Rapport de Stage Migration d un serveur de production de Windows vers Linux et mise en place d outils de collaboration.

Transcription

1 Rapport de Stage Migration d un serveur de production de Windows vers Linux et mise en place d outils de collaboration Jules DAGNAUD 17 juillet 2009 Encadrants NKB Archi : Nicolas Berry, Nguyen Dang Kiem Encadrant UCBL : Thierry Excoffier

2 Remerciements Je tiens en premier lieu à remercier Monsieur Nicolas Berry, directeur général de l entreprise NKB Archi, pour m avoir accueilli et fait confiance en me donnant de grandes responsabilités au sein de sa société. Je voudrais remercier également l administrateur informatique de l entreprise, Monsieur Nguyen Dang Kiem, pour m avoir accompagné dans ma mission. Je remercie ensuite mes enseignants de l IFI, Messieurs Victor Moraru et Nguyen Hong Quang, ainsi que Monsieur Thierry Excoffier, mon tuteur pédagogique de l UCBL, pour leur disponibilité et le partage de leurs connaissances. Merci également à mes collègues, et plus particulièrement les membres de ma salle : Tu, Duong, Nhung, Kim Anh, Thoa, Huyen, ainsi qu à la communauté francophone de l entreprise : Guillaume, Thomas, Sophie, Guilhem, Andrew et Gaëlle, qui, grâce à leur accueil chaleureux et leur bonne humeur, ont grandement facilité mon insertion dans l entreprise. Enfin, je remercie mes amis, mes colocataires et ma famille qui m ont soutenu pendant cette année passée au Vietnam.

3 Résumé Ce mémoire est le résultat de cinq mois de stage passés en temps qu administrateur système et réseau au sein de l agence d architecture NKB Archi. Les travaux qui y sont présentés concernent l amélioration d un réseau existant à l aide de solutions issues du monde du logiciel libre. Sont développées dans ce document les principales modifications apportées au système d information de l agence, à savoir : les étapes de la migration du serveur de production de Windows 2003 Server vers Debian Lenny, et la mise en place d outils de collaboration au sein de l entreprise. Mots-clés : Libre, Linux, sécurité, information, communication, DNS, DHCP, intranet, proxy Abstract This report is the result of a five-month training period spent as an Information Technology Manager. The work presented here concern the improvement of an existing network using solutions from the world of free softwares. In this document, the different stages of the network change, including the migration of the production server, from Windows 2003 Server to Linux Debian Lenny, and the implementation of collaboration tools within the company, are addressed and developed. Keywords : Free, Linux, sécurity, information, communication, DNS, DHCP, intranet, proxy

4 Table des matières 1 Introduction 6 2 L entreprise d accueil Présentation de l entreprise Rôle occupé au sein de l agence Description de la mission Calendrier Prévisionnel Description de l existant, des besoins, et envisagement des solutions Audit Audit matériel Audit systèmes Audit des services réseaux Exigences pour la nouvelle architecture Analyse et choix Topologie Systèmes a Serveurs b Postes clients Services réseau a OpenLdap b Dhcpd c Bind d Netfilter/Iptables e Samba f Squid g SSH h Backup Manager i Openfire j Plone Migration du serveur Installation de Debian Lenny Dhcpd Fonctionnement Installation Configuration DNS Fonctionnement Installation Configuration Netfilter Fonctionnement Configuration de la passerelle

5 4.5 Annuaire de centralisation Fonctionnement Installation Configuration Partage de ressources Fonctionnement Installation Configuration Serveur mandataire / Proxy Fonctionnement Installation Configuration Sauvegarde des données Stratégie de sauvegarde Sauvegarde sur le serveur de production Sauvegarde sur nkbbackup Schéma récapitulatif Mise en place d outils de communication Messagerie interne Utilité Le protocole Jabber Le serveur Jabber OpenFire Plate-forme de travail collaboratif Utilité Plone Travail réalisé Bilan du travail accompli Difficultés rencontrées Difficultés techniques Autres difficultés Ma contribution au sein de l agence Améliorations possibles Conclusion 39 Références 40 A Annexe 1 : extrait de configuration du serveur DHCP 41 B Annexe 2 : extrait configuration DNS 43 C Annexe 3 : Règles pare-feu Netfilter 45 D Annexe 4 : Fichier de configuration de Samba 47 Rapport de stage de Jules DAGNAUD 4

