plan d’adressage : 172.16.33.0/24 - portfolio de jérémy ......mission 3 – equipe c auteur :...

Mission 3 – Equipe C

Auteur : Puech Jérémy

[SISR-Puech-Mission03_Dossier_final] - 21/03/2013

/ 33

Plan d’adressage : 172.16.33.0/24

• Poste Administrateur réseau :

o Nom de la machine : BCE3L03S05P05

o Adresse IP Physique : 172.16.33.105

o Adresse IP 1er

VM : 172.16.33.115

o Adresse IP 2eme

VM : 172.16.33.125

o Masque : 255.255.255.0

• Poste Chef de Projet :



o Adresse IP 1er

VM : 172.16.33.126

o Adresse IP 2eme

VM : 172.16.33.126

o Masque : 255.255.255.0

• Poste Gestionnaire serveur :



o Adresse IP 1er

VM : 172.16.33.157

o Adresse IP 2eme

VM : 172.16.33.167

o Masque : 255.255.255.0

• Poste Utilisateur :



o Adresse IP 1er

VM : 172.16.33.118

o Adresse IP 2eme

VM : 172.16.33.128

o Masque : 255.255.255.0




/ 33

Tableau d'affectation des ports des matériels d'interconnexion et les liens de brassage

Numéro de port du Switch 1 Lien de brassage 1 RC2 2 Réservé pour liaisons montantes vers baie générale 3 Réservé pour liaisons entre Switch d'une même baie 4 Réservé pour liaisons entre Switch d'une même baie 5 Réservé pour liaisons entre Switch et routeur d'une

même baie 6 Réservé pour liaisons entre Switch et routeur d'une

même baie 7 Non affecté 8 Non affecté 9 SRC1 (Vlan 33)

10 SRC2 (Vlan 33) 11 SRC3 (Vlan 33) 12 SRC4 (Vlan 33) 13 SRC5 (Vlan 33) 14 SRC6 (Vlan 33) 15 SRC7 (Vlan 33) 16 SRC8 (Vlan 33) 17 Non assigné 18 Non assigné 19 Non assigné 20 Non assigné 21 Non assigné 22 Non assigné 23 Non assigné 24 Réservé pour Vlan Management




/ 33

Configuration du matériel d’interconnexion

Deux fichiers de configuration sont présents sur les matériels d’interconnexion (routeur, switch)

- Le fichier running-config: correspond à la configuration utilisé quand le

routeur fonctionne

- Le fichier startup-config: la configuration qui est lu lors du démarrage du

matériel

Au démarrage, si le fichier startup-configuration est inexistant (lors

d'une première installation par exemple)

Quatre possibilités peuvent être utilisées pour le créer :

- Auto Install

Si aucun fichier de configuration valide n'est trouvé lors du démarrage du matériel, dans la NVRAM,

un processus d'Auto Install est disponible.

- Setup

- Application de configuration

Cisco livre un logiciel appelé Cisco Config Maker qui permet de faire la configuration du matériel.

- Tout faire manuellement

Types de fichiers de configuration

- Fichier spécifique pour un matériel

Contient la configuration complète du nouveau matériel

Généralement, fichier ayant pour nom hostname-confg ou hostname.cfg

- Fichier de configuration par défaut

Généralement, fichier ayant pour nom router-confg, router.cfg ou bien

ciscortr.cfg

- Fichier de configuration qui vous permet de spécifier une adresse IP ou un nom

pour le matériel sur le réseau

Généralement, fichier ayant pour nom network-confg ou cisconet.cfg

- Attention au système utilisé par le serveur TFTP

Sous Dos, les noms de fichier doivent être au format 8.3. Par convention, il

se termine par cfg

En général, AutoInstall essaie de télécharger les fichiers dans l'ordre

suivant : network-confg, cisconet.cfg, router-confg, router.cfg, ciscortr.cfg




/ 33

Sauvegarde

Copier-coller Il est possible de faire un Copier-coller depuis ou vers HyperTerminal. Cela permet de sauvegarder une configuration dans un fichier texte. Pour restaurer une configuration, il faut d’abord se placer en mode de configuration globale

Router> enable Router# configure terminal Router(config)# A cet endroit, « collez » votre fichier texte

Utilisation d’un serveur tftp Le serveur TFTP permet de sauvegarder/restaurer un fichier de configuration mais aussi un IOS

complet pour une mise à jour ou suite à un crash.

L’utilisation de TFTP n’est possible que si le routeur communique avec l’ordinateur par IP.

1. Télécharger et installer Solarwinds TFTP

2. Dans TFTP Server, configurer le répertoire de travail du serveur.

3. Relever l’adresse IP de votre ordinateur.

4. Sauvegarder la configuration courante :

Router# copy run tftp

5. Et répondre aux questions (adresse du serveur TFTP et nom du fichier)

Le principe est le même depuis le serveur TFTP vers le routeur (ou commutateur).

