier de configuration des alias de slam1 sur srvweb01

root@srvweb01:~# vim /etc/apache2/sites-available/siteslam1.conf

…

Alias /slam1 /home/slam1

<DIRECTORY /home/slam1>

Options FollowsymLinks Multiviews

AllowOverride All

Require all granted

</DIRECTORY>

- La création d’autres alias s’effectue simplement en copiant ce fichier et en modifiant les

paramètres

root@srvweb01:~# cp /etc/apache2/sites-available/siteslam1.conf etc/apache2/si tes-available/siteslam1.conf



- La commande a2ensite [alias] est utilisée pour que l’alias soit pris en compte par le serveur

web.

root@srvweb01:~# a2ensite /etc/apache2/sites-available/siteslam1.conf

Enabling site slam1 .

To activate the new configuration, you need to run :

Service apache2 reload

- Le redémarrage du service apache2 est nécessaire pour que cette dernière modification soit

prise en compte.

root@srvweb01:~# service apache2 reload

*Reloading web server apache2

*

2.7.4 SQL SERVER

2.7.4.1 Installation

- L’installation et la gestion se fait comme sur tout produit Microsoft, c’est-à-dire par formulaires

et menus contextuels

- L’installation ne sera donc pas détaillée car standard et habituelle

2.7.4.2 Création utilisateur/bdd

- L’ordre d’installation est bien précis, et doit être respecté

- Ainsi, un clic droit sur « base de données » affiche le menu contextuel, on choisit « nouvelle

bdd »

- Une bdd est ainsi créée avec comme propriétaire, nous-même ; mais cette base doit être

reliée à nos clients. C’est leur base

- On créé donc la connexion entre eux deux

- On choisit « nouvelle connexion » dans le menu contextuel de /sécurité/connexions

o Paramètre à imposer

Authentification SQL Server

Reste par défaut

- Ensuite, la relation est à effectuer au niveau des propriétés de la bdd précédemment créée

- On impose alors ici la nouvelle connexion en tant que propriétaire

- Et enfin on vérifie les bonnes relations et connections avec la base



2.7.4.3 Gestion des droits et autorisations

2.7.4.4 Gestion des accès

2.7.5 ROUTAGE ET SECURITE

2.7.5.1 Nat

- Il faut mettre en place le masquage d’adresse sur l’interface eth0 car cela permet aux clients de ne

connaitre que l’adresse du routeur en sortie

- Afin que chaque requête soit redirigée vers le bon serveur nous devons mettre en place la

redirection d’adresse

o C’est-à-dire que toute requêtes utilisant le port :

80 sera rediriger vers srvweb01

443 sera rediriger vers srvweb01

20 et 21 sera rediriger vers srvweb01

2.7.5.2 Pare-feu

- Il faut avoir deux types de pare-feu afin d’effectuer des tests

o Un pare-feu ouvert et un pare-feu fermé

- Rappel : le pare feu ouvert n’aura pas de restrictions, donc aucune sécurité, mais est utile pour faire des

tests

- Le pare-feu utilisé pour la suite du projet sera bien sûr le fermé

- Ici, on gère le pare-feu par iptable

- On distingue trois « chemins » pour faire transiter les données :

o En entrée sur le routeur (Input)

o En sortie par le routeur (Output)

o En passant par le routeur (Forward)

- Le pare-feu fermé

o Le pare-feu fermé c’est quoi ?

- Le pare feu fermé bloque tout et c’est à l’administrateur de choisir quoi laisser passer

- Dans le cadre de notre projet nous devons laisser passer les messages :

o HTTP (port 80)

o HTTPS (port 443)

o NTP (port 123)

o DNS (port 53)

o SQL

o FTP (port 20 et 21)

o TRAFFIC LOCAL

o SMTP

o SSH (port 22)

o Retour de connexion

TESTS DE LA PLATEFORME

2.8.1 PROCEDURE DE TEST

- Pour les nombreux tests, nous avons testé la plateforme de long en large pendant plusieurs heures.

