19/10/2015. Projet Évolution MICKAËL FOSSO, ÉTIENNE LAMOUR, NICOLAS LINANT CENTRAL-MET

Transcription

1 19/10/2015 Projet Évolution MICKAËL FOSSO, ÉTIENNE LAMOUR, NICOLAS LINANT CENTRAL-MET

2 Table des matières Introduction 3 Présentation de l entreprise 3 Présentation de l équipe et répartition des tâches 3 Présentation du projet 3 Planning prévisionnel 4 Solutions techniques 5 Les serveurs 5 Plan d adressage 6 Virtualisation 6 Qu est-ce que la virtualisation 6 Les avantages de la virtualisation 6 Les contraintes de la virtualisation 7 Le choix d Hyper-V 8 Windows Server 2012 R2 9 Serveur de fichiers 9 Serveur d impression 9 Serveur DFS 9 Serveur DNS 10 Serveur DHCP 11 Windows Active Directory 12 Présentation d Active Directory 12 Architecture du domaine 13 Stratégies de groupe 14 Restriction horaire 20 Linux Ubuntu 21 Pourquoi Ubuntu 21 Serveur Web (Apache/MySQL) 22 Serveur Samba 22 Serveur NFS 23 Programmation 24 Site PHP: Gestion de parc informatique 24 PowerShell 24 Securité 26 Sécurité logicielle 26 1

3 Sécurité physique 27 Sécurité adaptée 27 Annexes 28 Virtualisation 28 Mise en place d Hyper-V 28 Windows Server 2012 R2 34 Serveur de fichiers 34 Serveur DHCP 42 Serveur NTP 50 Tolérance de panne 52 Audits 62 Quotas 63 Linux Ubuntu 68 Serveur Samba 68 Programmation 73 Site PHP : Gestion de parc informatique 73 PowerShell 100 Devis 104 Tolérance de panne et coûts associés 104 Glossaire 106 2

4 Introduction Présentation de l entreprise Central-MET est une société spécialisée dans la fabrication d accessoires automobiles. Elle a été créée en 1991 par Jean-Michel AULAS. Depuis 2008, nous avons investi dans les systèmes embarqués compatibles avec les différents systèmes d exploitation mobiles du moment. Actuellement, nous employons une centaine de salariés. Avec une utilisation de ces solutions en constante expansion, notre chiffre d affaire a explosé. Pour répondre à cette croissance, nous avons déménagé nos locaux en début d année. Désormais notre objectif est l optimisation de notre parc informatique. Il requiert plus de sécurité et d organisation pour améliorer la productivité. Il doit être évolutif afin de pouvoir répondre à toute évolution future. Présentation de l équipe et répartition des tâches le chef de projet Mickaël FOSSO a mis en place un planning afin de réaliser celui-ci dans les temps. Il s est aussi occupé de l ensemble de la programmation PowerShell, ainsi que du développement PHP/MySQL pour la gestion du parc informatique et la base relationnelle. Étienne LAMOUR s est chargé de la mise en place de l Active Directory ainsi que des solutions techniques pour les différentes stratégies à mettre en place afin sécuriser le parc informatique (GPO). Il s est aussi occupé de la réplication de celui-ci pour la tolérance de panne ainsi que des devis. Nicolas LINANT a proposé au reste de l équipe une étude comparative des différentes solutions de virtualisation VMware et Hyper-V qu il a ensuite mises en place conformément à la procédure créée en annexe. Il a mis en place la partie Linux pour le serveur Web, FTP, NFS et Samba. C est aussi le rédacteur du projet. Présentation du projet Le projet consiste à implémenter des serveurs dans un réseau de 90 ordinateurs situés dans 3 bâtiments différents. Ces serveurs seront mis en place sur des architectures Windows Server et Linux. Des outils de gestion seront développés afin de faciliter l administration de ce nouveau réseau (BDD, scripts ). Le cahier des charges comprend : La mise en place d un Active Directory pour la gestion des utilisateurs. La mise en place de stratégie de sécurité au sein du parc informatique. La mise en place d un système de gestion et de dépannage de parc informatique. La mise en place d un serveur Linux avec des services FTP et WEB. 3

5 Planning prévisionnel 4

6 Solutions techniques Les serveurs Configuration du serveur hôte Hyper V : Nom : SRV-HYPERV01 Adresse IP : Services installés : Hyper-V Configuration du serveur hôte Hyper V (Secours) : Nom : SRV-HYPERV02 Adresse IP : Services installés : Hyper-V Configuration du serveur Active Directory: Nom: SRV-AD01 Adresse IP: Services installés : 1 Active directory 1 Serveur DHCP 1 Serveur DNS 1 Serveur de fichiers 1 Serveur d impression 1 Serveur DFS Configuration du deuxième serveur Active Directory : Le deuxième serveur répond à notre besoin d assurer une tolérance de panne. Le serveur SRV-02 prendra le relais en cas de panne du premier serveur. Les deux serveurs doivent donc avoir les mêmes services installés et être identiques d un point de vu matériel. Nom: SRV-AD02 Adresse IP: Mêmes services que SRV-AD01 5

7 Configuration du serveur Ubuntu : Nom : SRV-WEB01 Adresse IP : Services installés : Apache/MySQL Samba NFS Plan d adressage Pour rappel, le plan d adressage ci-dessous avait été présenté lors du déménagement du parc informatique. Périphérique Début de la plage Fin de la plage Serveurs Imprimantes Périphériques réseaux Postes de travail DHCP Postes de travail DHCP Virtualisation Qu est-ce que la virtualisation La virtualisation consiste à utiliser des moyens techniques (matériels et/ou logiciels) afin de faire fonctionner sur une seule machine plusieurs systèmes d exploitation ou plusieurs applications, séparément les uns des autres, comme s ils fonctionnaient sur des machines physiques distinctes. Les avantages de la virtualisation Les performances des équipements informatiques n ont cessé d évoluer pour atteindre aujourd hui une puissance extraordinaire. Les applications proposées de nos jours ont besoin de beaucoup de ressources mais n utilisent qu une petite partie du potentiel de certains serveurs. Selon Microsoft, il est souvent possible de regrouper jusqu à 5 serveurs sur une seule machine sans perte de performances. La virtualisation apporte donc de nombreux avantages Elle permet de diminuer le nombre de machines physiques, ce qui entraine un retour sur investissement intéressant. 6

8 En termes d espace nécessaire, un serveur capable de faire fonctionner différents systèmes d exploitation sur une seule machine réduit en moyenne de moitié l espace réservé aux serveurs dans une entreprise. En plus de cette réduction de place, la diminution du nombre de machines physiques entraine une réduction de la consommation électrique. Moins de machines veut dire moins de supports matériels (souvent très cher sur les serveurs, où la maintenance doit intervenir rapidement en cas de panne). La virtualisation permet une gestion simplifiée du parc serveurs. Les applications étaient autrefois étroitement liées aux serveurs sur lesquels elles s exécutaient. La technologie de virtualisation permet de séparer la partie matérielle physique et les parties logicielles, elle permet l exécution et la cohabitation de plusieurs serveurs bien distincts sur une même machine. La virtualisation permet de réduire le temps et le coût souvent élevé consacré à l administration des serveurs. La gestion du parc est plus facile, ce qui allège la charge des administrateurs. Elle simplifie la mise en place de plateformes de test ou de production en réduisant le temps de mise à disposition d un serveur. Enfin, elle augmente la disponibilité des serveurs avec une reprise d activité plus rapide que pour une machine physique. Nous pouvons ajouter à ces caractéristiques un réseau plus sécurisé. En effet, la machine hébergeant les systèmes virtuels n est pas visible par l attaquant. Les contraintes de la virtualisation Malgré tous ces avantages, se lancer dans la virtualisation sans y avoir bien réfléchi, sans études et surtout sans plan de reprise d activité (PRA) peut être fatal à votre système d information. La mise en œuvre de la virtualisation induit une complexité de gestion et apporte son lot de risques inhérents au «tout virtuel». C est une autre façon d organiser son parc informatique, qui peut demander un temps d adaptation. La virtualisation masque souvent l origine des pannes, notamment grâce aux fonctionnalités automatiques de répartition de charge, qui rendent les pannes quasiment invisibles, puisque le système continue de fonctionner quoi qu il arrive. Mais si une panne plus importante survient, il devient alors très difficile pour l administrateur de la localiser. Enfin, si la machine qui héberge tous les OS s arrête ou si la montée en charge d une application est flagrante, la situation peut devenir catastrophique. Pour une virtualisation redondante il est donc capital de dupliquer les machines virtuelles. Dans tous les cas la virtualisation n est pas à prendre à la légère et doit être mûrement réfléchie. 7