Pour être complet, si on utilise des Vlans sur le routeur, il ne faut pas oublier de sauvegarder le fichier

vlan.dat qui contient toute la configuration de ceux-ci. En cas de restauration sur un autre routeur si

vous ne copier pas la base de Vlan il faudra la recréer manuellement pour que tout marche

correctement. Généralement ce fichier est enregistré sur la mémoire flash du routeur.

Pour vérifier la présence du fichier vlan.dat, taper la commande suivante :

GSB#show flash

Pour sauvegarder ce fichier, taper la commande suivante :

GSB# copy flash:/vlan.dat tftp

Tout comme la configuration, indiquer l’adresse de votre serveur TFTP ainsi que le nom du fichier à

sauvegarder. Il est conseillé de modifier le nom car s’il y a plusieurs routeurs à sauvegarder le fichier

va être écrasé.




/ 33

Restauration

Restauration via le serveur tftp

Pour copier un fichier de configuration d’un serveur TFTP vers le routeur, il suffit juste de configurer

une interface Ethernet avec une adresse situé sur le même réseau que le serveur TFTP. Ensuite, on

tape copy tftp startup-config.

On indique l’adresse du serveur TFTP et le nom du fichier de configuration.

La configuration est donc copier dans la mémoire NVRAM ; il faut ensuite la recopier dans la mémoire

de travail du routeur : copy startup-config running-config.

Restauration d’usine

Pour réinitialiser les paramètres d’usine, il faut aller sur l’hyper-terminal et aller en mode privilégié

avec la commande configure terminal. Ensuite taper les commandes

- Erase startup-config pour supprimer la configuration de la NVRAM. - Reload pour redémarrer

Récapitulatif des commandes Ces commandes sont à exécuter en mode configure terminal.

Commande description

copy running-config startup-config

Sauvegarde la configuration courante en NVRAM

copy running-config tftp Sauvegarde la configuration courante vers un serveur TFTP copy startup-config tftp Sauvegarde la configuration située en NVRAM vers un serveur TFT

copy tftp startup-config Charge un fichier de configuration d'un serveur TFTP en NVRAM copy tftp running-config Charge un fichier de configuration d'un serveur TFTP dans la

configuration courante erase startup-config Efface la configuration de la NVRAM Sites : http://fr.scribd.com/doc/7595208/Commandes-Cisco http://routeur.clemanet.com/syslog-snmp-ntp-routeur-cisco.php




/ 33

Type de VLAN à mettre en œuvre.

Il existe plusieurs types de VLAN, en fonction de leurs méthodes de travail, nous pouvons les associer à une couche particulière du modèle OSI :

• VLAN de niveau 1 : couche physique • VLAN de niveau 2 : couche liaison • VLAN de niveau 2 : couche réseau

VLAN de niveau 1 : Le VLAN de niveau 1 correspond à l’association de chaque ports d’un Switch à un VLAN. Dans ce type de VLAN :

• Le port détermine le VLAN auquel appartient les postes associés. • Il n’y a pas de traitement "lourd" pour chaque trame dans le processus de routage.

Ce type de VLAN comporte les inconvénients suivants :

• Un brassage est nécessaire en cas de déplacement géographique des postes. • Nécessite de modifier les VLAN en cas d’ajout de retrait d’utilisateurs. • Ne permet pas de traiter les switchs cascadés.

VLAN de niveau 2 : Dans ce type de VLAN l’adresse MAC de la carte réseau du poste détermine à quel VLAN elle appartient. Cela offre une grande souplesse et permet d’avoir des postes sur un même port du switch et pourtant appartenant à des VLAN différents. Cela permet alors d’autoriser des switchs en cascades sur le switch configuré en VLAN. Le switch VLAN fera alors le routage sans problème puisque la lecture de l’adresse MAC de la trame lui donnera le numéro de VLAN associé. En cas de mouvement des postes, aucune reconfiguration n’est requise, le switch VLAN saura toujours associer l’adresse MAC de la carte réseau au bon VLAN. Le seul désavantage à ce type de VLAN est la nécessité de maintenir un fichier de correspondance entre adresse MAC et VLAN, le switch l’ayant créé lors de sa configuration, il suffit de l’exporter. Tout changement de carte réseau sur un des postes nécessite un changement identique sur son association VLAN.




/ 33

VLAN de niveau 3 : Il s’agit du niveau de VLAN "par défaut", en effet, au niveau 3, c’est l’adresse IP de la station qui détermine le VLAN auquel elle appartient. On associera un VLAN à une plage d’adresse. Avec les VLAN de niveau 3, la configuration est facile car on se trouve au niveau IP, donc pas de configuration matérielle tels que les ports ou adresses MAC. Le niveau 3 est adapté au réseau complexe et aux entreprises possédant de nombreux portables avec ou sans fils. On peut, au sein d’un même réseau IP, définir des groupes de postes appartenant à des différents VLAN et ça de manière complètement transparente sans multiplier le nombre de sous réseaux à gérer. Dans le réseau de la Maison des Ligues, nous mettrons en place des VLANs de niveau 1. En effet, au niveau

1, c’est les ports du switch qui détermine le VLAN auquel elle appartient. Plus précisément, on associera un

VLAN en fonction des ports où l’on va se connecter. Le VLAN par port offre une facilité de configuration.