6 E Annexe 5 : Script d ajout d utilisateur Samba/LDAP 50 F Annexe 6 : Fichier de configuration de OpenLdap 51 G Annexe 7 : Fichier de configuration du proxy Squid 54 Rapport de stage de Jules DAGNAUD 5

7 1 Introduction Après avoir suivi ma deuxième année de Master à l Institut de la Francophonie pour l Informatique, j ai décidé de prolonger mon expérience à l étranger en effectuant mon stage de fin d études en entreprise au Vietnam. L entreprise d architecture NKB Archi m en a donné la possibilité en m accueillant en tant qu administrateur informatique. Le Vietnam, à l image des entreprises qui y sont implantées, est actuellement dans une phase de développement et de modernisation. Aussi, les sociétés se sont massivement équipées de l outil informatique, véritable moteur de développement économique et social, ces dernières années. L utilisation de tout logiciel est soumise à l acceptation d un contrat d utilisation, aussi appelé licence. Pour la plupart des logiciels, dits propriétaires, seule l utilisation est autorisée, ce qui satisfait généralement le client. Leurs équivalents libres sont soumis à des contrats plus permissifs. Ils permettent à toute personne qui possède une copie du logiciel non seulement de l utiliser, mais aussi de l étudier, le modifier et le redistribuer. Il est important pour les utilisatrices que sont les entreprises de connaître objectivement l offre logicielle existante. Or, la position dominante et les moyens marketing des grands acteurs en place biaisent l information dont elles bénéficient. C est particulièrement vrai au Vietnam, où on peut ajouter d autres raisons pour expliquer la faible utilisation des logiciels libres, notamment le fait que les logiciels commerciaux et propriétaires sont trop faciles à trouver pour une faible somme. Cependant, les inspections au sein des entreprises se multiplient suite à la campagne lancée par le gouvernement vietnamien pour éliminer l utilisation des logiciels piratés. De plus, le ministre vietnamien de l Information et des Communications, Le Doan Hop, a annoncé un plan national prévoyant le passage vers des logiciels libres et Linux au sein des administrations nationales et locales d ici Ce mémoire, au délà de décrire mes cinq mois de stage passés à NKB Archi, se donne pour ambition de présenter comment améliorer significativement le réseau et la communication au sein d une entreprise équipée de logiciels propriétaires, en appliquant des solutions libres et gratuites. Après une présentation de l entreprise d accueil, nous décrirons la situation du réseau à mon arrivée en analysant ses forces et ses faiblesses. Nous proposerons ensuite des solutions et améliorations, dont nous aborderons la mise en place, avant de faire un bilan du travail accompli. Rapport de stage de Jules DAGNAUD 6

8 2 L entreprise d accueil 2.1 Présentation de l entreprise En janvier 1969, M. Jacques Berry, le père de M. Nicolas Berry, lance sa propre agence d architecture à Paris. Il est rejoint par son fils, en janvier En janvier 2005, Nicolas devient Directeur Général de l agence qui se renomme alors NKB Archi France. En décembre de la même année, NKB Archi Vietnam Ltd est lancé à Hanoi. Depuis sa création, l entreprise n a cessé de se développer, tant du point de vue de ses différentes réalisations, qu au niveau de ses locaux et du nombre de ses employés qui dépasse aujourd hui la cinquantaine. Entre temps, NKB Archi Vietnam Limited a monté un bureau de représentation à Ho Chi Minh City, a lancé NKB Planning, filiale spécialisée dans l urbanisme, et est sur le point de créer Space by NKB, à Hong-Kong et au Vietnam, dans le but d investir le marché du meuble. L agence d architecture NKB Archi se compose de deux pôles ; le premier, NKB Archi France dont le bureau est situé à Paris, travaille sur une architecture à échelle locale, tout en participant ponctuellement à des projets de plus grande envergure. Le second pôle et le plus important, NKB Archi Vietnam Limited, prend en charge des réalisations d ensembles à échelles nationales ou internationales comme des complexes touristiques, des bâtiments publics ou encore des résidences privées. L agence de Hanoi qui m a employé durant ce stage est celle qui compte le plus grand nombre d employés. Elle est implantée au 159 Lo Duc, dans le quartier Hai Ba Trung de Hanoi, depuis plus d un an. Les locaux se divisent en deux bâtiments. L un abrite la réception et les bureaux des architectes conception et technique, l autre est réservé à l administration et aux bureaux des ingénieurs. Mon poste a été installé dans la salle des architectes techniques, la plus proche de la salle des serveurs. Le pôle hanoien emploie majoritairement des vietnamiens, bien que les postes de conception architecturale soient en grande partie occupés par des occidentaux expatriés. Cette atmosphère multiculturelle est très enrichissante au jour le jour. De plus, le contexte de travail est exclusivement anglophone. Le champ d intervention de l agence s étend sur de nombreux types de réalisations qui peuvent avoir fonction de logements, bureaux, commerces, hôtels, bâtiments publics ou industriels, allant de l architecture d intérieur jusqu à l aménagement urbain. FIG. 1 Les employés de l agence de Hanoi Rapport de stage de Jules DAGNAUD 7