Depuis l’intérieur, puis depuis l’extérieur, tous les services ont été testés.

Les résultats sont positifs dans l’ensemble et peu de problèmes se sont présentés.

2.8.1.1 Résultats et problèmes rencontrés

CES QUELQUES PROBLEMES ONT ETE ASSEZ HANDICAPANTS ET C’EST A FORCE DE PERSEVERANCE QUE CEUX-CI ONT ETE

ERADIQUES

2.8.1.1.1 Les droits

- Problème de droit avec le serveur ftp

2.8.1.1.2 Le pare-feu

- En effet, quelques menus réglages ont été nécessaires pour valider complètement la plateforme

2.8.1.1.3 Sql Server

- La création et la connexion entre utilisateur et bdd est assez complexe et très ordonnée. Aucune erreur

n’est permise lors de l’exécution



HEBERGEMENT EN CONDITIONS REELLE

2.9.1 REDACTION D'UNE FICHE DE PROCEDURE / MODE D'EMPLOI

- Ce mode d’emploi est à destination des futurs utilisateurs et contient toutes les informations nécessaires à

la bonne mise en œuvre de l’hébergement.

- En outre, il contient aussi les mots de passe spécifique à chaque client.

o Ce document est disponible en annexe.

2.9.2 ACCUEIL DES CLIENTS ET EXPLICATIONS

- Nous avons tenté d’être le plus professionnel possible dans notre approche du client en leur proposant

les services de bases attendus.

- Ainsi ils se sont vu remettre un mode d’emploi les aidant à mettre en ligne leur projet. Une assistance a

aussi été prévue, mais sur les trois tests effectués, aucune erreur n’est à déplorer.

3 PHASE 02 : DMZ ET SIEGE (INFRASTRUCTURE CENTRALE)

COMPOSITION DE LA PLATEFORME

- En plus de la DMZ, notre seconde plateforme d’hébergement (siège) sera composée de :

o Un système serveur sous Microsoft Server 2008R2 avec application Active Directory + DNS

(local)

Création de l’annuaire active directory avec utilisateurs

Mise en place d’un DNS local (groupeu.local)

o Un routeur situé entre le siège et la DMZ

o Un serveur Nagios chargé de superviser l’ensemble des matériels réseaux

o Un serveur proxy pour gérer les connexions à internet à partir du réseau interne sous squid

o Un serveur de messagerie

o Un accès VPN sous openvpn

- Un service DNS (groupeu.com) a été ajouté au serveur SQL de la DMZ permettant aux utilisateurs

extérieurs d’accéder par nom aux machines de la DMZ.



SCHEMA DE LA PHASE 02



CONFIGURATION DES ADRESSES IP DE LA PHASE01

- Voici la configuration IP de chaque machine présentes sur la plateforme.

3.3.1 RESEAU SERVICES HEBERGEUR – 192.168.100.0 /24 (DMZ)


Routeur hébergeur 172.19.100.193

192.168.100.254 Routeur-ppe3

Pare-feu/NAT

iptables

Serveur Web/FTP + DNS 192.168.100.230 srvweb01

HTTP/HTTPS/PHP/FTP

Apache + Proftpd

DNS (groupeu.com)

Serveur SQL 192.168.100.240 Srvsql01 SQL server 2012R2

Machine test 192.168.100.10 Testmachine01 Client FTP + accès SQL

3.3.2 RESEAU SIEGE – 192.168.200.0 /24 (SIEGE)


Routeur interne 192.168.200.254

192.168.100.253 Routeur-ppe3 Routage

Serveur Active directory

et DNS 192.168.200.10 Srvad01

Active directory (annuaire) et

DNS local (groupeu.local)