9 Le choix d Hyper-V Malgré l hégémonie de VMware sur le marché, Hyper-V a su rattraper son handicap et s est hissé au même rang que les autres solutions de virtualisation. Nouveau et innovant, les avantages d Hyper-V nous ont séduits à l élaboration de notre projet, notamment : Un avantage financier : solution intégrée à Windows server 2012 R2 Datacenter. Un avantage technique : environnement Windows transparent et totalement fonctionnel. 8

10 Windows Server 2012 R2 Serveur de fichiers Un serveur de fichiers fournit un emplacement central sur votre réseau où vous pouvez stocker et partager des fichiers avec des utilisateurs de votre réseau. Lorsque les utilisateurs ont besoin d'un fichier important (un plan de projet, par exemple), ils peuvent accéder au fichier sur le serveur de fichiers au lieu de devoir transférer le fichier entre les ordinateurs individuels. Le cahier des charges demandait la mise en place de quotas (5Go d espace disque) ainsi que d une alerte informant les utilisateurs en cas de dépassement. De plus, il fallait mettre en place 2 audits aléatoires à planifier pour détecter les intrusions et les erreurs dans les lecteurs. Ces différents paramétrages sont disponibles en annexe. Serveur d impression Nous possédons 8 imprimantes reparties sur les différents services. Certains services ont un besoin plus important par rapport à d autres, la création de plusieurs adresses IP est nécessaire avec pour chacune une mise en place de priorité d impression. Les horaires d ouverture et d impression pour chaque service seront eux aussi définis en fonction de l adresse IP appliquée à chaque service. Toutes ses restrictions seront appliquées par GPO. Serveur DFS Le but d implémenter un rôle DFS au domaine est de créer un point de mise à disposition des données utilisateurs redondant entre plusieurs serveurs synchronisés sans divulguer les noms des serveurs impliqués. On aura donc une arborescence unique et organisée directement depuis une adresse unique. Cela simplifie l'administration. Si un serveur n'est plus disponible, on peut déplacer le lien DFS vers un autre dossier, les utilisateurs ne verront pas de différence puisque le nom de partage (racine DFS) restera inchangé malgré cette redirection. Il permet aussi de mettre en œuvre l'équilibrage de charge 9

11 et la tolérance de panne puisqu'il est possible de créer des liens redondants à partir de serveurs multiples. Serveur DNS Un serveur DNS assure la résolution de noms des réseaux TCP/IP. Il permet aux utilisateurs d ordinateurs clients d utiliser des noms à la place des adresses IP numériques pour identifier les hôtes distants. Un ordinateur client envoie le nom d un hôte distant à un serveur DNS, lequel répond avec l adresse IP correspondante. En gros, le serveur DNS met en place une table regroupant le nom de l ordinateur associé à son adresse IP. Le serveur DNS est automatiquement répliqué en même temps que l Active Directory. 10

12 Serveur DHCP Les serveurs DHCP gèrent de façon centralisée les adresses IP, les informations associées et les fournissent automatiquement aux clients. Cela nous permet de configurer les paramètres réseau clients sur un serveur, au lieu de les configurer sur chaque poste. Pour la tolérance au panne, nous avons mis en place une étendue fractionnée : Lors de la configuration, nous avons défini quel serveur avait le rôle de DHPC. Nous avons réparti les charges entre ces deux serveurs et défini une plage d adresse IP. Dans le cas où un serveur tombe en panne le deuxième serveur prendra le relai avec la plage qu on lui a défini pour éviter tout conflit d adressage IP. Nous avons mis en place des adresses IP dynamiques pour les adresses situées de à La configuration du rôle et la redondance mise en place sont disponibles en annexe. 11

13 Windows Active Directory Présentation d Active Directory Active Directory est le nom du service d'annuaire de Microsoft, basé sur les standards TCP/IP : DNS, LDAP, etc. Il référence les utilisateurs (nom, prénom, numéro de téléphone, etc.) à l aide d attributs. Il permet également de répertorier toute sorte d'objets, dont les serveurs, les imprimantes, les applications, etc. Active Directory permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l'architecture réseau et permet à un utilisateur de retrouver et d'accéder à n'importe quelle ressource identifiée par ce service (par exemple ouvrir une session Windows). Il constitue également un outil d'administration et de gestion du réseau. Il fournit à ce titre des outils permettant de gérer la répartition de l'annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l'annuaire de l'entreprise. La structure d'active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites. 12

14 Architecture du domaine Pour la gestion des utilisateurs, nous avons choisi de mettre en place un Active Directory sous Windows Server 2012 R2 Datacenter. L organisation des utilisateurs et groupes de sécurité et de diffusion se feront sous une unité d organisation principale (Personnel) suivie par des sous-unités d organisation répertoriant les différents services de l entreprise. Pour l application des droits individuels à chaque utilisateur, nous allons créer les groupes de sécurité par service et par responsable de service. Comme cela, nous pourrons ajouter ou non les différents utilisateurs pour l accès au dossier de partage disponible sur nos serveurs de fichiers. Ces méthodes permettent une gestion simplifiée de création et de modification des utilisateurs. Unité d organisation et groupe de sécurité disponible sur l Active Directory. Pour la gestion des utilisateurs, nous avons choisi de regrouper tous les utilisateurs ayant une fonction administrative (c est-à-dire les services informatique, financier, direction etc.) dans la même UO baptisée «Administratif». Nous séparons les autres services en trois sous-unités d organisation «Produit A», «Produit B» et «Service Après-Vente». 13

15 Stratégies de groupe Une stratégie de groupe (ou GPO) est une fonction disponible sur l Active Directory de Windows. Les GPO sont utilisées pour restreindre certaines actions aux utilisateurs comme par exemple l interdiction d installer un logiciel ou l impossibilité de mettre en route «Windows Installer» Certaines stratégies de groupes peuvent aussi servir au déploiement de certaines ressources au sein du parc informatique telles que les imprimantes par exemple. Toutes les GPO mises en place s appliquent automatiquement à l ouverture de la session d un utilisateur. Voici les stratégies de groupe que nous avons mises en place sur le domaine corp.metlan : La désactivation des lecteurs pour les services produit A et B Cette GPO empêche la connexion de tous lecteurs extérieurs tels que les clés USB, CD-ROM et autres périphériques amovibles. 14

16 La connexion d un dossier personnel pour chaque utilisateur Cette GPO fonctionne sous forme d un script activé à chaque démarrage de la session. L interdiction d installation de logiciel par les utilisateurs n appartenant pas au service de la direction et du service informatique 15

17 Limitation horaires des connexions Les connexions réseau limitées en fonction de l heure pour certains utilisateurs se feront en deux paramétrages. Le premier se fera lors de la création du compte de l utilisateur en appliquant des restrictions horaires. Le deuxième paramétrage se fera par une GPO interdisant l accès au réseau après 19 heures. 16

18 Ajout des imprimantes sur le poste utilisateur Celles-ci seront mise en place sur les sessions des utilisateurs par une GPO différente pour chacun des utilisateurs.. Accès distant La prise en main des postes se fera à distance avec l activation par GPO de l assistance à distance, option disponible sur Windows. La GPO active l assistance à distance sur le poste ainsi qu une règle du firewall. 17

19 Planification d un audit Nous nous rendons dans configuration ordinateur -> paramètres Windows -> paramètres de sécurité -> stratégie locale. Nous décidons de planifier les audits d accès aux annuaires et aux objets ainsi que l utilisation des privilèges. Puis nous définissons les paramètres stratégie de l audit : 18

20 Un peu en dessous nous pouvons configurer les journaux et leur durée : Nous configurons l intervalle de remplacement des journaux grâce à cette boite de dialogue : 19

21 Restriction horaire Comme précisé dans le cahier des charges, certains utilisateurs se verront affecter des horaires d ouverture de leur session sur le réseau. La GPO de limitation horaire citée plus haut accompagnera ces restrictions pour empêcher l ouverture de session après 19h. 20

22 Linux Ubuntu Pourquoi Ubuntu Pour le serveur Linux, notre choix s est tourné vers Ubuntu LTS. Il s agit de la version Long Term Support (support maintenu pendant 5ans) de cette distribution dérivée de Debian. Notre premier choix s était justement porté sur Debian pour sa modularité et sa simplicité mais nous avons rencontré des problèmes techniques et pratiques qui nous ont fait pencher vers Ubuntu, version un peu plus assistée par rapport à Debian mais qui conserve les avantages qu on lui connait. Avantages 100 % Libre Communauté très active Assistance (LTS) Facilité de prise en main Intégration des paquets Facilité des mises à jour Gestion de nombreuses architectures et noyaux Transparence Durée de vie et stabilité Sécurité Très peu gourmand en ressources Inconvénients Manque de logiciels commerciaux Manque de programmes de bureautiques Configuration de certains matériels compliqués Tous les matériels ne sont pas supportés (fabricants ne rendent pas disponibles les spécifications). Pour la distribution Linux, nous n avons pas mis en place de tolérance de panne mais avons préféré mettre en place de la haute disponibilité comme sur le serveur Active Directory (SRV-AD01). En plus de cela, nous avons mis un plan de sauvegarde pour effectuer la sauvegarde des données sur le serveur Linux afin d avoir une sauvegarde extérieure au site mais aussi de pouvoir réinstaller dans les meilleurs délais ce serveur en cas d arrêt de productivité Serveur FTP Le serveur FTP (File Transfer Protocol) permet de transférer des fichiers par le biais d'un réseau informatique local Toute personne ayant l'autorisation, peut télécharger et envoyer des fichiers sur un ordinateur distant faisant fonctionner un serveur. Dans le cas de notre projet évolution, nous avons mis en place un serveur FTP sécurisé et anonyme. 21