9 2.2 Rôle occupé au sein de l agence Le poste occupé pendant 5 mois fut celui d administrateur système et réseau du parc informatique de l agence Description de la mission La mission qui m était confiée consistait à proposer et mettre en place des outils gratuits et libres, dans l objectif d améliorer le réseau interne de l agence. Mon travail s est articulé autour de trois axes fortement liés : l étude du réseau existant, la migration du système d exploitation des serveurs de production et la mise en place d outils de communication et de travail collaboratif. À ces missions s est ajouté naturellement un rôle de support informatique et d assistance aux utilisateurs (installation de logiciels, correction de problèmes, maintenance matérielle). Enfin, j avais également comme tâche de former M. Nguyen Dang Kiem, pour qui le monde Linux était inconnu jusqu alors, aux outils que je mettais en place Calendrier Prévisionnel Tâche Audit du réseau existant Recherche et proposition des outils de remplacement / à ajouter Préparation de la migration Migration Formation des employés à l utilisation du nouveau réseau Mise en place d outils de collaboration et formation de l administrateur en place Période 4 semaines 2 semaines 4 semaines 2 jours (week-end) 1 semaine 9 semaines FIG. 2 Calendrier Prévisionnel Rapport de stage de Jules DAGNAUD 8

10 FIG. 3 Organigramme de l entreprise Rapport de stage de Jules DAGNAUD 9

11 3 Description de l existant, des besoins, et envisagement des solutions 3.1 Audit Audit matériel Le réseau est peuplé d une cinquantaine de machines : deux serveurs (que nous appellerons S1 et S2), une quarantaine d ordinateurs clients et une imprimante réseau. Ces équipements sont répartis dans les neuf salles des deux bâtiments qui constituent les locaux de l agence (la salle des serveurs, le bureau de la direction, le bureau administratif, l accueil, et les cinq salles de travail). Nous avons à faire à un réseau Ethernet classique, conçu selon une topologie hybride en bus et en étoile. Les deux serveurs sont reliés entre eux par une liaison (commutateur et câbles) Gigabit Ethernet 1000BaseT. Dans chaque salle, les hôtes sont reliés à un commutateur 100BaseT. Tous les commutateurs reliés entre eux forment le Backbone du réseau. De nombreux tests, avec du matériel spécialisé, ont révélé qu aucun composant de liaison physique n était défectueux. Les caractéristiques des machines du parc informatique sont assez homogènes (processeurs Intel double coeurs, 1Go de mémoire vive). En ce qui concerne les serveurs, le serveur S1 est performant (avec 2Go de mémoire vive et un processeur double coeur cadencé à 2,13GHz). Le serveur S2 en revanche est très limité avec seulement 512Mo de mémoire et un processeur cadencé à 1GHz Audit systèmes Tous les postes sont équipés d un environnement Windows : Windows 2003 Server pour les deux serveurs, Windows XP pour tous les clients. Les systèmes sont assez instables (redémarrages fréquemment nécessaires), notamment le serveur S2, qui, en plus d être très lent, plante régulièrement à la suite de dépassement mémoire. Beaucoup de machines sont également porteuses de virus (dont les deux serveurs) Audit des services réseaux Les services réseaux proposés sont répartis sur les deux serveurs. Le premier serveur, S1, a comme unique rôle celui de serveur de fichier, tandis que le serveur S2 s occupe de tous les autres services : serveur d adressage DHCP : une plage de cent adresses est distribuée dynamiquement aux hôtes du réseau. Les adresses des deux serveurs sont réservées. serveur de noms : à chaque adresse IP est associée un nom, cependant les noms sont incohérents, certaines machines portant le nom de leur utilisateur, et d autres un nom sans signification particulière. pare-feu : le pare-feu intégré à Windows 2003 Server est très basique. Il est utilisé ici pour protéger le réseau (ouverture de seulement quelques ports utiles) et pour filtrer les accès Internet (tous les employés n ont pas le droit d utiliser Internet) en fonction des adresses IP. passerelle vers internet. Rapport de stage de Jules DAGNAUD 10