Commandes pour la création de VLAN

Commandes Description

switch# vlan « name » Création d’un VLAN

No vlan « name » Suppression d’un VLAN

Show vlan Affiche les VLANS

switch(config)#interface fa<interface-number> affectation sur un port switch(config)#interface range fa... affectation sur un ensemble de ports switch(config-if)#switchport mode access passe en mode de configuration de l'interface switch(config-if)# switchport access vlan<number-name>

active le vlan sur le ou les interfaces




/ 33

1) Les différents modes d’accès possibles aux matériels d’interconnexion

� Un routeur peut se configurer de diverses façons : - Par un terminal via un port série ou une interface réseau Ethernet - Par un chargement d’une configuration à l’aide du protocole TFTP (Trivial FTP) - Par un programme d’administration à l’aide du protocole SNMP (Simple Network Management Protocol) - En utilisant un serveur http interne au routeur

� Un switch peut se configurer avec un port console

2) Commande base pour sécuriser les modes d’accès I) Pour le routeur

Dans un premier temps il faut sécuriser l’accès physique au routeur (s’il se trouve dans une baie la fermer à clef) Pour un routeur on peut sécuriser les types d’accès par une politique de mot de passe. Il faut utiliser des mots de passe fort. Le routeur étant en service, il convient de définir une politique des accès et d'exploitation. Cette politique doit contenir des éléments sur la mise à jour de l'IOS, les droits et niveaux d'accès (parser view), Attention: certaines versions de l'IOS Cisco disposent des commandes permettant de retrouver un mot de passe à partir de la chaine hexadécimale représentant ce mot de passe dans le fichier de configuration.

A- Sécurisation des accès et mots de passe

1- Désactiver le service de réinitialisation des mots de passe Dans certains cas, il peut être nécessaire de désactiver le service qui permet de réinitialiser les mots de passe sur un routeur. Il est important de noter ici que cette désactivation peut avoir des conséquences graves, par exemple, l'obligation de revenir à la configuration par défaut de base (usine) du routeur. R1 (config) # no service passwords-recovery En cas de perte de mot de passe, il sera impossible de réinitialiser le mot de passe du super utilisateur. Cette commande fait partie des commandes cachées de l'IOS Cisco. À utiliser uniquement si vous n'avez pas une garantie suffisante au niveau de la maîtrise de l'accès physique de votre routeur. 2- Configurer la longueur minimale d’un mot de passe R1 (config)# security passwords min-length 10 Le routeur n'acceptera pas les mots de passe de moins de 10 caractères.




/ 33

3- Limiter le nombre de tentatives de connexions échouées Afin d'éviter les attaques par dictionnaire et par force brute sur les mots de passe, il faut limiter le nombre de tentatives de connexions sans succès sur votre routeur. R1 (config) # security authentication failure rate 4 log Au bout de 4 tentatives de connexion sans succès en moins d'une minute, les informations seront enregistrées dans le journal des évènements. R1 (config)# login block-for 60 attempts 4 within 10 Au bout de 4 tentatives de connexion sans succès dans un intervalle de 10 seconde, une autre tentative ne sera possible qu'après 60 secondes, car le routeur restera silencieux pendant cette période. Pendant cette période, il sera impossible de se connecter sur le routeur. Ce qui pourrait affecter les Administrateurs du routeur ayant les droits. Pour éviter cela, il faudra créer une ACL qui permet aux Administrateurs de se connecter pendant cette période de silence (quiet-mode). R1 (config) # ip access-list standard login-permit-adm R1 (config-std-nac) # permit 172.16.20.0 0.0.0.255 R1 (config)# exit R1 (config)# login quiet-mode access-class login-permit-adm 4- Empêcher les ouvertures de sessions sur les lignes (auxiliaires et virtuelles) // Ligne auxiliaire R1 (config)# line aux 0 R1 (config-line)# no password R1 (config-line)# login R1 (config-line)# exit // Lignes virtuelle R1 (config) # line vty 0 4 R1 (config-line) # no password R1 (config-line) # login R1 (config-line) # exit 5- Autoriser juste les accès distants en SSH (le Telnet n'étant pas sécurisé) R1 (config) # line vty 0 4 R1 (config-line) # no transport input R1 (config-line) # transport input ssh R1 (config-line) # exit 6- Désactiver tous les services, protocoles et comptes inutiles R1 (config)# no service finger // exemple du service finger R1 (config)# no cdp run // exemple du protocole CDP