23 Serveur Web (Apache/MySQL) Un serveur web est un logiciel permettant à des clients d'accéder à des pages web, c'est-à-dire des fichiers au format HTML à partir d'un navigateur installé sur leur poste informatique. Un serveur web est donc un simple logiciel capable d'interpréter les requêtes HTTP arrivant sur le port associé à ce protocole (par défaut le port 80), et de fournir une réponse avec ce même protocole. Nous avons choisi la solution Apache, le serveur HTTP le plus populaire d Internet. Vu que nous avons fait notre site en PHP (un autre langage web), nous avons installé sur le serveur un complément pour comprendre celui-ci. Nous l avons associé à une base MySQL pour stocker des informations telles que les caractéristiques des ordinateurs pour la gestion du parc informatique. Enfin, nous avons ajouté sur le serveur phpmyadmin, une interface permettant de gérer et monitorer notre base de données MySQL. Ces différents paquets constituent LAMP, dont l acronyme est expliqué plus haut. Serveur Samba Ce serveur permet d intégrer dans une distribution linux la possibilité de naviguer dans des dossiers partagés Windows. Cela nous permet d accéder aux dossiers communs ou personnels de l entreprise. Il a aussi un but important pour la sauvegarde des données, il nous permet de stocker l ensemble des informations linux sur le SAN (Centralisation des fichiers). Voir procédure en annexe 22

24 Serveur NFS NFS permet à un système de partager des répertoires et des fichiers avec d'autres systèmes par l'intermédiaire d'un réseau. En utilisant NFS, les utilisateurs et les programmes peuvent accéder aux fichiers sur des systèmes distants comme s'ils étaient des fichiers locaux. Certains des avantages les plus remarquables offerts par NFS sont : Les stations de travail utilisent moins d'espace disque en local parce que les données utilisées en commun peuvent être stockées sur une seule machine tout en restant accessibles aux autres machines sur le réseau. Les utilisateurs n'ont pas besoin d'avoir un répertoire personnel sur chaque machine du réseau. Les répertoires personnels pourront se trouver sur le serveur NFS et seront disponibles par l'intermédiaire du réseau. Les périphériques de stockage comme les clés USB ou les disques durs externes peuvent être utilisés par d'autres machines sur le réseau. Cela pourra réduire le nombre de lecteurs de medias amovibles sur le réseau. 23

25 Programmation Site PHP: Gestion de parc informatique Une modification dans le cahier des charges nous a amené à mettre en place un site PHP/MySQL afin d avoir une gestion de parc pour gérer les incidents et l inventaire du parc informatique. PHP est un langage de programmation utilisé sur de nombreux serveurs pour prendre des décisions. C'est PHP qui décide du code HTML qui sera généré et envoyé au client à chaque fois. De son coté, MySQL permet d enregistrer la liste des postes, utilisateurs et matériels dans une base de données. La procédure de programmation ainsi que les screenshots sont disponibles en annexe. PowerShell Windows PowerShell est une interface en ligne de commande et un langage de script développé par Microsoft. Il est inclus dans Windows 7, l ensemble des machines de notre parc. Nous avons choisi ce langage car il est entièrement compatible avec nos machines à l exception des 3 machines linux (deux clients et un serveur). Il permet aussi d automatiser des taches afin d améliorer la gestion de l ensemble des serveurs. Nous avons mis en place différents scripts en PowerShell (voir en annexe) : Création des utilisateurs par lot avec création d un dossier personnel avec droits NTFS. Désactivation du compte d un utilisateur après 90 jours d inactivité Lister les membres d un groupe d utilisateurs dans l AD Lancer une commande ping vers tous les ordinateurs répertoriés dans l AD et exporter les logs dans une feuille Excel. 24

26 25

27 Securité Dans une entreprise, d un point de vue informatique, la sécurisation des données mais aussi la confidentialité des clients et des employés est primordiale. Il existe 3 types de sécurités (logicielle, physique et adaptée). Sécurité logicielle Sécurité des mots de passe Nous avons choisi de définir des stratégies de mot de passe affinées dans la console «Password Settings Container» proposée par Microsoft. Les options disponibles dans la console PSO ci-dessous s appliquent comme une GPO sur tous les utilisateurs connectés sur le réseau corp.metlan. Nous avons choisi de les paramétrer de la manière suivante, de façon à répondre aux exigences de complexité définies dans le cahier des charges. 26

28 N.B : la notion de protection des mots de passe coté base de données est abordée dans la partie programmation en annexe. Sécurité physique L accès aux locaux sensibles, tels que les salles hébergeant les serveurs et les éléments du réseau, doit être limité au personnel habilité. Ces locaux doivent faire l objet d une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d accès par badges nominatifs, etc. Le responsable informatique doit veiller à ce que les documentations techniques, plans d adressages réseau, contrats, etc., soient eux aussi protégés. Sécurité adaptée Charte informatique Nous avons mis en place une charte informatique présentée dans le projet SAS, en complément du règlement intérieur, afin de faire connaitre aux personnes connectées à notre réseau les règles au sein de la société concernant l utilisation de l outil informatique, que ce soit en matière d utilisation, de sécurité, d information sur les responsables informatiques ainsi que les peines encourues en cas de non-respect de celle-ci. Formation Central-MET Pour la mise en place d un tout nouveau système de gestion de ticket et d actualité au sein de l entreprise, nous mettons en place des petits modules de formation pour l utilisation de notre nouveau site intranet afin d accompagner les utilisateurs sur ce nouvel outil. 27

29 Annexes Virtualisation Mise en place d Hyper-V 28

30 29

31 30

32 31

33 32

34 33

35 Windows Server 2012 R2 Serveur de fichiers Afin de créer notre serveur de fichiers, nous utiliserons la fonction partage du rôle de serveur de fichier. On choisit tout d abord le type de partage. Nous choisissons le partage SMB car nous considérons que c est le plus adapté pour un parc constitué principalement d ordinateur sous Windows, comme c est le cas du nôtre. 34

36 Nous choisissons SRVAD-01 comme serveur de fichiers. Il aura donc les rôles d Active Directory, de DNS, de DHCP et de serveur de fichier. 35

37 Nous choisissons un nom pour notre partage que nous accompagnons d une brève description : Dans la boite de dialogue suivante, on pense bien à cocher «activer l énumération basée sur l accès». C est cette option qui nous permettra de cacher les dossiers personnels aux utilisateurs qui n y ont pas accès. 36

38 Nous désactivons l héritage car nous voulons définir des règles spécifiques pour chaque dossier que nous créerons. Il faut en effet un dossier pour chaque utilisateur auquel il doit être le seul lui-même, l informatique et la direction peuvent avoir accès (seulement lire pour la direction) 37

39 Pour la direction nous choisissons uniquement l autorisation en lecture : On nous dit que l informatique doit avoir accès aux dossiers personnels : on adapte donc les droits en conséquence : 38

40 Il ne nous reste plus qu à créer le partage : Pour ce qui est des droits personnels, nous avons décidé de nous aider d un script PowerShell. Nous détaillerons chaque ligne de ce script afin de bien comprendre l incidence de chaque commande : Voici le script PowerShell pour définir les droits d accès au dossier du partage #On importe le module Active Directory Import-Module ActiveDirectory -Cmdlet Get-ADGroup, Get-ADGroupMember, Get-ADUser #On définit une variable qui est la destination de création des dossiers $homedir = "C:\Shares\Partage" #On cherche tous les groupes dans l'unité d organisation personnel $group = Get-ADGroup -filter * -SearchBase 'OU=Personnel,DC=corp,DC=metlan' 39