12 sauvegarde des fichiers partagés sur le premier serveur. Une sauvegarde périodique est effectuée tous les jours. FIG. 4 Réseau de l entreprise Rapport de stage de Jules DAGNAUD 11

13 3.2 Exigences pour la nouvelle architecture La première exigence était de nature économique : le prix des systèmes d exploitation du parc devait être le plus faible possible. De plus, une réduction significative des problèmes d instabilité des serveurs et de lenteur du réseau était nécessaire. Le nouveau réseau devait proposer les mêmes services que celui en place précédemment ainsi que de nouvelles fonctionnalités : adressage automatique, service de nommage, partage contrôlé de ressources, identification des utilisateurs et notion de groupes d utilisateurs, partage contrôlé de l Internet, service de messagerie instantanée interne, plate-forme collaborative de travail, contrôle du serveur à distance, sauvegarde automatique et régulière des données. 3.3 Analyse et choix Topologie Les tests des composants physiques du réseau n ayant révélé aucune défaillance, et en prenant compte de l agencement des locaux, il a été décidé qu aucune modification du réseau ne serait effectuée au niveau physique. La seule modification importante sera donc le changement total de la configuration des serveurs Systèmes a Serveurs Les problèmes d instabilités se sont révélés être la conséquence d un manque flagrant de mémoire vive du serveur S2, assurant tous les services réseau (à l exception du service de partage de fichiers) et la sauvegarde des fichiers partagés sur le serveur S1, couplé à un système vérolé (une simple analyse antivirus avec le logiciel gratuit Avast! a révélé la présence de milliers de fichiers systèmes infectés sur les deux serveurs). Le choix opéré fût donc d utiliser le serveur S1, beaucoup plus performant, comme unique fournisseur de services. Le serveur S2, totalement obsolète, sera quant à lui chargé d une seule tâche : le stockage des sauvegardes des données partagées. Pour répondre aux exigences économiques, le choix, pour les serveurs, d un système d exploitation gratuit et libre s imposait. Il était donc naturel de s orienter vers une distribution Linux. Ayant utilisé principalement Mandriva et Debian, mon choix s est finalement porté sur Debian, beaucoup plus stable et évolutive que Mandriva, bien que demandant plus de connaissances pour son installation, son administration, et sa maintenance. Un avantage non négligeable de cette distribution est également sa gestion de l installation de paquets, transparente et structurée, ainsi que le nombre d outils disponibles. Tout le contraire de Mandriva qui, dans sa version gratuite, présente de nombreux problèmes de stabilité. Enfin, Rapport de stage de Jules DAGNAUD 12