/ 33

B- Verrouiller le routeur à l’aide de Cisco “autosecure” “Autosecure” est une commande créée par Cisco pour faciliter l'activation et la désactivation des services sur un routeur Cisco. Elle fonctionne en deux modes:

� Le mode interactif: demande à l'utilisateur avec des options pour activer et désactiver les services et les autres fonctions de sécurité

� Le mode non interactif: exécute automatiquement la commande Cisco Autosecure avec les paramètres par défaut recommandés Cisco

Ottawa# auto secure En raison du nombre de commandes CLI nécessaires à désactiver manuellement les services dans le but de rendre le routeur plus sûr, Cisco a introduit la fonction Autosecure de la version majeure 12.3 et ultérieur 12,3 T. Autosecure C'est une bonne commande pour les clients sans opérations spéciales de sécurité des applications, car elle leur permet de sécuriser rapidement leur réseau sans connaissance approfondie de toutes les fonctionnalités de Cisco IOS. La commande est disponible pour la gamme Cisco 800, 1700, 2600, 3600, 3700, 7200, et 7500 routeurs des gammes. II) Pour le switch On peut sécuriser le switch par un mot de passe. L'accès au mode Privileged doit être sécurisé par un mot de passe host (config)# enable password mot_de_passe ou enable mot_de_passe. On peut sécuriser l’accès des ports. Pour éviter que n'importe qui se connecte sur les ports d'un switch, il est possible de faire un contrôle sur les adresses MAC des machines connectées sur chaque port. Pour activer cette sécurité sur l'interface concernée : Switch (config-if) # switchport mode access Switch (config-if) # switchport port-security On peut envisager plusieurs politiques de sécurité. Soit on bloque définitivement le port lors d'une usurpation d'adresse MAC : Switch (config-if)# switchport port-security violation shutdown Soit on bloque toutes les trames avec des adresses MAC non connu et on laisse passer les autres Switch (config-if)# switchport port-security violation protect Soit un message dans le syslog et via SNMP sont envoyés. De plus le compteur du nombre de violation est incrémenté. Switch (config-if)# switchport port-security violation restrict Pour réactiver un port désactivé automatiquement, suite à un problème de sécurité faire un shutdown suivi d'un no shutdown




/ 33

Pour visualiser la politique de sécurité d'une interface : Switch# show port-security interface... Pour visualiser les adresses MAC connues sur les ports : Switch# show port-security address




/ 33

Installation d’un serveur de temps sur votre réseau

Dans un système d'information moderne, la synchronisation des machines sur une horloge commune est un pré-requis pour de nombreuses actions comme l'analyse des logs ou la supervision système et réseau. Si vos machines sont directement connectées à Internet alors il n'y a pas de problème car les distributions GNU/Linux, Windows et Mac OS X embarquent des mécanismes pour se mettre automatiquement à l'heure en se synchronisant sur des serveurs publics (par exemple 0.debian.pool.ntp.org sur une Debian Squeeze). Si ce n'est pas le cas et que vos machines sont isolées et/ou bien filtrées lors de leurs accès à Internet, il peut être intéressant d'installer un serveur de temps local sur une de vos machines.

Nous allons donc dans ce billet installer un serveur de temps NTP sur une machine sous Debian 6 (Squeeze).

Le protocole NTP

J'invoque le bon génie Wikipédia: "Le Protocole d'Heure Réseau (Network Time Protocol ou NTP) est un

protocole qui permet de synchroniser, via un réseau informatique, l'horloge locale d'ordinateurs sur une

référence d'heure."

La référence en question sera donc, dans notre cas, la machine ou nous allons installer puis configurer notre serveur NTP.

Le protocole NTP utilise le port UDP/123 pour effectuer les requêtes sur le réseau. Notre serveur sera donc en écoute sur le port UDP 123 (si vous avez un Firewall, il faudra bien entendu le configurer pour autoriser les requêtes sur ce port).

Installation du serveur NTP

On commence par installer les paquets nécessaires dans une console root:

[cc lang="bash"]

apt-get install ntp ntpdate

[/cc]

La première chose à faire est de mettre le serveur à la bonne heure (quitte à avoir une référence, autant qu'elle soit juste...).

Pour cela deux solutions:

• si votre machine à accès à Internet, utiliser la commande "ntpdate-debian" qui va synchroniser votre machine sur le serveur NTP Debian.

• si votre machine n'a pas accès à Internet, alors téléphoner à l'horloge parlante (numéro payant: 3699) puis configurer l'heure système avec la commande "date". Par exemple "date -s 16:56:23".