41 #On parcourt tous les groupes. La variable $G correspond à un groupe ForEach ($group in $groups) { #On définit une variable qui sera le chemin d'accès au dossier $Dossier_GP = New-Item -Path $homedir -Name $group.name -ItemType "Directory" #On définit les droits sur le dossier $Droits = [System.Security.AccessControl.FileSystemRights]"FullControl,Modify,ReadAndExecute,ListDirectory, Read,Write" #Ensuite on parcourt les membres du groupe $Members = $group Get-ADGroupMember #Groupedir est le nom du dossier $Groupedir = $homedir+"\"+$group.name #La variable $M est un membre du groupe # ForEach ($M in $Members) { #Memberdossier est le chemin d'acces du dossier du membre $Memberdossier = $homedir+"\"+$group.name+"\"+$m.name #On new-item permet de créer le dossier dans le groupe dire avec le nom de l'utilisateur (M.name) $Dossier_Perso = New-Item -Path $Groupedir -Name $M.name -ItemType "Directory" #il faut extrait le CN grâce à une expression régulière $CN = ("$M" -split ',*..=')[1] #a partir du CN on extrait le login de l utilisateur $accountname = Get-ADUser -Filter { CN -eq $CN } Select samaccountname #domainlogin correspond aux identifiants de l'user $domainlogin = "corp.metlan\"+$accountname.samaccountname #on définit la permission pour l utilisateur $permission = "$domainlogin","fullcontrol","allow" #On definit la regle sur le dossier $regle = new-object System.Security.AccessControl.FileSystemAccessRule $permission 40

42 # on recupere les droits d acces en question $acl = Get-Acl $Memberdossier #puis on applique la regle $acl.setaccessrule($regle) $acl Set-Acl $Memberdossier } # -- Fin de la boucle des membres ($M in $Members) } # -- Fin de la boucle des groupes ($group in $groups) 41

43 Serveur DHCP Installation du rôle Afin d utiliser le DHCP, il faut tout d abord installer le rôle correspondant : L assistant nous rappelle le rôle et le fonctionnement du serveur DCHP de manière très précise : 42

44 Il faut bien penser à terminer la configuration du DHCP : On utilisera le compte administrateur pour autoriser le DHCP sur Active Directory : 43

45 44

46 Grâce au résumé, on s assure que tout s est bien passé : L étendue concernera les postes de travail et s étendra de à On définit la nouvelle étendue : 45

47 Nous avons choisi un plan d adressage où les périphériques qui ont besoin d une adresse fixe (serveurs, imprimantes) sont au début de notre plage et ne sont donc pas dans notre étendue. Nous n ajoutons donc pas de zone d exclusion pour l instant : Nous choisissons alors la durée du bail. Nous choisissons une durée de 8 jours car cette étendue est réservée aux postes de notre entreprise qui auront une adresse réservée. Il n y aura donc pas de problème d adresses bloquées par le DHCP et qui ne pourront pas être allouées à d autres clients : Nous voulons configurer la passerelle défaut tout de suite pour que nos clients aient accès à Internet : 46

48 Pour la passerelle par défaut nous entrons l adresse IP de notre passerelle par défaut, : Nous définissons ensuite les serveurs DNS qui sont SRV-AD01 et SRV-AD02 : Enfin, nous activons l étendue tout de suite : 47

49 Configurer le basculement (redondance) Nous choisissons comme serveur partenaire SRV-AD02 : 48

50 Nous choisissons une répartition de charge de 80/20 avec 80% pour SRV-AD01 et 20% pour SRV-AD01, qui est la règle préconisée par TechNet (source : Le but est donc d éviter que SRV-AD01 soit surchargé en attribuant une partie de la charge à son serveur partenaire. La réservation La réservation consiste à donner une adresse en fonction de l adresse MAC qui identifie un poste de travail. Pour effectuer une réservation, on fait un clic droit sur Réservation puis nous choisissons Nouvelle réservation 49

51 Voici par exemple en quoi consiste la réservation de PR01. Nous choisissons donc une adresse de notre plage. Nous rentrons aussi son adresse MAC ainsi qu une description. Serveur NTP Nous avons mis en place sur le deuxième contrôleur de domaine SRV-AD02 un serveur de temps (Serveur NTP) accompagné d une stratégie de groupe interdisant la modification de l horloge système.. Le serveur NTP s installe avec deux commandes PowerShell. La première «w32tm /config /manualpeerlist :fr.pool.ntp.org /syncformflags :manual» active le service NTP disponible sur le serveur. 50

52 La secondes «restart-service w32time» redémarre le service pour une bonne application des modifications. 51

53 Tolérance de panne Pour permettre une tolérance de panne de SRV-AD01 nous décidons de créer une réplication DFS avec SRV-AD02. Pour cela, nous installons les rôles de réplication DFS et d espace de nom : Ensuite, dans le menu Démarrer->Outils d administration on clique sur Gestion du système de fichiers distribués 52

54 On clique alors sur «Réplication»-> «nouveau groupe de réplication» : On choisit alors un groupe de réplication «multi-usage» puisque nous ne voulons pas collecter des données mais bien répliquer deux dossiers : 53

55 On choisit ensuite les deux serveurs que nous utiliserons pour cette réplication : SRV-AD01 ET SRV- AD02 : 54

56 Dans la boîte de dialogue suivante, nous choisissons la topologie en maille pleine puisque nous n avons que deux serveurs et que nous ne voulons pas créer notre propre topologie : On nous demande alors si nous souhaitons répliquer en continu ou si nous souhaitons ne répliquer qu à des heures déterminées. 55

57 Nous pensons qu il est préférable de répliquer au moins une fois par jour mais non en temps réel. En effet, la réplication prend du temps et de la bande passante. Or, nous disposons de ses deux ressources la nuit. A contrario, une réplication de jour risquerait de troubler le travail des employés en consommant de la bande passante. Il y aussi la possibilité de n accorder qu une petite partie de la bande passante à la réplication. Mais nous pensons dans ce cas qu elle sera lente et donc moins efficace qu une réplication de nuit avec un haut débit. Nous choisissons une réplication qui aura lieu de 20h à6h 56

58 Nous choisissons comme membre principal SRV-AD01. C est en effet notre serveur d autorité pour ce qui concerne l Active Directory, nous avons donc pensé qu il serait logique qu il le soit aussi pour la réplication : Nous choisissons donc le dossier Partage de SRV-AD01 comme dossier à répliquer : 57

59 On utilisera le dossier C:\Shares\Partage comme dossier à répliquer sur SRV-AD02 : Il ne nous reste plus qu à créer : 58

60 Il faut ensuite créer un espace de noms. Cet espace de noms nous permettra de créer un chemin qui pointera à la fois vers srv-ad01 et srv-ad02. Donc, si un des serveurs tombe en panne, l autre pourra prendre le relais sans que les utilisateurs aient à changer leurs chemins d accès. Le serveur qui hébergera l espace de nom sera SRV-AD01 : Nous devons alors choisir un nom. Nous avons décidé d utiliser «etm share» 59

61 Nous choisissons un espace de nom de domaine. Notamment pour simplifier d éventuels changements de nom de serveur : La création d espace de noms a réussi. 60

62 Ensuite, à l intérieur de l espace de noms nous ajoutons les dossiers cibles. Ici se sont les dossiers de Partage répliqués sur srv-ad01 et srv-ad02 : On vérifie ensuite que l adresse \\corp.metlan\metshare pointe bien vers l espace personnel dédié : 61

63 Cela fonctionne. Il y a donc tolérance de panne puisque si un des deux serveurs répliqués tombent en panne l autre prendra le relais. Ensuite, on choisit une cible pour le dossier : Audits Afin d ajouter un audit il faut aller sur le Partage->Autorisations->Personnaliser les autorisations : Nous pouvons ajouter un audit pour un utilisateur : Ou pour un groupe : 62

64 Quotas Pour limiter la taille des fichiers par utilisateur sur le partage il faut définir des quotas. Pour cela, nous devons ajouter le rôle de gestionnaire des ressources serveur : 63

65 Le cahier des charges nous demande un quota de 5Go par utilisateurs. Cette limite n est pas disponible dans les modèles de quota prédéfinis. On définit un nom et on décrit notre quota : 64

66 Puis on définit un mail personnalisé en cas d approche du seuil : Nous définissions aussi un seuil pour 95% : 65

67 Puis un autre à 100% : Puis on utilise ce modèle de quota pour notre partage : 66

68 Une fois ce modèle de quota choisi, chaque utilisateur ne pourra pas utiliser plus de 5Go sur le disque et recevra un mail personnalisé en cas de dépassement. Ensuite, il faut bien s assurer que notre réplication du partage de dossier est bien dans l espace de noms : 67