14 Debian respecte totalement la philosophie du monde du logiciel libre, comme le témoigne le Contrat Social Debian dont la partie consacrée aux principes du logiciel libre a été adoptée par la communauté du logiciel libre comme base pour la définition de l informatique libre. De plus, il existe une forte communauté d utilisateurs autour de cette distribution, il est donc assez aisé de trouver de la documentation fiable et abondante. Le système installé sur les serveurs sera donc la dernière version stable de Debian, Debian Lenny 5.0. Concernant les virus, la légende selon laquelle les systèmes d exploitation Linux y sont invulnérables est erronée. Linux possède des failles de sécurité qui peuvent être exploitées par des programmes malveillants. Linux est donc sensible aux virus, tout comme Windows, mais dans une moindre mesure. En effet, on recense seulement une trentaine de virus existant sous Linux, ce qui est négligeable en comparaison des millions existant sous Windows. Ceci peut être expliqué par plusieurs raisons : les utilisateurs de Linux n ont pas les droits administrateur, et ne peuvent donc pas modifier les fichiers système. Il est ainsi difficile pour un virus d infecter la machine, Linux oblige à déclarer si un fichier est exécutable ou non. Ce n est pas l extension qui détermine si un fichier est exécutable. Il est donc difficile d exécuter un fichier sans le vouloir, en pensant que c était un fichier d un autre type, Linux est open-source, c est-à-dire que tout le monde peut examiner son code source, y compris des experts en sécurité. Les failles ont donc plus de chances d être détectées, la plupart des logiciels sont installés à partir de dépôts, dont le contenu est contrôlé, enfin, il existe de nombreuses distributions différentes, ce qui limite la propagation des virus b Postes clients L idée d utiliser Linux pour les postes clients a très vite été abandonnée à court terme. En effet, l architecture utilise de nombreux outils informatiques spécifiques (logiciels de dessin technique, de retouche photo, conception d image 3D, design...). Si des équivalents à ces logiciels existent bel est bien sous Linux, ces outils sont tout de même différents et requièrent une expérience utilisateur considérable. Aussi, l adaptation ne semblait pas possible dans l immédiat. Le projet, extrêmement bénéfique en termes d économie et d image, de passer à un parc informatique entièrement gratuit et libre, n a cependant pas été abandonné Services réseau Debian Lenny est un système particulièrement orienté réseau. On trouve facilement sur les dépôts officiels les paquets nécessaires à la mise en place d un serveur de production complet. Les outils ont été choisis selon les critères suivants : gratuité et respect de la philosophie des logiciels libres, conformité aux standards, sécurité, quantité et qualité de la documentation disponible. Les outils retenus sont les suivants : Rapport de stage de Jules DAGNAUD 13

15 3.3.3.a OpenLdap Devant le besoin d identifier/authentifier les utilisateurs sur le réseau, et devant le grand nombre de services qui seront pourvus, la mise en place d un annuaire de centralisation des informations utilisateurs s imposait. Le standard en la matière est le protocole LDAP. On va pouvoir grâce à cet annuaire réunir les informations (noms d utilisateurs, mots de passe, noms, prénoms, mail...) de chaque utilisateur du réseau. Ainsi, un employé aura les même identifiants pour accéder à Internet, aux données partagées, à la plate-forme collaborative ou à la messagerie interne. OpenLdap est l implémention libre de ce protocole la plus renommée b Dhcpd C est le serveur DHCP proposé par l ISC 1. C est une implantation référence de ce protocole, la plus utilisée pour des réseaux locaux, et possède donc une riche documentation c Bind Bind est le serveur DNS le plus utilisé sur Internet, et est devenu un standard. Il est également maintenu par l ISC. De plus, Bind est peu gourmand, aussi bien en taille sur le disque qu en utilisation mémoire et processeur d Netfilter/Iptables Netfilter est un parefeu intégré au noyau Linux depuis sa version 2.4. Il fonctionne en interceptant et manipulant des paquets réseau. Netfilter est configurable avec la commande iptables. Il est possible de réaliser avec cet outil des passerelles et pare-feux aussi performants que ce que l on peut obtenir avec du matériel spécialisé e Samba C est une implantation du protocole SMB de Microsoft permettant de partager de ressource sur un réseau Windows. Samba émule un domaine SMB sur un serveur Linux. Ainsi grâce à Samba, on va pouvoir partager des ressources entre notre serveur Linux et nos clients Windows. On peut identifier les utilisateurs avec LDAP f Squid Un serveur mandataire (proxy) capable d utiliser les protocoles FTP, HTTP, et HTTPS. C est un logiciel libre distribué selon les termes de la licence GNU GPL. Squid garde les données les plus fréquemment utilisées dans un cache, améliorant ainsi les performances. Il permet également d identifier les utilisateurs et de filtrer les accés HTTP. Squid est compatible avec Ldap. 1 Internet Systems Consortium Rapport de stage de Jules DAGNAUD 14