Serveur supervision

192.168.200.20 Srvnagios01 Nagios

Proxy 192.168.200.30 Srvproxy01 Kerberos + squid

CREATION, INSTALLATIONS ET CONFIGURATION DES MACHINES

3.4.1 ROUTEUR INTERNE


o La même que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur

- Mise en place des deux cartes réseaux


# Eth0 LAN (DMZ)


address 192.168.100.253

netmask 255.255.255.0

# Eth1 LAN (Siege)




address 192.168.200.254

netmask 255.255.255.0

3.4.2 SRVAD


o : 1 processeur 2 cœur, 2048Mo RAM et 40Go de disque dur

La configuration est plus lourde car MS2008R2 réclame (beaucoup) plus de

ressources qu’un serveur Linux


o @IP 192.168.200.10, Masque 255.255.255.0 et @pass 192.168.200.254

3.4.3 SERVEUR DE SUPERVISION

3.4.3.1 Réglages des paramètres physiques

- Un processeur

- 512 Mo de RAM

- Un disque de 20 Go (dynamique avec fichiers séparés)

- Une carte réseau NAT pour l'accès extérieur

- Une carte réseau interne sur Vmnet3 pour le réseau interne virtuel

- Pas de carte son

- Pas d'imprimante

3.4.3.2 Installation de linux

- Installation Ubuntu 14.04

- Compte : srvnagios01

o Activez le compte root (mot de passe serveur).

- Paramétrez les cartes réseaux :

o eth0 (carte NAT) : client DHCP

o eth1 (carte sur Vmnet3) : statique en 192.168.200.20/24

- Mettez à jour les fichiers hosts et hostname pour le bon nom de machine (srvnagios01).

3.4.3.3 Installation de Nagios

- Mettez à jour la base de données des paquetages.

- Préparez l'installation de Nagios V3:

o Paquetage : nagios3

- Lancez l'installation de Nagios :

o Pour le mot de passe du compte nagiosadmin, fixez le mot de passe nagiosadmin.

o Pour la question concernant la gestion de la messagerie, nous n'en avons pas pour

l'instant, donc, installation sans système de messagerie.



3.4.4 PREPARATION DE LA STATION WINDOWS 7 TEST

- Préparez une machine virtuelle pour la station Windows 7

o un processeur

o 512 Mo de RAM

o un disque de 20 Go (dynamique avec fichiers séparés)

o une carte réseau interne sur Vmnet3 pour le réseau interne virtuel

o pas de carte son

o pas d'imprimante

- Installez un système Windows 7

- Paramétrez la carte réseau :

o carte sur Vmnet3 : statique en 192.168.200.10/24

3.4.5 CONFIGURATION MACHINE PROXY


o Les mêmes que MV_Base, soit : 1 processeur 1 cœur, 512Mo RAM et 4Go de disque dur

- Réglages carte réseaux

o Adresse IP, masque et passerelle

# Etho


address 192.168.200.30

netmask 255.255.255.0

gateway 192.168.200.254

- La création de Srvproxy01 consiste en deux étapes, établir une connexion avec le serveur

hébergeant l’AD avec kerberos, puis configurer le service squid

- Pour faire ceci la démarche consiste au préalable à préparer la machine en installant plusieurs

paquets

3.4.5.1 Paquets pour Kerberos

3.4.5.1.1 *krb5-user : outils de connexion pour l'authentification Kerberos

apt-get install krb5-user

3.4.5.1.2 *libpam-krb5 : bibliothèques pour Kerberos

apt-get install libpam-krb5

3.4.5.1.3 *ntpdate : client de connexion NTP pour synchroniser les horloges

apt-get install ntpdate



3.4.5.1.4 *winbind : outil client pour interroger une base de comptes Microsoft

apt-get install winbind

3.4.5.1.5 *samba : service serveur SMB/CIFS de fichiers/imprimantes/connexion pour UNIX

apt-get install samba

3.4.5.2 Paquets pour Squid

apt-get install squid

apt-get install proxy

CONFIGURATION DES SERVICES

3.5.1 SERVICE ACTIVE DIRECTORY

3.5.1.1 Active directory

Installation du service Active directory

Gestion des utilisateurs :

Administrateurs : AdministrateurNU

3.5.2 SERVICE DNS

3.5.2.1 DNS (groupeu.local)

3.5.2.2 DNS (groupeu.com)



3.5.3 ACCES A L'INTERFACE WEB DE SUPERVISION

- Lancez le navigateur Web de la station sur l'URL :http://192.168.200.20/nagios3

3.5.4 SERVICE PROXY

3.5.4.1 Configuration de Kerberos

3.5.4.1.1 Synchroniser l'heure avec celle du serveur

Le protocole Kerberos nécessite une synchronisation temporelle entre la machine que l'on veut lier (notre Linux

dans ce cas) et la machine serveur (notre serveur AD dans notre cas).