69 Linux Ubuntu Serveur Samba Après avoir mis à jour les derniers packages de notre serveur Linux, il nous faut installer certains paquets à l aide de la commande suivante : apt-get install ntp krb5-user samba cifs-utils smbclient winbind Note : le paquet autrefois appelé smbfs est maintenant obsolète, il est remplacé par le paquet cifsutils Configuration de la source NTP Le serveur doit être synchronisé en continu avec Active Directory et il se peut qu au fur et à mesure, l horloge de chaque système dérive, jusqu à créer un véritable décalage de temps, ce qui peut devenir rapidement critique dans certaines situations (et particulièrement avec Kerberos) ; c est pourquoi nous allons synchroniser notre machine Linux avec notre serveur NTP situé sur SRV-AD02. Il faut éditer /etc/ntp.conf: server Configuration du serveur DNS On édite /etc/network/interfaces et on change l adresse du DNS pour le faire pointer vers notre serveur (ici SRV-AD01) # /etc/network/interfaces iface eth0 inet static address netmask gateway dns-nameservers On édite ensuite /etc/resolv.conf # /etc/resolv.conf nameserver search corp.metlan 68

70 Configuration Kerberos Il faut configurer Kerberos afin que la machine obtienne un ticket d authentification délivré par l AD. On édite /etc/krb5.conf : On teste ensuite Kerberos à l aide la commande suivante kinit admnistrateur@corp.metlan Et on vérifie ensuite la bonne création du ticket avec klist : 69

71 Configuration de nsswitch nsswitch est utilisé pour indiquer au système que les utilisateurs d'active Directory sont également des utilisateurs valides. Nous allons le configurer pour qu'il accepte également les utilisateurs winbind, ce que fait Samba après qu'il ait été lié au domaine. Editons /etc/nsswitch.conf 70

72 Configuration de Samba Il faut éditer/etc/samba/smb.conf Et redémarrer les services associés pour appliquer les changements à l aide des commandes suivantes : /etc/init.d/winbind restart /etc/init.d/nmbd restart /etc/init.d/smbd restart Rejoindre le domaine Nous avons déjà notre ticket Kerberos, nous pouvons donc rejoindre le domaine : net ads join -U administrateur On rentre le mot de passe pour administrateur@corp.metlan Création des partages Il faut désormais créer les partages dans les différents services, ici produita et produitb, par exemple. mkdir -p /sharing/{produita,produitb} chmod -R 0770 /sharing/ chgrp -R "Domain Users" /sharing/ 71

73 On ajoute ensuite les partages dans le smb.conf : On redémarre samba une dernière fois : /etc/init.d/smbd restart 72

74 Programmation Site PHP : Gestion de parc informatique Service HTTP On nous a demandé de mettre en place une application qui nous permettrait de visualiser les caractéristiques techniques et logicielles des autres machines du parc informatique. Pour cela on nous a demandé d utiliser PHP et MySQL. PHP un langage de programmation qui s interprète côté serveur, comme nous pouvons le voir dans la figure suivante : Un navigateur web n est donc pas capable d interpréter du code PHP à l inverse du HTML ou du Javascript. C est la raison pour laquelle nous avons décidé de mettre en place un serveur Apache monté sur une machine Linux. De plus, notre responsable Linux, M. LINANT avait une expérience significative de l installation et de l utilisation de cet outil ce qui a été déterminant dans notre choix. Mise en place de la base de données On pourrait penser qu on peut tout de suite se mettre à programmer en PHP puisque l organisation de la base de données suivra. C est en fait tout l inverse. En effet, si la base de données est mal organisée, de nombreux problèmes pourront se poser et il sera impossible de récupérer ses erreurs par le code PHP. Afin d organiser au mieux notre base de données, nous allons tout d abord réfléchir aux besoins de notre entreprise en les récapitulant. Pour chaque poste, certaines informations sont requises par le cahier des charges : les noms et prénoms des utilisateurs, le nom du local dans lequel il est situé, les caractéristiques de l unité centrale, la liste des écrans associés au poste, la liste des imprimantes associées au poste etc. 73

75 De plus, il faut pouvoir enregistrer/modifier/supprimer des utilisateurs, des locaux, des écrans et des imprimantes. Nous avons tout d abord pensé que nous avions besoin uniquement des tables suivantes : - une pour les utilisateurs - -une pour les locaux - -une pour les écrans - -une pour les imprimantes - -une pour les postes Cependant, nous nous sommes rendu compte que cela pourrait poser des problèmes au niveau de l intégrité des données. Nous voudrions ici exposer le cheminement de notre raisonnement. Nous nous sommes tout d abord penchés sur la table utilisateur. Cependant, nous nous sommes vite rendus-compte qu il pourrait y avoir des problèmes, notamment en raison de l évolution possible de notre entreprise. Créer une base de données Pour créer une base de données, nous utiliserons l outil de gestion de base de données MySQL phpmyadmin. Nous créons en premier la base de données qui contiendra les tables utilisateurs, imprimantes, locaux, écrans et UC. 74

76 Nous précisions alors les noms des colonnes. Pour la table utilisateur, il s agit des colonnes «prénom», «nom» et «id_employe» Nous répétons ces trois étapes pour les locaux, les écrans, les imprimantes, les postes et les UC. A la fin, nous nous retrouvons avec cinq tables qui nous permettront de stocker les informations demandées par le cahier des charges. Les utilisateurs : Les informations les plus importantes sur les utilisateurs sont le nom, le prénom ainsi que leur service respectif. Afin de respecter les exigences de la CNIL et de la loi informatique et libertés du 6 janvier 1978, nous ne stockerons pas de données personnelles qui n ont pas de rapport avec le but visé de répertorier le matériel informatique. Afin de respecter ces exigences, nous pensions au départ procéder selon la figure suivante (Figure 1) : Prénom Nom Service Sarah BEZIAT Produit A Josiane ELLA Produit A Mireille AYO Produit A Bérengère ACIEN Produit A Nicolas LINANT Informatique Etienne LAMOUR Informatique Mickaël FOSSO Informatique Marie-Claude LAPORTE SAV Amélie ADA Direction 75

77 Cependant, en pensant aux différentes possibles évolutions de l entreprise, nous avons identifié un problème. En effet, que se passerait-il si le nom d un service changeait? C est en effet probable dans notre entreprise qui développe des produits et dont les projets se renouvellent régulièrement. En base de données relationnelles, ce genre de questionnements qui mènent à une optimisation de la base de données porte un nom : la normalisation. La normalisation : La normalisation consiste à limiter le nombre de problèmes qui pourraient surgir en limitant le nombre de colonnes par table. Cette considération doit aussi prendre en compte les performances de l outil, c est-à-dire le délai de réponse de la base de données. Celui-ci peut considérablement augmenter si la normalisation est poussée à outrance. Cependant, ce problème survient surtout pour les bases de données qui gèrent des millions d utilisateurs. Puisque nous sommes une entreprise de taille modeste, les délais de réalisation ne seront augmenté que marginalement. Or, comme nous allons le voir, la normalisation pourra nous faire gagner énormément de temps. En ce qui concerne la table utilisateurs, il n est pas optimal d y définir une colonne «nom service». En effet, si le nom du service «produit A» change, il faudrait le changer à la main sur les quatre lignes de la Figure 1. Cela pourrait être faisable s il s agissait uniquement de quatre lignes à changer mais cela deviendrait extrêmement chronophage si plusieurs noms de services changeaient simultanément ou s il y avait une restructuration profonde de l entreprise. En identifiant ce premier problème, nous avons donc déterminé le besoin d une table qui stockera le nom du département ainsi que d une autre qui enregistrera l appartenance de chaque employé à un service. Pour chaque table, nous définirons un ID qui nous servira de clé primaire, c est-à-dire une clé unique qui nous permet d identifier une entrée et ainsi de lier les tables entre elles, comme nous le verrons par la suite. Définir une clé primaire permet aussi de grands gains de performances. Il est en effet alors beaucoup plus facile à MySQL de trouver une entrée quand elle est clairement identifiée. Nous pouvons alors légitimement nous demander si attribuer un ID ne risque pas de compliquer la gestion de notre base de données. En effet, entrer à chaque fois l identifiant à la main peut être source d erreur et de frustration. Heureusement, MySQL propose une fonctionnalité très pratique. Il est possible de faire en sorte que l ID s auto-incrémente avec chaque entrée. En d autres termes, si la première entrée de la table employée est Madame BEZIAT, le moteur de base de données lui affectera un ID de 1. Quand nous entrerons un second employé dans la base, un ID de 2 lui sera affecté, sans action particulière requise de notre part. 76

78 77

79 Pour mieux comprendre, établissons deux tableaux qui expliquent l organisation des données choisie. Table Employe (Figure 2) Id_employe Prénom Nom 1 Sarah BEZIAT 2 Josiane ELLA 3 Mireille AYO 4 Bérengère ACIEN 5 Nicolas LINANT 6 Etienne LAMOUR 7 Mickaël FOSSO 8 Marie-Claude LAPORTE 9 Amélie ADA Maintenant que nous avons une table qui donne à chaque employé un ID unique il faut en faire de même pour les services. Table service (Figure 3) : ID_service Nom 1 Produit A 2 Produit B 3 SAV 4 Administratif 5 Informatique 6 Direction On peut alors mettre en place, la table qui nous donnera le service de chaque employé. Table Employe_Service (Figure 4): id_employe Id_service On peut identifier un problème avec la table «Employe_service». En effet, il est fortement recommandé d avoir une clé primaire pour chaque table. Or dans cette table, il n y a pas d ID clairement défini. Nous allons voir tout de suite pourquoi. 78