16 3.3.3.g SSH SSH 2 est à la fois un programme informatique et un protocole de communication sécurisé. SSH est pour l instant la référence de l accès distant sécurisé sous linux h Backup Manager Un utilitaire de sauvegarde de fichiers locaux sous forme d archives. Backup Manager est une solution de sauvegarde simple, automatique et sûre. Son paramétrage est fourni et intuitif i Openfire Openfire est un serveur Jabber (protocole de messagerie instantanée), écrit en Java, sous licence GNU GPL. Il est stable, possède une interface d administration intuitive et peut s appuyer sur une importante communauté. Enfin, Openfire possède de nombreux plugins permettant de personnaliser la messagerie, et notamment un permettant l authentification des utilisateurs via LDAP j Plone Un système de gestion de contenu Web libre publié selon les termes de la GNU GPL. Il est construit au-dessus du serveur d applications Zope, écrit en langage Python. Plone est considéré comme étant l un des meilleurs CMS open-source existants, et est régulièrement récompensé au Open Source CMS Awards. Plone est extrêmement flsystèmes exible et puissant, et il existe une grande quantité de modules disponibles pour le personnaliser. 2 Secure SHell Rapport de stage de Jules DAGNAUD 15

17 4 Migration du serveur Sous peine de paralyser l agence toute entière, l échec de la migration était intolérable. N ayant que très peu d expérience dans la création et l administration d un réseau mixte Linux/Windows au début de ma mission, j ai donc configuré le serveur dans un environnement de test (un serveur et un poste client déconnecté du réseau fonctionnel), avant d appliquer la configuration adéquate obtenue sur le serveur de production. Cette méthode de travail m a permis de prendre le temps de configurer la plupart des services réseaux, sans risque, et d effectuer la migration sans perturbation et sans immobilisation du réseau (la configuration du serveur de production a été effectuée en un week end). 4.1 Installation de Debian Lenny Depuis les plus récentes versions, Debian s installe très facilement. J ai choisi de faire cette installation par Internet, en utilisant seulement un CD d installation : la plupart des paquets va être téléchargée depuis les dépôts (dans un souci de rapidité, j ai utilisé des miroirs situés à Hong-Kong). Le seul point délicat consiste à choisir comment partitionner l espace disque. J ai choisi de séparer sur 3 partitions différentes : /, /home, /var et /usr. Cette séparation permet de réinstaller le système en cas de problème sans perdre les données utilisateurs dans /home, et d allouer la place suffisante à /var et /usr, dossiers dans lesquels beaucoup de données relatives aux applications sont écrites. Enfin, la dernière difficulté concernait le format de fichier des disques de stockage de données. En effet, si les disques système ont été reformatés au format ext3 lors de l installation, les 3 disques de stockage étaient toujours au format cher à Windows : NTFS. Heureusement, il existe un pilote NTFS libre pour Linux, ntfs-3g, qui permet l accès en lecture et en écriture aux disques NTFS. Pour résumer la situation des disques, voici le résultat de la commande df -h : Filesystem Size Used Avail Use% Mounted on /dev/sda1 6.5G 2.3G 3.9G 37% / /dev/sda6 31G 216M 29G 1% /home /dev/sdb1 373G 335G 39G 90% /media/diske /dev/sdc1 932G 598G 335G 65% /media/diskf /dev/sdd1 932G 371G 562G 40% /media/diskg /dev/sda2 145G 5.7G 132G 5% /var /dev/sda2 145G 5.7G 132G 5% /usr Maintenant que l on dispose d un système fonctionnel, nous allons pouvoir mettre en place les services réseau sur notre serveur. Rapport de stage de Jules DAGNAUD 16