/ 33

On édite ensuite le fichier /etc/ntp.conf:

[cc lang="bash"]

# /etc/ntp.conf, configuration for ntpd; see ntp.conf (5) for help

driftfile /var/lib/ntp/ntp.drift

# Enable this if you want statistics to be logged.

#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats

filegen loopstats file loopstats type day enable

filegen peerstats file peerstats type day enable

filegen clockstats file clockstats type day enable

# You do need to talk to an NTP server or two (or three).

#server ntp.your-provider.example

# http://www.pool.ntp.org/zone/fr

server 0.fr.pool.ntp.org




# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will

# pick a different set every time it starts up. Please consider joining the

# pool: <http://www.pool.ntp.org/join.html>

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for

# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>

# might also be helpful.




/ 33

# Note that "restrict" applies to both servers and clients, so a configuration

# that might be intended to block requests from certain clients could also end

# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.

restrict -4 default kod notrap nomodify nopeer noquery

restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.

restrict 127.0.0.1

restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if

# cryptographically authenticated.

#restrict 192.168.123.0 mask 255.255.255.0 notrust

# My server is a public server

restrict 0.0.0.0 mask 0.0.0.0

# If you want to provide time to your local subnet, change the next line.

# (Again, the address is an example only.)

broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the

# next lines. Please do this only if you trust everybody on the network!

#disable auth

#broadcastclient

[/cc]




/ 33

Les informations intéressantes sont les suivantes:





Permet de configurer les serveurs maîtres sur lesquels votre machine va essayer de se synchroniser pour rester à l'heure. Il faut bien sûr que votre machine est accès à Internet sur le port UDP/123.

restrict 0.0.0.0 mask 0.0.0.0

On rend notre serveur public, toutes les machines ayant un accès réseau (encore une fois sur le port UDP/123) pourront se synchroniser à partir de votre serveur. Il est bien sûr possible de limiter ce droit aux seules machines de vos réseaux.

broadcast 192.168.0.255

(optionnel) Diffuse le temps sur l'adresse de broadcast de votre réseau (par exemple 192.168.0.0/24).

On relance ensuite le serveur pour que la configuration soit prise en compte:

[cc lang="bash"]

# /etc/init.d/ntp restart

Stopping NTP server: ntpd.

Starting NTP server: ntpd.

[/cc]




/ 33

Synchroniser vos machines avec votre serveur NTP

La configuration des clients est relativement simple car souvent inclus dans les "wizards" d'installations. Il suffit de préciser l'adresse IP ou le nom de votre machine hébergeant le serveur NTP comme serveur de temps.

Sur un client Debian 6 existant, il faut installer le package suivant (en root):

[cc lang="bash"]

apt-get install ntpdate

[/cc]

Puis lancer la commande suivante (si votre serveur de temps est hébergé sur la machine 192.168.0.100):

[cc lang="bash"]

ntpdate -dv 192.168.0.100

[/cc]

Conclusion

Le protocole NTP étant normalisé, il est bien sur possible de synchroniser toutes vos machines (Linux, BSD, Windows, OS X...) sur votre nouveau serveur de temps.




/ 33

Installer un serveur TFTP pour vos Cisco :

Un rapide billet pour rappeler les étapes nécessaires à la mise en place d'un serveur TFTP sur un système GNU/Linux (Debian Squeeze) afin de sauvegarder les configurations de vos routeurs Cisco.

Installation du serveur TFTPD

On utilise le paquet tftpd qui se trouve dans les dépôts Debian (commande à saisir dans un terminal root ou en utilisant la commande sudo):

apt-get install tftpd

On doit ensuite créer le répertoire ou seront stockés les fichiers des configurations Cisco (/srv/tftp dans mon cas).

mkdir /srv/tftp chmod -R 777 /srv/tftp chown -R nobody /srv/tftp

Si vous choisissez un autre répertoire que /srv/tftp, il faut:

1. éditer le fichier de configuration /etc/inetd.conf et changer le répertoire de la ligne commençant par tftp

2. Redémarrer le serveur TFTP avec la commande /etc/init.d/open-inetd restart

Création du fichier de configuration vide

TFTP est un protocole de communication de bas niveau. Il ne met pas en place de mécanisme d'authentification. La création du fichier de configuration vide doit donc se faire à partir du serveur (il est possible de changer ce comportement et ainsi de permettre au client, c'est à dire au routeur Cisco, de créer lui même le fichier mais je ne le conseille pas pour des questions de sécurité).

On va donc créer un fichier vide nommé cisco-rtr-01-confg:

touch /srv/tftp/cisco-rtr-01-confg chmod -R 777 /srv/tftp

chown -R nobody /srv/tftp




/ 33

Sauvegarde de la configuration depuis le routeur Cisco

On en vient enfin au vif du sujet: c'est à dire la sauvegarde de la configuration (IOS running) de notre Cisco sur le serveur TFTP.

# copy run tftp:

Address or name of remote hos

Destination f ilename [yourname-

!!