80 La clé primaire composite On pourrait penser à définir une clé primaire qui s auto-incrémenterait mais cette solution n est pas optimale. En effet, on pourrait se retrouver avec des entrées dupliquées comme l exemple suivant : id Id_employe Id_service Pour remédier à ce problème, il nous faut introduire la notion de clé primaire composite. Nous pouvons ainsi choisir l association id_employe/id_service comme clé primaire. Cette association est unique puisqu il n y a, par définition, qu un seul ID par employé et par service. Pour cela, deux solutions : - Taper en code MySQL la requête suivante : ALTER TABLE `employe_service`add PRIMARY KEY( `id_employe`, `service`); - dans phpmyadmin, on sélectionne les deux colonnes qui nous intéressent puis on sélectionne Primaire dans le menu horizontal Pour la sélection Cette table nous permet donc de préserver l intégrité de notre base de données en évitant les doublons et en limitant les modifications à effectuer quand une rangée de notre change. Après avoir établi les tables précédentes, nous sommes allés plus loin et nous nous sommes demandés s il était possible d aller plus loin et que les modifications puissent se répercuter automatiquement. Nous avons alors découvert le principe de clé étrangère. La notion de «foreign key» Pourquoi établir une clé étrangère? Prenons l exemple de Madame Ayo. Elle est dans le service A. 79

81 La table Employe_service indique donc : Id_employe Id_service 1 1 Qu adviendra-t-il de cette association si Madame AYO quitte la société ou si un service est supprimé? Nous risquons alors de briser l intégrité de notre base de données. En effet, si l employé n est plus là cette ligne ne correspondra plus à un salarié de l entreprise. En outre, si l employé est toujours là mais que le service est supprimé ou que le salarié change de service cette ligne ne sera plus correcte. Il faut donc utiliser la notion de foreign key et de «CASCADE» pour que les changements effectués sur la première table soient prises en compte automatiquement dans la seconde. En choisissant une «foreign key» nous créons une relation de parent-enfant entre deux tables. Ainsi, tout changement sur la table parent sera répercuté sur les tables enfants. Il existe trois types de relations principaux entre tables parent enfant et parents : CASCADE : quand une entrée dans la table parent est supprimée les entrées correspondantes sont supprimées dans les tables enfant. RESTRICT et NO ACTION: on ne peut pas supprimer ou modifier une entrée faisant référence à une table parent dans une table enfant. Nous allons voir cet exemple par la suite. SET NULL : quand une entrée dans la table parent est supprimée, l entrée dans la table enfant est changée en NULL En sachant tout cela, nous avons décidé de déterminer une clé étrangère pour la colonne id_employe. Elle sera de type CASCADE. On se retrouve avec la table suivante : Id_employe (Foreign Key de la table Employe) Id_service 1 1 Puisque nous avons choisi l ID employé en foreign Key, cela veut dire que la table Employe devient la table parent de la table Employe_service. Ainsi, si on supprime un employé dans la table Employé, l entrée correspondante sera supprimée dans la table enfant Employe_Service. 80

82 Cela permet donc de ne pas avoir dans la table enfant de rangée dite «orpheline», c est-à-dire qui n a pas de parent. ID_service et clé étrangère On peut maintenant se poser la question, qu adviendra-t-il si un service est supprimé? On se retrouverait alors aussi avec des entrées orphelines. Cependant, le problème est un peu différent de la colonne Employe. On peut se permettre de supprimer directement une rangée quand l employé quitte l entreprise : en effet, cette entrée n a plus d intérêt puisque l employé est parti. Cependant, quand un service est supprimé, l employé peut rester dans l entreprise et devra donc être réaffecté. Supprimer l entrée n est donc pas la solution optimale. Nous avons donc choisi la solution RESTRICT. Ainsi, il ne sera pas possible de supprimer un service si un employé y est encore affecté. Cela empêchera donc toute suppression hâtive de service dans la base de données. Cela servira également de rappel, pour ne pas oublier les employés à réaffecter. C est un concept à utiliser dans toutes les tables qui font références à une clé primaire. Cela évitera à la fois d avoir des données corrompues et d avoir à supprimer ou modifier des dizaines de rangées en cas de suppression ou de modification d une rangée dans la table parent. Avantages et inconvénients Il serait très difficile, et inutile, pour un humain de connaître de mémoire les identifiants des services et des personnes. De plus, nous avons rajouté des tables. Ce qui augmente encore un peu la complexité de l ensemble. C est la raison pour laquelle l outil de gestion du parc informatique écrit en PHP sera indispensable à la manipulation de cette base de données. Avec la création de formulaires appropriés, la relative complexité des bases de données sera totalement cachée au gestionnaire. De plus, ce système permettra une gestion beaucoup plus simple. Prenons un exemple, si le service «Produit A» devenait service «Produit C», il faudrait modifier toutes les lignes des employés concernés par le changement (cela correspond à quatre lignes dans la Figure 1). Avec l organisation de la Figure 3, il ne faut plus changer qu une seule ligne. C est donc beaucoup moins de travail pour le service informatique et une organisation qui pourra aisément s adapter au changement. 81

83 Possibles difficultés On peut se demander si l auto-incrémentation de MySQL pourrait entraîner des corruptions de données. Par exemple, si on supprime une rangée qu advient-il des autres ID? ID Nom 1 Ayo 2 Beziat 3 Acien En fait, en MySQL, l auto-incrémentation se base sur la dernière insertion et ne prend pas en compte les suppressions et ne modifie pas les autres rangées. Donc dans notre exemple, on aurait : 1 Ayo 3 Acien 4 Ella Les imprimantes : Les imprimantes nous permettent d aborder un autre aspect de la normalisation. Il faut en effet stocker la marque, le modèle et le service auxquels elle est rattachée. On pourrait donc pencher pour cette organisation : ID Marque Modèle ID_SERVICE 1 Xerox Work Center Xerox ColorQube Xerox Color C Epson WorkForce AM-C Ricoh MP C3003SP 3 6 Xerox Work Center Mais un problème se poserait en cas de réorganisation de l entreprise. Imaginons qu un service produit C, dont l ID serait 9, soit créé et qu il partage l imprimante avec le produit B, dont l ID est 2. Puisque chaque ligne correspond à un ID unique la seule solution serait la suivante : ID Marque Modèle ID_SERVICE 1 Xerox Work Center Xerox ColorQube ,9 C est une solution qui n est pas optimale puisqu avoir plusieurs valeurs pour une seule colonne multiplie les risques d erreur. 82

84 De ce constat se dégage une règle cardinale de normalisation de la base de données : chaque information d une rangée doit directement dépendre de la clé primaire. Dans notre exemple, seules les informations dépendant de l imprimante (et dont l ID sera la clé primaire) devront se trouver dans la table. Pour faire la différence entre deux tables du même service, nous leur apposerons une étiquette à la réception avec leur ID. On se retrouve alors avec les deux tables suivantes : ID Marque Modèle 1 Xerox Work Center Xerox ColorQube Xerox Color C60 4 Epson WorkForce AM-C300 5 Ricoh MP C3003SP 6 Xerox Work Center 3225 Et : ID_IMPRIMANTE ID_SERVICE Avec cette configuration, deux services peuvent donc facilement partager une imprimante. On nous demande de pouvoir donner toutes les imprimantes liées à un poste. Comme vu plus haut, nous nous compliquerions grandement la vie en liant plusieurs unités centrales à une imprimante. ID Marque Modèle ID_UCS 1 Xerox Work Center 3225 [TR1,PR4,PR5] 2 Xerox ColorQube 8900 [TR2,PR3,PR8] 3 Xerox Color C60 [TR-12,PR-105,PR-105] 83

85 Il vaut donc mieux, comme les unités centrales, une table liant une UC à une imprimante avec une clé et en choisissant une clé primaire composite ID_UC+ID_IMPRIMANTES on s assure qu il n y aura pas de doublon dans la table. Table UC_IMPRIMANTES Id_UC ID_IMPRIMANTE Les unités centrales Les informations requises pour l unité centrale sont les caractéristiques telles que le disque dur, la RAM, les imprimantes, les écrans, l utilisateur et les locaux liés. En suivant les principes énoncés plus hauts, on n intègre dans la base de données des unités centrales que les informations directement dépendantes de l unité centrale concernée : ID Marque Modèle Type_UC HDD (en Go) RAM DATE 1 ASUS B551LA- CN032G 2 ACER E C TR /06/2014 TA /09/ ASUS N550JX- PR /05/2013 Les locaux Pour les locaux, nous devons connaitre deux informations : le nom du local et le service qui l utilise. Nous ferons donc un dictionnaire local et une table qui liera le local et le service. Les écrans Pour les écrans, il est important de connaitre leur marque, leur modèle, leur taille et l identifiant du poste auquel ils sont respectivement rattachés. 84