18 4.2 Dhcpd Fonctionnement Lorsqu un client, équipé de TCP/IP, tente de se connecter à un réseau, il charge une adresse IP vide et diffuse un paquet DHCPDISCOVER sur le réseau. Le paquet DHCPDISCOVER contient le nom du poste de travail, l adresse MAC de l interface réseau et peut aussi contenir la dernière adresse TCP/IP que le client a obtenu du serveur. Avec cette information, le serveur est capable de donner au client la même adresse que celle qu il avait reçu lors de sa dernière requête. Lorsqu un serveur DHCP actif reçoit le paquet DHCPDISCOVER, l état de sélection commence. Le serveur réserve une adresse de sa liste et diffuse une réponse au poste de travail. La réponse, appelée paquet DHCPOFFER, contient une proposition d adresse TCP/IP pour le poste de travail ainsi que l adresse MAC du poste de travail, les informations de masque de sous-réseau, la longueur du bail et l adresse TCP/IP du serveur DHCP faisant l offre. Une fois que le client a reçu un paquet DHCPOFFER, l état de requête commence. Le client génère un paquet DHCPREQUEST qui accepte l adresse TCP/IP offerte par le serveur qui a issu le paquet DHCPOFFER. Le paquet DHCPREQUEST inclut l adresse TCP/IP du serveur qui a fourni l adresse client. Pour conclure l état de requête, le client effectue une diffusion de masse du paquet DHCPREQUEST. Tous les serveurs DHCP sur le réseau reçoivent le paquet et comparent ses informations d adresses serveurs avec leur propre adresse. Si l adresse du serveur ne correspond pas avec celle dans le paquet, alors le serveur libère l adresse qu il avait réservée pour le client dans son propre paquet DHCPOFFER. Si un serveur trouve sa propre adresse TCP/IP dans le paquet DHCPREQUEST, il répond au client avec un paquet DHCPACK. Ce paquet contient le bail pour le client. Lorsque le client reçoit le paquet DHCPACK, la phase de liaison commence en reliant l adresse assignée au protocole TCP/IP tournant sur sa carte réseau et finissant alors le démarrage. A ce point, le client peut communiquer sur le réseau en utilisant TCP/IP. Le client garde l adresse TCP/IP qui lui est assignée pour la période de bail. Lorsque le client atteint 50% de son temps de bail assigné, il entre en phase de renouvellement. Le client envoie un paquet DHCPREQUEST directement au serveur qui lui a donné son adresse TCP/IP. Le serveur DHCP renouvelle le bail et renvoie un paquet DHCPACK, qui contient le nouveau bail et toute information de configuration qui pourrait avoir changer depuis le bail initial. Si le client ne peut communiquer avec le serveur qui a accordé le bail, il affichera une erreur mais continuera à tourner normalement. Lorsque 87.5% du temps de bail du client expire, le client commence à paniquer et entre dans une phase de reliaison. Lors de la phase de reliaison, le client commence à diffuser des paquets DHCPREQUEST sur le réseau en direction de tout serveur DHCP qui y répondra. Le serveur DHCP courant peut répondre avec un paquet DHCPACK qui permet au client de continuer à utiliser l adresse qui lui avait été assignée au départ. Ou il peut envoyer un paquet DHCPNAK, qui force le client à réinitialiser TCP/IP et à obtenir une nouvelle adresse TCP/IP et un nouveau bail. S il accepte le paquet DHCPNAK, le client recommence le processus complet à la phase d initialisation. Rapport de stage de Jules DAGNAUD 17

19 FIG. 5 Le protocole DHCP Installation La version 3 du serveur Dhcpd est disponible dans le paquet dhcp3-server. On l installe donc avec aptitude, le gestionnaire de paquets de Debian : apt-get install dhcp3-server On dispose désormais d un serveur DHCP sur la machine. Il faut maintenant le configurer Configuration Notre réseau comporte une cinquantaine d ordinateurs. On peut donc utiliser une adresse de sousréseau de classe C : qui permet d adresser 254 hôtes. Pour assigner les adresses de façon logique, nous allons adresser les ordinateurs d une même salle dans la même dizaine (par exemple les ordinateurs de la salle 1 auront tous une adresse IP comprise entre et ). Pour cela, on peut effectuer des réservations d adresses : on va, pour une adresse donnée, limiter la possibilité d octroi de cette adresse à un client possédant une adresse physique donnée. Si cette solution est fastidieuse, elle est néanmoins possible à l échelle de notre réseau de taille moyenne. Cette méthode permet également de dresser une première barrière de sécurité sur le réseau : le filtrage par adresse MAC. La configuration s effectue par l édition du fichier /etc/dhcp3/dhcpd.conf (disponible en annexe). Une fois la configuration effectuée, il faut relancer le serveur pour que les modifications soient prises en considération : /etc/init.d/dhcp3-server stop /etc/init.d/dhcp3-server start 4.3 DNS Fonctionnement Dans le monde de l Internet, les machines du réseau sont identifiées par des adresses IP. Néanmoins, ces adresses ne sont pas très agréables à manipuler. C est pourquoi on utilise les noms. DNS permet la Rapport de stage de Jules DAGNAUD 18