1 2 3 4 5

# copy run tftp: Address or name of remote host []? 192.168.0.100 Destination filename [yourname-confg]? cisco-rtr-01-confg !! 1292 bytes copied in 0.380 secs (3400 bytes/sec)

Il faut bien sûr remplacer l'adresse 192.168.0.100 par l'adresse IP (ou le nom) de votre machine Debian ou vous avez installés TFTP.




/ 33

Installation serveur Web sous Windows

server 2008 R2

Présentation Internet Information Server (IIS) est le serveur Web fourni par Microsoft avec Windows Server. Avec Windows

Server 2008, la version de IIS nativement fournie est la version 7.0. Par rapport à la version IIS 6.0 qui était

celle livrée avec Windows Server 2003, elle bénéficie d’une architecture entièrement revue. Désormais, toutes

les fonctionnalités proposées par IIS sont proposées sous la forme de modules enfichables (plug-ins) activables

et désactivables par simple configuration, permettant ainsi l’extension des possibilités du serveur.

De nombreux modules additionnels sont proposés par Microsoft ainsi que par des éditeurs tiers, ou encore sont

créés par des communautés d’utilisateurs et de développeurs. Les modules complémentaires les plus courants

traitent de sujets tels que: le développement (ASP, ASP.NET, CGI etc.), les diagnostics, les fonctionnalités de

serveur FTP, ou encore d’autres modules relatifs au monitoring, aux performances et à l’administration.

Tous ces modules sont administrables de façon unifiée au travers de la console d’administration.

Cette version propose une administration simplifiée pouvant être accessible depuis l’extérieur (via Internet, en

dehors du réseau local) via HTTP ou HTTPS pour une gestion à distance. Ceci peut se révéler être

particulièrement utile lorsque le serveur n’est pas hébergé « chez soi » mais chez un hébergeur tiers, auquel cas

on ne peut y accéder que par son adresse IP publique.

Au-delà de ASP.NET, qui est la technologie de programmation côté serveur proposée par Microsoft pour

réaliser des sites et des applications Web, les autres plate-formes et langages tels que Java, PHP ou Ruby

peuvent aussi être mis en production sur Windows Server.

IIS intègre en natif des outils pour monitorer le bon fonctionnement de vos applications et diagnostiquer des

problèmes éventuels. Pour les administrateurs, IIS intègre trois modes d’administration :

- via un fichier XML

- via la console MMC offrant une administration épurée,

- via un accès web (pouvant être sécurisé en HTTPS) pour une administration à distance.




/ 33

Installer et configurer IIS Il faut commencer par Ajouter des rôles puis cocher Serveur Web (IIS). Cette fenêtre apparaît :

Il faut donc

cliquer sur

le bouton

Ajouter les

fonctionnalités requises.

Lisez attentivement les informations qui apparaissent à l’étape suivante. Puis cliquez sur Suivant.

Il faut souvent cocher Développement d’applications pour que le site puisse gérer toute la

programmation .NET liée aux sites Web dynamiques (avec des requêtes sur une base de données).

Dans la partie Sécurité, cochez les 2 options ci-dessous pour un site intranet auquel ne pourront se

connecter que des utilisateurs déjà répertoriés dans l’Active Directory :




/ 33

On peut avec IIS gérer plusieurs centaines de sites personnels. Les ressources les plus utilisées pour des sites Web sont le disque dur et la carte réseau. Le processeur et la mémoire vive ne sont pas trop sollicités sauf si de nombreuses pages php et bases de données sont exploitées. Sinon, on peut facilement gérer jusqu’à un millier de sites Web HTML Depuis un navigateur comme Internet Explorer, on peut ouvrir la page qui se trouve en local dans

C:\inetpub\wwwroot et qui s’appelle iisstart.htm.

La page Web suivante apparaît alors :




/ 33

Pour rendre accessible un site Web déjà créé, il suffit de le placer dans un sous-dossier de wwwroot. Le dossier qui héberge le site Web n’est pas obligatoirement dans C:\inetpub\wwwroot mais c’est conseillé pour retrouver rapidement tous nos sites Web.

Clic droit depuis Sites

puis Ajouter

un site Web… et créez le dossier dans wwwroot.

Reprenez le même

libellé que le Nom

du site

(www.intranet.fr dans notre exemple).

La partie Liaison permet de créer le lien DNS entre l’emplacement du site, son protocole (http ou https),

l’Adresse IP attribuée pour son adresse IP publique et le nom du site Web (Nom de l’hôte).

Il suffit de pointer le A RECORD dans le serveur DNS sur l’adresse IP du site Web (adresse privée pour

notre site intranet).




/ 33

Pour cela, on va dans le Gestionnaire de serveur, on se place sur le serveur DNS déjà créé puis depuis les

Zones de recherche directes, on fait un clic droit pour choisir Nouvelle zone. On choisit Zone principale, puis Vers tous les serveurs DNS de cette forêt et comme Nom de la zone, on

indique le nom de domaine de notre site Web. A l’étape suivante, on conserve la 1ère possibilité par défaut pour les mises à jour dynamiques. Puis on clique sur Terminer. On double clique maintenant sur www.intranet.fr (voir ci-dessous) pour ajouter une ligne dans le fichier de définition DNS de notre serveur qui pointera sur l’adresse IP fixe du serveur Web (IIS).