86 Voilà comment serait organisée la table : Id Ecran Marque Modèle Taille 1 Dell P2214H 21 2 Dell P2214H 21 3 Asus VS228DE 21 Le login et le mot de passe Nous devons aussi restreindre l accès de notre application de gestion de parc à l aide d un mot de passe. Il existe bien sûr des risques à sauvegarder un mot de passe dans une base de données. Si les mots de passes sont stockés en clair, c est-à-dire sans être chiffrés, un tiers en possession de la base de données pourra alors récupérer tous les mots de passes des employés de notre entreprise. En effet, il existe une technique qui s appelle l attaque par dictionnaire. Elle génère des mots de passe en combinant des chiffres, caractères spéciaux aux mots les plus courants. Cette attaque est si efficace qu un mot de passe simple, sans majuscules ni caractères spéciaux, peut être trouvé en quelques secondes. Puisque les personnes ont malheureusement tendance à utiliser le même genre de mot de passe pour bon nombre d application ce genre de faille aurait un impact qui irait bien au-delà de l entreprise. Il faut donc crypter ce mot de passe. Cependant, ce n est pas suffisant. En effet, les chercheurs en cryptanalyse ont développé le concept de rainbow table. Ce concept part du principe qu un algorithme de chiffrement produira toujours les mêmes cryptages, appelé hash ou empreinte, pour un mot de passe donné. Mot de passe Empreinte md e10adc3949ba59abbe56e057f20f883e Linux23 billgates78 cesi69 d3feef6cfbef79bb431a2d6bdd b429e6321f51e62eb4acc a7f c62c63ac618e9077d5998ad8a434d329 Ainsi, en cryptant des millions de mot de passe ils obtiennent des paires de mots de passe-empreintes qui leurs permettent de trouver très rapidement un mot de passe à partir de son hach. Ainsi, dans notre exemple si un attaquant trouve l empreinte 2b429e6321f51e62eb4acc a7f il utilisera sa rainbow table pour trouver le mot de passe billgates78. Cette attaque peut considérablement être ralentie en utilisant ce que l on appelle un «sel», c est-àdire une chaîne de caractères complexes qu on ajoute au mot de passe entré par chaque utilisateur. 85

87 Le sel permet d ajouter un degré de difficulté pour l attaquant. Par exemple, le mot de passe Linux23, faible, sera beaucoup plus compliqué si, avant de le crypter, on lui ajoute une longue chaîne aléatoire de caractères telle que «@trzxnbqa&éùmk,nda&». En effet, la rainbow table est calculée à partir de mot communs. En ajoutant un sel, l attaque échouera. Il faudra alors que l attaquant trouve notre sel et recalcule une nouvelle table pour avoir une chance de trouver les mots de passe. Il existe une autre protection que nous utiliserons. Au lieu de stocker un seul sel, par exemple dans un fichier de configuration, nous générerons un sel totalement aléatoire que nous stockerons dans la base de données, à côté du mot de passe crypté. En faisant cela, l attaquant devra générer une rainbow table pour chaque mot de passe, ce qui lui demandera au minimum quelques heures pour chaque utilisateur. Au cours de la programmation nous avons découvert la fonction PHP password_hash() qui génère une chaîne de caractères qui contient un sel chiffré. Puisqu il s agit d une fonction native de PHP nous avons préféré l utiliser. Notre base de données n aura donc pas de colonnes «sel». Les requêtes INSERT Les requêtes INSERT permettent d insérer des données dans la base. Par exemple, pour ajouter un utilisateur dans notre base de données nous utiliserons la requête suivante : INSERT INTO id_employe (prenom,nom,login,pwd) VALUES (:prenom,:nom,:login,:pwd) INSERT INDO id_employe signifie que nous voulons insérer des données dans la table id_employe. La parenthèse (prenom, nom, login, pwd) sélectionne les colonnes que nous voulons modifier. Ici, nous voulons modifier toutes les colonnes. Cependant, si nous n avions voulu sélectionner que le prénom et le nom nous aurions écrit : (prénom, nom) Nous lions ensuite les colonnes à des valeurs grâce à la parenthèse VALUES (:prenom,:nom,:login,:pwd). Nous écrivons ces valeurs de manière abstraite car c est la façon dont on écrit les requêtes préparées. Les requêtes préparées nous permettent de nous protéger d une attaque qui s appelle l injection SQL, où un attaquant utilise un formulaire pour y intégrer du code qui sera interprété comme tel par notre base, il pourra ainsi supprimer des données, ou récupérer tous les mots de passes d une base non sécurisée. Sans risque d injection SQL, c est-à-dire si nous rentrions la requête directement dans phpmyadmin, la requête pourrait être celle-ci : INSERT INTO id_employe (prenom,nom,login,pwd) VALUES ( mickaël, fosso, mfo, $2y$11$GYrWW5F80/scTt2C.6y.OewRG/J84aNLh2.3Fz99rjEwLJfEks552») 86

88 Les requêtes UPDATE Les requêtes UPDATE sont semblables aux requêtes INSERT sauf qu elles permettent de modifier une ligne déjà présente. Par exemple, pour modifier le nom et le prénom d un utilisateur on entrera le code suivant : UPDATE id_employe SET prenom=:prenom, nom=:nom WHERE ID = :id SET permet donc de choisir quels colonnes on veut changer et leur affecter une valeur. Le WHERE permet d identifier une ligne. Ici on identifie l utilisateur grâce à son id. Les requêtes DELETE Pour supprimer une entrée dans la base, il faut préciser la table concernée ainsi que la ligne que l on souhaite voir disparaitre. Ainsi, par exemple, pour supprimer l utilisateur Mickaël FOSSO on pourra utiliser le code suivant : DELETE FROM id_employe WHERE login = mfo On dit donc qu on choisit la table employé et qu on veut choisir la ligne où le login est mfo. Il est donc à noter qu il faudra bien s assurer que chaque login soit unique, pour ne pas supprimer la mauvaise ligne. On peut bien choisir une autre colonne pour la suppression ; par exemple, avec l ID : DELETE FROM id_employe WHERE id = 1 Cette ligne supprimera l employé à qui on aura affecté un id de 1 Les requêtes SELECT Les requêtes SELECT permettent de sélectionner une ou des informations dans la base. Par exemple, pour sélectionner tous les utilisateurs on écrira : SELECT * FROM id_employe Le * signifie que nous voulons sélectionner tous les attributs d un utilisateur. Si on n avait voulu obtenir uniquement leurs ID, on aurait écrit : SELECT id FROM id_employe Pour obtenir les informations d un utilisateur en particulier, il faut préciser avec la clause WHERE : SELECT * FROM id_employe WHERE id = 2 Et, si nous voulions obtenir uniquement l ID de l utilisateur dont l ID est 2 : SELECT id FROM id_employe WHERE id = 2 Il est donc trivial d obtenir les informations d une table particulière. 87

89 Mais la normalisation de notre base de données a pour conséquence une complexification des requêtes SQL à effectuer. Par exemple, nous avons la table des unités centrales, la table des employés et une table qui relie l ID des unités centrales à l ID de leur propriétaire. Par exemple, pour l utilisateur Mickaël FOSSO, on a les informations suivantes dans la table id_employe ID prenom nom login pwd 3 Mickaël Fosso mfo $2y$11$GYrWW5F80/scTt2C.6y.OewRG/J84aNLh2.3Fz99rjE Pour l unité centrale, on pourra avoir quelque chose comme : id marque modele ram hdd Date_debut Type_uc 5 DELL M /05/2015 PR Et enfin la table uc_employe qui lie les deux tables ensembles : id_employe id_uc 3 5 Si nous avons l ID de l unité centrale on ne peut pas récupérer le nom de l employé directement. Il faut alors faire deux commandes SELECT classiques : SELECT id_employe FROM uc_employe WHERE id_uc =5 Cette commande nous permet d avoir l id de l employé pour l unité centrale dont l id est 5. Comme nous le pouvons le voir dans la table uc_employé, l id recherché a la valeur 3. Pour obtenir le nom complet de l utilisateur dont l id est de 3, il faut faire une nouvelle requête : SELECT nom, prenom FROM id_employe WHERE id= 3 Cependant, il est aussi possible d obtenir le résultat directement avec une requête qui lie directement les deux tables, c est ce que l on appelle une jointure. 88