- On synchronise l'heure avec :

ntpdate @IP_SrvAD

où @IP_SrvAD est l'adresse IP du serveur AD.

- On vérifie l’heure avec

date

==> Elle doit correspondre à celle du serveur AD.

3.5.4.1.2 Configurer Kerberos

Kerberos est un protocole d'authentification sécurisé par clé et par ticket utilisé par le système Windows Server.

Il est donc nécessaire de configurer Kerberos sur le système Linux que l'on veut lier à l'AD.

On modifie le fichier /etc/krb5.conf :

# Configuration utilisée par les librairies Kerberos

[libdefaults]

# Domaine AD par défaut (typé DNS en majuscules)

* default_realm = DOMAINEAD.LOCAL

# temps de validité d'un ticket (5 mn)

* clock_skew = 300

# Durée de vie d'un ticket

* ticket_lifetime = 24000

# Fonctionnement de la résolution DNS

* dns_lookup_realm = false



* dns_lookup_kdc = true

# Définition des différents domaines Active Directory

[realms]

# Définition du domaine DOMAINEAD.LOCAL

DOMAINEAD.LOCAL = {

# Serveur Kerberos (en général le même que le serveur AD)

kdc = SRVAD.DOMAINEAD.LOCAL

# Serveur d'administration de l'AD

admin_server = SRVAD.DOMAINEAD.LOCAL

# Suffixe DNS a ajouter quand les appels se font sans suffixe

default_domain = DOMAINEAD.LOCAL

}

# Traduction entre domaines Microsoft (NETBIOS ou DNS) et domaines Kerberos

[domain_realm]

# On traduit tous les suffixes Microsoft ".domainead" en suffixes Kerberos "DOMAINEAD"

.domainead = DOMAINEAD

# On traduit tous les suffixes Microsoft "domainead" en suffixes Kerberos "DOMAINEAD"

domainead = DOMAINEAD

3.5.4.1.3 Remarques :

DOMAINEAD.LOCAL : nom du domaine DNS de l'AD en MAJUSCULES

SRVAD : nom d'hôte du serveur

domainead : nom du domaine Microsoft

DOMAINEAD : nom du domaine Kerberos



3.5.4.2 Configuration de squid

La configuration s’effectue en modifiant le fichier vim /etc/suid3/squid.conf

Ce service a pour particularité de ne posséder qu’un seul fichier de configuration d’environ 1500 lignes !

Mais il a pour avantage de contenir en son sein toute l’aide nécessaire pour la configuration de squid.

3.5.4.2.1 Réglage de base :

# ligne 1460==>

http_port 3128

...

icp_port 3130

# ligne 4750

visible_hostname

default:srvproxy01

3.5.4.2.2 Authentification

- On cherche le paragraphe TAG: auth_param.

...

# Utilisation du programme ntlm_auth avec une version d'authentification2.5 NTLMSSP

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-tlmssp

auth_param ntlm children 5

# Utilisation du programme ntlm_auth avec une version d'authentification2.5 basique (plaintext)

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

# Texte envoyé au navigateur

auth_param basic realm Squid AD

auth_param basic credentialsttl 2 hours



3.5.4.2.3 Listes de contrôles d'accès

- On cherche le paragraphe INSERT YOUR OWN RULES HERE.