/ 33

On clique droit sur un fond blanc pour choisir Nouvel hôte (A ou AAAA)

On ajoute l’Adresse

IP du serveur IIS et on clique sur Ajouter un hôte.

Une fois que le message est apparu, on peut cliquer sur le bouton Terminer.

Tapez l’URL http://www.intranet.fr/ (si vous avez pensé à désactiver au préalable la carte

réseau qui donne au serveur IIS l’accès à Internet) ou encore

http://127.0.0.1/www.intranet.fr/.




/ 33

Authentification

Il existe plusieurs systèmes d'authentification pour protéger un répertoire de IIS :

– Authentification anonyme (par défaut) : Pas de mot de passe demandé pour accéder à

une ressource .

– Méthode basique (http basic) : Demande un login et un mot de passe à l'utilisateur.

Cette authentification passe en clair (codé en hexadécimal) sur le réseau.

– Méthode Digest (http digest) : Utilise la méthode du mot de passe par

challenge/réponse.

– Méthode Windows : Utilise un mot de passe par challenge/réponse et s'authentifie avec

le serveur Kerberos de Active Directory ou avec NTLM.

Ici, nous avons choisit l'authentification de base requiert que les utilisateurs fournissent un nom

d'utilisateur et un mot de passe valides pour accéder au contenu. Cette méthode d'authentification ne

nécessite pas de navigateur spécifique ; tous les principaux navigateurs la prennent en charge.

L'authentification de base fonctionne également sur les pare-feu et les serveurs proxy. Pour ces

raisons, cette méthode constitue un bon choix lorsque vous souhaitez restreindre l'accès à une partie

seulement du contenu d'un serveur.

1) Ouvrez le Gestionnaire des services Internet (IIS) 2) Dans Affichage des fonctionnalités, double-cliquez sur Authentification. 3) Dans la page Authentification, sélectionnez Authentification de base. 4) Dans le volet Actions, cliquez sur Activer pour utiliser l'authentification de base avec les paramètres

par défaut. 5) De manière facultative, dans le volet Actions, cliquez sur Modifier pour taper le domaine par défaut

et le domaine. 6) Dans la boîte de dialogue Modifier les paramètres d'authentification de base, dans la zone

Domaine par défaut, tapez le domaine par défaut ou laissez cette zone vide. Les utilisateurs qui ne fournissent pas de domaine lorsqu'ils se connectent à votre site sont authentifiés par rapport à ce domaine.

7) Dans la zone Domaine, tapez un domaine ou laissez cette zone vide. Vous pouvez généralement utiliser la même valeur pour le nom du domaine que celle utilisée pour le domaine par défaut.

8) Cliquez sur OK pour fermer la boîte de dialogue Modifier les paramètres d'authentification de

base.




/ 33

Pour aller plus loin

Gérer une stratégie de sauvegarde Windows Server 2008 intègre nativement un outil puissant pour sauvegarder et restaurer le système.

Lancez le « Gestionnaire de serveur » depuis la barre de tâches ou depuis les « Outils d’administration ».

Sélectionnez le nœud « fonctionnalité » dans le menu de navigation de gauche, puis cliquez sur le lien « Ajouter

des fonctionnalités » dans la page centrale.

Dans la liste des fonctionnalités disponibles, cochez la fonctionnalité « Utilitaire de sauvegarde de

Windows Server » puis cliquez sur « Suivant » et enfin sur « Installer ».

Sauvegarder le système

1) Lancez l’outil de sauvegarde, « Démarrer > Outils d’administration > Sauvegarde de Windows Server ».

2) Pour lancer une sauvegarde unique, cliquez sur le lien à droite « Sauvegarde Unique ». L’assistant de

sauvegarde apparait à l’écran. Appuyez une première fois sur « Suivant » puis sélectionnez le type de

sauvegarde puis choisir « complète »

3) Indiquez ensuite le type de destination : volume local (ce volume ne devra donc pas être inclus dans la

sauvegarde) ou partage réseau (avec les droits nécessaires)

4) Laissez les options qui suivent par défaut, puis sur la fenêtre récapitulative, lancez la sauvegarde.

5) Une console de suivi vous permet de suivre l’évolution de la sauvegarde ainsi que l’espace qu’occupe

cette dernière.

6) Une fois l’opération terminée, naviguez depuis l’explorateur Windows jusqu’à l’emplacement que vous

avez spécifié lors du paramétrage, vous trouverez un dossier « WindowsImageBackup » contenant les

fichiers de sauvegarde.




/ 33

Restaurer certains fichiers / dossiers

1) Lancez l’outil de sauvegarde, « Démarrer > Outils d’administration > Sauvegarde de Windows Server ».