90 Les jointures Afin d éviter à faire deux requêtes comme dans l exemple plus haut nous aurions pu faire une seule requête qui aurait pris la forme suivante : SELECT id_employe.* FROM id_employe LEFT JOIN uc_employe ON (id_employe.id=uc_employe.id_employe) WHERE uc_employe.id_uc = :id_uc Pour mieux comprendre, décomposons cette requête SELECT id_employe.* précise que nous voulons obtenir toutes les colonnes de la table id_employe Avec FROM id_employe nous choisissons d obtenir des informations de table id_employe LEFT JOIN uc_employe nous créons une jointure avec la table uc_employe ON (id_employe.id=uc_employe.id_employe) nous voulons obtenir la ligne d id_employe qui possède le même identifiant utilisateur de la ligne uc_employe. Pour mieux comprendre, faisons un schéma : ID prenom nom login pwd 3 Mickaël Fosso mfo $2y$11$GYrWW5F80/scTt2C.6y.OewRG/J84aNLh2.3Fz99rjE id_employe id_uc 3 5 Avec WHERE uc_employe.id_uc = 5 nous choisissons la ligne de la table uc_employe où l identifiant de l unité centrale est 5 89

91 Le code PHP Pour ce qui est de l organisation de notre code PHP, nous avons décidé de programmer en objet. Programmer en objet nous permet d avoir un code plus organisé. En effet, nous écrivons des fonctions réutilisables qui permettent de centraliser les changements à faire. Ainsi, si nous avons sur plusieurs pages la même opération à faire, par exemple récupérer tous les utilisateurs dans la base de données nous écrirons une fonction telle que celle-ci : /** * Obtenir tous les utilisateurs * */ public function get_all_users() { $stmt = $this->conn->prepare("select * FROM id_employe "); if ($stmt->execute()) { $users = $stmt->fetchall(); return $users; } else { return NULL; } } Programmer en objet nous permet aussi de définir des classes que nous instancierons par la suite. Ce concept nous permet de mettre en place une structure MVC : Modèle-Vue-Contrôleur. 90

92 Nous allons décrire ces trois grands rôles. Le modèle est ce qui interagit avec la base de données. Il permet de récupérer des informations et ne fait rien d autre. C est la fonction get_all_users dans notre exemple Le contrôleur met en forme les informations récupérées par le modèle. Par exemple, la fonction get_all_users du modèle ne nous permet pas de connaître le service de chaque utilisateur. Nous avons donc écrit la fonction suivante : /** * Ajouter aux users le nom de leur service * $users */ public function ajout_nom_service($users) { //on fait une boucle. Pour chaque utilisateur on ajout son service foreach ($users as $key => $value) { tableau la décrivant //on recupere l'id de chaque uc dans le $user_id= $users[$key]["id"]; //on récupère le nom de l'utilisateur $this->get_service_from_user_id($user_id); $users[$key]["service"] = } return $users; } Comme on peut le remarquer, on a fait appel à une autre fonction du contrôleur dans la boucle. Cette fonction ne fait que consulter le modèle pour récupérer le service d un utilisateur à partir de son ID. 91

93 /** * Obtenir le nom du service d'un utilisateur à partir de son id * $users */ public function get_service_from_user_id($user_id) { return >get_service_from_utilisateur_id($user_id); $this->db- } L avantage d un tel code est sa flexibilité d un tel code. On peut utiliser la fonction get_service_from_user_id dans une boucle pour obtenir le service d une liste d utilisateur ou d un seul. On sépare aussi la mise en forme des données de leur récupération. Ainsi s il y a des modifications dans la base de données on changera la fonction du modèle et la fonction du contrôleur pourra rester intacte. La vue La vue est appelée par le contrôleur afin de présenter les données à l utilisateur. Par exemple, dans le fichier seeusers.php on aura : <table class="flattable"> <tr class="titletr"> <td> Prénom </td> <td> Nom </td> { <td> Service </td> <?php if ($is_informaticien)?> <td>modifier </td> <td> Supprimer </td> 92

94 <td><a src="../vue/img/plus.png"></a></td> href="add_printer.php"><img <?php }?> </tr> <?php foreach($users as $user) {?> <tr> <td> </td> <?php echo $user['prenom'];?> <td> </td> <?php echo $user['nom'];?> <td> <?php echo $user['service'];?> </td> <?php if ($is_informaticien) {?> 93

95 <td> <A href="edituser.php?user=<?php echo $user['id'];?>"><img src="../vue/img/edit.png" alt="modifier" class="table"></a> </td> <td> <A href="conf_user_del.php?user=<?php echo $user['id'];?>"><img src="../vue/img/delete.png" alt="supprimer" class="table"></a> </td> <td> </td> </tr> <p> <?php }?> </table> </body> </html> <?php }?> On voit donc que la vue limite au maximum le code PHP. Il permet donc de travailler sur le HTML et sur le CSS sans se soucier d un code en PHP qui serait en plein milieu des balises HTML et qui diminueraient significativement la lisibilité de l ensemble. La recherche multicritère 94

96 La recherche multicritère a été problématique car elle demandait de construire des requêtes SQL dynamiquement. Notre solution est le code suivant : /** * Recherche multicritere de poste $prenom,$nom,$hdd,$ram */ public function create_uc_query($fullname,$hdd,$ram) { //on determine si un utilisateur a été choisie. On construit notre requête en fonction if ($fullname == "") { # on construit une requête SQL simple si il n y a pas d utilisateur choisi $sql = "SELECT * FROM uc WHERE"; } else { été choisi # on construit une jointure si un utilisateu a $sql = "SELECT * FROM uc, uc_employe WHERE"; } dans la requêtes # on va chercher l'id de l'user dont on se servira $id_employe = (int) $this- >get_user_id($fullname); #on met les values dans un array 95

97 $values = array(); # un bool pour savoir si il faut rajouter un AND $mettre_un_and = false; # on teste si il y a un id employé if ($id_employe!="") { $sql.= " "."uc_employe.id_employe =?"; $values[]= $id_employe; # puisqu on a dejà un paramètre il faut rajouter un AND pour la suite de cette requête $mettre_un_and = true; } if ($hdd!="") { //si il y avait un utilisateur alors il faut ajouter un AND à la requête if ($mettre_un_and) $sql.= " AND"; //la function hdd_cond nous retourne la partie HDD de la requête et les valeurs correspondantes dans un tableau $hdd_cond = $this->get_hdd_cond($hdd); //on récupère la partie SQL de $hdd_cond $sql.= " ".$hdd_cond ["sql"]; //Puis on lie les valeurs $values[]= $a_lier["values"]["0"]; 96

98 if (isset($a_lier["values"]["1"] )) $values[]= $a_lier["values"]["1"] ; $mettre_un_and = true; } //si l utilisateur a entré une valeur pour la ram on met un AND if ($ram!= 0 ) { if ($mettre_un_and) $sql.= " AND"; $sql.= " ". "ram =?"; $values[] = (string) $ram; } modèle //on envoie la requête et les valeurs au $ucs = $this->db- >requested_ucs($sql,$values); //on ajout le nom des utilisateurs à chaque uc $ucs = $this->ajout_nom_ucs($ucs); return $ucs; } 97

99 Exemple : SELECT ecran.* FROM ecran, uc_ecran WHERE id_uc = :id_uc On se sert de l ID comme clé primaire. La clé primaire est l identifiant unique qui nous permettra de faire le lien avec les autres tables. 98

100 Table de l UC Nom Prénom Local Caractéristiques Unité Centrale Liste écran Imprimantes liées au posecran 99

101 PowerShell Pour nous familiariser avec PowerShell, nous pouvons nous aider de la console nommée Centre d administration Active Directory ou ADAC en anglais. On peut y accéder par le Gestionnaire de serveur->centre d Administration Active Directory. Cette console est très intéressante car elle nous permet d agir sur des objets de le l Active Directory et découvrir le code PowerShell correspondant : Par exemple, activons puis désactivons le compte invité : 100

102 L historique de Windows PowerShell nous donne donc les deux commandes correspondantes. Nous pourrions copier et coller une de ces lignes. Cependant, ce script ne concernerait uniquement le compte invité. Ainsi, il est préférable de demande un paramètre comme dans le code suivant : [Parameter(Mandatory=$true)][string]$CN Set-ADObject -Identity:"CN=Invité,CN=Users,DC=corp,DC=metlan" -Replace:@{"userAccountControl"="66082"} -Server:"SRV-AD01.corp.metlan Grâce à ce paramètre obligatoire nous pouvons créer un script de désactivation compte plus puissant où l administrateur pourra préciser l utilisateur a désactivé directement en appelant le script. Nous pouvons tester cela dans l ISE de PowerShell : Cela fonctionne. On peut donc rajouter ce script à notre boite à outils. 101