# Spécifie une ACL qui oblige à utiliser une authentification par ntlm

acl ntlm proxy_auth REQUIRED

# Spécifie une ACL qui désigne mes réseaux internes

acl dmz src 192.168.100.0/24

acl siege src 192.168.200.0/24

# Autorise mes réseaux internes à aller sur internet à condition qu'ils s'authentifient par AD

http_access allow dmz ntlm

http_access allow siege ntlm

# Interdit toutes les autres possibilités

http_access deny all

3.5.4.2.4 Autres paramètres de Squid

- On cherche le paragraphe TAG: append_domain.

append_domain .domainead.local

- On cherche le paragraphe TAG: forwarded_for.

forwarded_for off

3.5.4.2.5 Droits d'accès aux fichiers Squid

Pour que l'authentification soit fonctionnelle, l'utilisateur du service proxy doit pouvoir accéder à certains fichiers

du système.

- On change donc le propriétaire des fichiers log de Squid :

sudo chown -R proxy:root /var/log/squid3

- Remarque : la commande suivante n'est plus effective après reboot de la machine proxy :

sudo chown -R proxy:root /var/run/samba/winbindd_privileged

- On cherche le paragraphe TAG: cache_effective.

cache_effective_group winbindd_priv

- Pour finir,

squid -z



3.5.5 PARAMÉTRAGE DU SWITCH

3.5.5.1 Identification de l’équipement

- Les trois paramètres suivants permettent de stocker des informations factuelles relatives à l’équipement :

o Sysname : le nom du commutateur, choisi suivant la règle de nommage des collèges

o Contact : le nom de l’entité/personne en charge d’administrer l’équipement.

o Location : le nom du site et emplacement du commutateur dans l’établissement.

- L’invite de commande répétée au début de chaque ligne de commande peut être utilisée pour identifier

aisément le commutateur sur lequel la session console est ouverte. Pour se faire, il faut remplacer sa

valeur par défaut, «HP », par le nom de l’équipement. Utiliser la commande « sysname» comme suit :

[HP]sysname XXX

- Il est nécessaire d’activer l’agent SNMP pour rentrer les informations de contact et location :

[HP]snmp-agent

[HP]snmp-agent sys-info contact XXX

[HP]snmp-agent sys-info location XXX

3.5.5.2 créer un compte utilisateur

3.5.5.2.1 Modifier l’interface gérant les accès à distance

- Configuration de l’interface gérant les connexions à distances (telnet, ssh)

<HP>system-view

[HP]user-interface vty 0 15

- Configuration du mode d’authentification (scheme=base locale) pour ces connexions

[HP-ui-vty0-15]authentication-mode scheme

- Configuration du mode d’authentification pour l’interface console

[HP]user-interface aux 0

[HP-ui-aux0]authentication-mode scheme

[HP-ui-aux0]

3.5.5.2.2 Créer les utilisateurs

- On crée un utilisateur administrateur : XXX

<HP>system-view

System View: return to User View with Ctrl+Z.

[HP]local-user XXX

New local user added.

[HP-luser-XXX]password XXX mdp

[HP-luser-XXX]service-type terminal ssh telnet

[HP-luser-XXX]authorization-attribute level 3

- De la même façon on crée un utilisateur avec des droits limités : opérateur

<HP>system-view


[HP]local-user operateur

New local user added.

[HP-luser-operateur]password xxx mdp



[HP-luser-operateur]service-type terminal ssh telnet

[HP-luser-operateur]authorization-attribute level 0

3.5.5.3 Gestion des vlans

3.5.5.3.1 Création des vlans

<HP>system-view


[HP]vlan 1

[HP-vlan1]name DEFAULT_VLAN

[HP-vlan1]vlan XXX

…

[HP-vlanXXX]quit

- On peut voir les vlans existants via la commande :

[HP]display vlan

Total 5 VLAN exist(s).

The following VLANs exist:

1(default), XXX,

[HP]

3.5.5.3.2 Attribution des vlans sur les ports

- On se place d’abord dans le vlan dans lequel on veut affecter des ports puis on lui affecte ceux-ci.