2) Cliquez sur le lien à droite « Récupérer ». Sélectionnez quel serveur vous souhaitez restaurer (ici, nous

restaurons le serveur local), puis cliquez sur « Suivant ». Choisissez enfin la date de la sauvegarde à

utiliser (les dates en gras indiquent la présence d’une sauvegarde) et cliquez sur « Suivant » (capture

suivante).

3) Définissez ensuite le type de restauration :

- partielle (uniquement certains fichiers et dossiers),

- par volume

4) Choisissez ici la restauration partielle de fichiers / dossiers. 5) Naviguez ensuite jusqu’au dossier que vous souhaitez récupérer. 6) Cliquez sur « Suivant ». Laissez les options qui suivent par défaut, puis lancez la récupération dans la fenêtre

récapitulative.

Restaurer le système Vous pouvez restaurer des volumes complets. Dès le lancement de l’assistant de restauration (« Récupérer » depuis l’outil de sauvegarde), sélectionnez « Volumes ». L’assistant vous demandera alors quel volume vous souhaitez restaurer. Il est également possible de restaurer son serveur au moment du démarrage mais il faudra avoir au préalable gravé les fichiers de sauvegarde sur un disque ou les avoir copiés sur un support amovible de type USB. Redémarrez votre serveur en insérant le DVD d’installation de Windows 2008 Server. Commencez une nouvelle

installation, mais sur l’écran suivant, choisissez «Réparer l’ordinateur »




/ 33

Installation d'un Système de Gestion de Base

de Données

Pour la mise en place d'un Système de Gestion de Base de Données, il nous faudra installer un serveur web: Apache, MySQL et PHP (LAMP). Pour répondre aux contraintes financières, nous avons choisit une licence Open Source provenant du monde Linux: Ubuntu. LAMP est un acronyme désignant un ensemble de logiciels libres permettant de construire des serveurs de sites web. L'acronyme original se réfère aux logiciels suivants : « Linux », le système d'exploitation ( GNU/Linux ) « Apache », le serveur Web « MySQL », le serveur de base de données « PHP » le langage de script Qu’est-ce que Apache ? Apache est l’utilitaire principale pour votre serveur web, c’est là que se trouverons toutes les pages du site,

c’est la partie serveur web de LAMP. Apache est un logiciel libre et un des logiciels les plus utilisé en tant

que serveur web. Nous utiliserons la version 2 du logiciel.

Qu’est-ce que MySQL ? MySQL est un serveur de bases de données relationnelles SQL développé dans un souci de performances élevées en lecture, ce qui signifie qu'il est davantage orienté vers le service de données déjà en place que vers celui de mises à jour fréquentes et fortement sécurisées. Il est multi-thread et multi-utilisateur.

Qu’est-ce que PHP ? PHP est un langage de programmation utilisé pour créer des pages web dynamique. Nous utiliserons la version 5 comprise dans LAMP.




/ 33

Nous allons maintenant installer LAMP pour cela nous allons utiliser le terminal Linux qui est très simple d’utilisation et permet une installation rapide. Ouvrez le terminal en cliquant sur le bouton principal en haut à gauche et recherchez terminal.

Pour se connecter en Administrateur. Taper la commande : sudo su

Le mot de passe est celui configuré lors de l’installation du système. Si vous êtes bien connecté le prompt doit changer en "root#"

Pour installer LAMP, taper la commende : apt-get install lamp-server^

Confirmer. L’installation se fait automatiquement




/ 33

Un mot de passe pour MySQL sera demandé.

LAMP server sur Ubuntu

Afin de verifier si le serveur c’est correctement installé, ouvrer votre navigateur et taper l’adresse : http://127.0.0.1 un message validera que le serveur à bien était installé.




/ 33

Pour utiliser MySQL, installer PHPmyadmin afin de gérer la base de données dans votre navigateur. Taper la commande suivante : apt-get install phpmyadmin

Choisir apache2

Choisir un mot de passe pour phpmyadmin et l’installation est terminée. Pour vérifier son fonctionnement en allant dans votre navigateur, taper http:/ /127.0.0.1/phpmyadmin




/ 33

Documentation sur les accès

Base de données : Id, Login (Nomligue.Nom), Nom, Prénom, Motdepasse, Nomdeligue

Table relationnel




/ 33

Droits attribués Chaque utilisateur devra se voir attribuer des privilèges parmi ces classes. Le tableau suivant liste les types d'utilisateurs qui devraient être habilités pour chaque classe de privilège :

Classes de privilèges Types de compte

accès au contenu de l'information Utilisateur gestion du schéma de la base de données Administrateur gestion des privilèges utilisateurs Administrateur gestion des paramètres systèmes Administrateur

plan d’adressage : 172.16.33.0/24 - portfolio de jérémy ......mission 3 – equipe c auteur :...

Documents