[HP]vlan 1

[HP-vlan1]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/xx

[HP-vlan1]quit

[HP]vlan XXX

[HP-vlanXXX]port Gig 1/0/xx to Gig 1/0/24

[HP-vlanXXX]quit

[HP]

- On peut voir l’affectation des vlans

[HP-GigabitEthernet1/0/24]display vlan 1

3.5.5.3.3 Lien trunk (tagged)

[HP]interface GigabitEthernet 1/0/45

[HP-GigabitEthernet1/0/45]port link-type trunk

[HP-GigabitEthernet1/0/45]port trunk permit vlan 1 50 60 100 110

3.5.5.4 message d’accueil

- Lorsque l’on se connecte au commutateur en mode « Commande En Ligne » (CLI), l’utilisateur doit être

averti qu’il se connecte à un équipement actif du réseau et que la connexion est securisée. Ce message

d’accueil peut être modifié comme suit :

[HP]header login $AVERTISSEMENT - Vous etes actuellement sur un equipement reseau sur lequel l'acces est

reglemente et securise$

3.5.5.5 PARAMETRAGE ip

3.5.5.5.1 Configuration d’une adresse ip pour un vlan

- Nous allons mettre une ip pour le vlan xxx. Cela permet une prise en main à distance.



[HP]interface vlan-interface 100

[HP-Vlan-interface100]ip address xx.xx.xx.xx 255.255.255.0

3.5.5.5.2 Mise en place de la route par défaut (passerelle)

[HP]ip route-static 0.0.0.0 0.0.0.0 xx.xx.xx.xx

3.5.5.6 Activation et configuration ssh et http

[HP]ip http enable

[HP]ssh server enable

Info: Enable SSH server.

[HP]public-key local create rsa

Warning: The local key pair already exist.

Confirm to replace them? [Y/N]:Y

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

+++++++++++++++++++

++++++++++++

+++++

++++++++++++

HP]user-interface vty 0 15

[HP-ui-vty0-15]protocol inbound ssh

3.5.5.7 Spanning tree

- Le protocole spanning-tree permet aux commutateurs de résoudre les situations de boucles dans le

réseau. Nous allons donc l’activer.

[HP]stp enable

[HP]stp mode rstp

- On rajoute la ligne ci-dessous pour le switch maître.

[HP] stp priority 0

3.5.5.8 Serveur de temps

- On renseigne en premier lieu l’adresse ip de notre serveur de temps sur lequel nous allons nous

synchroniser.

[HP]ntp-service authentication enable

[HP]ntp-service unicast-server xx.xx.xx.xx



- On crée ensuite un fuseau horaire que l’on nomme PARIS (GMT +1)

[HP]clock timezone "PARIS (GMT +1)" add 01:00:00

- Enfin on active la fonction “summer-time” qui permet le passage automatique à l’heure d’été ou d’hiver.

[HP]clock summer-time "PARIS (GMT +1)" repeating 02:00:00 2014 March last Sunday

03:00:00 2014 October last Sunday 01:00:00

- Pour effectuer la vérification, les commandes suivantes sont utilisées :

[HP]display clock

10:29:14 PARIS (GMT +1) Wed 07/23/2014

Time Zone : PARIS (GMT +1) add 01:00:00

Summer-Time : PARIS (GMT +1) repeating 02:00:00 2014 March last Sunday 03:00:00

2014 October last Sunday 01:00:00

[HP]

<HP>display ntp-service status

Clock status: synchronized

Clock stratum: 3

Reference clock ID: 10.171.132.5

Nominal frequency: 100.0000 Hz

Actual frequency: 100.0000 Hz

Clock precision: 2^18

Clock offset: 0.0000 ms

Root delay: 84.01 ms

Root dispersion: 157.58 ms

Peer dispersion: 33.52 ms

Reference time: 08:45:13.585 UTC Jul 23 2014(D779F499.95C31593)

3.5.5.9 Mise en place du protocole snmp

[HP]snmp-agent sys-info version all

[HP]snmp-agent community write xxx

3.5.5.10 activation lldp

- LLDP est un protocole standardisé de découverte des équipements voisins. Pour l’activer, il faut configurer

la ligne de commande suivante :

[HP]lldp enable

3.5.5.11 Gestion des ports

- Pour activer un port qui ne semble pas l’être, la commande est la suivante :

[HP]interface GigabitEthernet 1/0/XX

[HP-GigabitEthernet1/0/XX]undo shutdown



- Pour désactiver un port, la commande est la suivante :

[HP]interface GigabitEthernet 1/0/XX

[HP-GigabitEthernet1/0/XX]shutdown

- Mise en place d’une description sur les ports des commutateurs. Il est alors plus facile d’identifier quels

sont les équipements connectés au commutateur.

[HP]interface GigabitEthernet1/0/XX

[HP-GigabitEthernet1/0/XX]description Lien Cuivre Cascade vers Baie XX – Switch IP

ON

- Pour remettre à zéro les compteurs sur une interface, la commande suivante est à exécuter en mode

user-view

<HP>reset counters interface GigabitEthernet 1/0/1

3.5.5.12 Désactivation sur les ports non interconnectés

- Quand ces protocoles sont actifs ils broadcastent des paquets de découverte sur tous les ports en

fonctionnement. Il est donc préférable d’utiliser NDP que sur les ports d’interconnexion entre les

équipements réseau.

[HP]undo ndp enable interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/44

3.5.5.13 Enregistrement des modifications locale

- Toutes commandes validées par ENTRÉE sur le commutateur ont un effet immédiat et sont

automatiquement sauvegardées dans la « running config ». Au prochain redémarrage, le commutateur,

utilise la startup config donc toutes les modifications doivent être enregistrées dans ce fichier. Par défaut,

la configuration est sauvegardée dans le fichier startup.cfg.

- Il existe donc deux types de fichiers de configuration :

o saved-configuration : C’est le fichier de configuration utilisé pour l'initialisation et qui contient la

configuration sauvegardée.

o current-configuration : fichier de configuration temporaire qui se rapporte à la configuration de

l’utilisateur réalisée pendant le fonctionnement. Cette configuration est stockée dans la mémoire

vive dynamique (DRAM). Elle est supprimée en se rechargeant.

- Les commandes suivantes permettent de visualiser les deux configurations.

<HP>display current-configuration

<HP>display saved-configuration

- Après toutes modifications, il convient donc de sauvegarder

<HP>save

The current configuration will be written to the device. Are you sure? [Y/N]:Y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):



flash:/startup.cfg exists, overwrite? [Y/N]:Y

Validating file. Please wait......................

The current configuration is saved to the active main board successfully.

Configuration is saved to device successfully.

<HP>

p.cfg]

(To leave the existing filename unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:Y

Validating file. Please wait......................

The current configuration is saved to the active main board successfully.

Configuration is saved to device successfully.

<HP>

3.5.5.14 Ajouter une configuration minimale pour envoyer un fichier en tftp

[HP]interface Vlan-interface1

[HP-Vlan-interface1]ip address xx.xx.xx.xx 255.255.255.0

[HP] interface GigabitEthernet1/0/1

[HP-GigabitEthernet1/0/XX] port link-type access

[HP-GigabitEthernet1/0/XX] undo shut

- Retrouver le port où est branché un poste avec son adresse IP :

<HP>tracemac by-ip xx.xx.xx.xx

- Retrouver le poste où est branché un poste avec son adresse MAC et par le vlan

<HP>tracemac by-mac 0024-9B07-EB1B vlan 100

- Afficher la configuration de tous les vlans :

<HP>Display vlan all

- Afficher l’état et les vlans de toutes les interfaces :

<HP>Display brief interface

3.5.5.15 Procédure TFTP

- Installer tftpd 32 ou 64 bits sur une machine distante Windows

- Sélectionner seulement les fonctionnalités tftp

- Noter l'@ip de la machine

- Se connecter au switch en mode utilisateur

- Taper "dir" pour lister les fichiers du switch

- Entrer la commande suivante pour envoyer le fichier sur la machine distante



o Si un seul vlan par port

"tftp <@ip serveur tftp> put <Nom du fichier sur le switch> <Nom du fichier désiré>"

o Si plusieurs vlan par port

"tftp <@ip serveur tftp> source-ip <@ipvlan> put <Nom du fichier sur le switch> <Nom du fichier désiré>"

o Entrer la commande suivante pour récupérer le fichier à partir de la machine distante

o Si un seul vlan par port

"tftp <@ip serveur tftp> get <Nom du fichier sur la machine distante> <Nom du fichier désiré>"

o Si plusieurs vlan par port

"tftp <@ip serveur tftp> source-ip <@ipvlan> get <Nom du fichier sur la machine distante> <Nom du fichier désiré>"

- Works...

3.5.5.16 Configuration du switch

- CF annexe

4 CONCLUSION

BILAN

- Cette expérience est très enrichissante pour chacun d’entre nous en partant de zéro, nous avons réussi à

atteindre le but que nous nous étions fixé



5 ANNEXE

SITES UTILES

5.1.1 GENERAUX

- http://shakup.net/mettre-en-place-son-propre-serveur-dhebergement-sous-linux/

- http://openclassrooms.com/courses/un-serveur-d-hebergement-multiutilisateur-sous-linux

- http://doc.ubuntu-fr.org/apache2

- http://doc.ubuntu-fr.org/reseau

- http://packages.ubuntu.com

- http://cc.in2p3.fr/docenligne/134/fr

5.1.2 SQL SERVER

- http://www.dotnet-

france.com/Documents/SQLServer/Admin/Gestion%20des%20utilisateurs,%20des%20groupes

%20et%20des%20r%C3%B4les%20dans%20SQL%20Server%202008.pdf

5.1.3 FTP

- http://forum.ubuntu-fr.org/viewtopic.php?id=110915

- http://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux/les-utilisateurs-et-

les-droits

- https://www.virtualmin.com/node/8786

- http://fr.wikibooks.org/wiki/Le_syst%C3%A8me_d%27exploitation_GNU-

Linux/Le_serveur_de_fichiers_FTP

- http://forum.ubuntu-fr.org/viewtopic.php?id=192890

5.1.4 ALIAS

- http://www.developpez.net/forums/d16316/webmasters-developpement-web/serveurs-

apache-iis/apache/apache-ajout-d-alias-vers-repertoire-virtual/

- http://www.linux-france.org/prj/edu/archinet/systeme/ch16s02.html

- http://www.it-connect.fr/creer-des-alias-de-commandes-sous-linux%EF%BB%BF/

- http://doc.ubuntu-fr.org/alias

5.1.5 ROUTAGE

- http://www.it-connect.fr/configurer-un-routeur-sous-

linux%EF%BB%BF/#IV_Activation_du_NAT*

http://cc.in2p3.fr/docenligne/134/fr

http://doc.ubuntu-fr.org/alias

http://www.it-connect.fr/configurer-un-routeur-sous-linux%EF%BB%BF/#IV_Activation_du_NAT*

http://www.it-connect.fr/configurer-un-routeur-sous-linux%EF%BB%BF/#IV_Activation_du_NAT*



5.1.6 PROXY

- http://www.commentcamarche.net/contents/610-serveur-proxy-et-reverse-proxy

- http://www.commentcamarche.net/faq/6323-installer-un-serveur-proxy-http-squid

- http://www.linux-france.org/prj/edu/archinet/systeme/ch40.html

SCHEMA

- CF phase01+02.vsdx

PLANNING

- CF PP14PPE3LPDC.pdf

CONFIGURATION DU SWITCH

- config-tpsisr5-h3c-04122015.cfg

MODE OPERATOIRE

5.5.1 CLIENT

- CF Mode_emploi.pdf

5.5.2 HEBERGEUR

- CF Création_utilisateur.pdf

Download - PROJET DRIVE - lerouxlaetitia.files.wordpress.com · franchise s’adresse à des chefs d’entreprise indépendants qui souhaiteraient s’engager dans l’ouverture d’un nouveau

Top Related