20 résolution des noms de domaines, ce qui consiste à assurer la conversion entre les noms d hôtes et les adresses IP. Aucun serveur ne connaît toutes les correspondances entre noms et adresses IP sur Internet. Si un serveur ne connaît pas une correspondance, il interroge un autre serveur jusqu à atteindre le serveur détenant l information désirée. Ainsi, il existe 3 types de serveurs DNS : les serveurs de noms locaux à qui s adresseront les requêtes locales (c est ce qui nous intéresse ici), les serveurs de noms racine, censés savoir comment approcher de la réponse, les serveurs de noms de source autorisée, connaissant les correspondance officielles. Dans notre situation, nous avions besoin d un serveur DNS local récursif pour effectuer la résolution des noms des machines du réseau interne. Pour les machines extérieures au réseau local, le serveur DNS envoie une requête à un serveur racine, qui se procurera l adresse auprès d un serveur de source autorisée et la fera parvenir à notre serveur local Installation Nous allons installer le paquet bind9 qui contient la dernière version du serveur de noms récursif Bind pour Debian Lenny. apt-get install bind9 Notre installation de bind9 a produit une configuration par défaut, minimaliste, qui permet au serveur de fonctionner en mode récursif. Tout se trouve dans le répertoire /etc/bind/ Configuration Notre but est de construire un serveur de noms local, qui sera capable de résoudre des noms d hôtes sur le réseau interne à l entreprise, mais également sur Internet. Les informations contenues dans le fichier db.root permettent à notre serveur de résoudre tous les noms d hôtes sur Internet. En effet, ce fichier contient toutes les informations sur les 13 serveurs de noms racines. Nous devons donc maintenant créer une zone pour l Intranet de l entreprise. Ceci passe par la création et l édition des fichiers db.nkb.com et db (pour la zone de résolution inverse). Ces fichiers sont disponibles en annexe. Comme pour notre serveur DHCP, il faut relancer BIND : /etc/init.d/bind9 stop /etc/init.d/bind9 start On peut maintenant identifier les hôtes de notre réseau par des noms (le nom d une machine est le nom de l employé l utilisant). Rapport de stage de Jules DAGNAUD 19

21 La figure 6 montre l état du réseau après la configuration des serveurs DHCP et DNS. Par sécurité (notre machine ne dispose pas encore de pare-feu), le serveur n est pas connecté au modem et n endosse donc pas le rôle de passerelle pour l instant. L installation d un parefeu et le partage de la connexion Internet est la prochaine étape. FIG. 6 Nouvel adressage et nouveau nommage avec Dhcp et Bind9 Rapport de stage de Jules DAGNAUD 20

22 FIG. 7 Notre serveur DNS récursif 4.4 Netfilter Fonctionnement Une fois que le réseau local dispose d un serveur de noms, il faut s intéresser au partage de la connexion Internet pour tous les ordinateurs du parc. Cependant, ce partage doit être contrôlé, et le réseau local doit être protégé de l extérieur. Netfilter, le pare-feu de Linux, permet de le réaliser. Netfilter se présente comme une série de 5 points d accrochage de paquets dans la pile IP, sur lesquels des modules de traitement vont se greffer. Ces points sont : NF IP PRE ROUTING NF IP LOCAL IN NF IP FORWARD NF IP POSTROUTING NF IP LOCAL OUT On peut représenter le trajet des paquets dans la pile IP comme sur la figure 8. A travers ces cinq points d insertion, Netfilter va être capable : d effectuer des filtrages de paquets, principalement pour assurer des fonctions de Firewall. d effectuer des opérations de NAT 3 d effectuer des opérations de marquage des paquets, pour leur appliquer un traitement spécial. 3 Network Address Translation.Ces fonctions sont particulièrement utiles lorsque l on veut faire communiquer un réseau privé avec Internet. Rapport de stage de Jules DAGNAUD 21

23 FIG. 8 Trajet des paquets dans la pile IP Pour effectuer ces opérations, Netfilter dispose d une commande à tout faire avec iptables. Cette commande va permettre d écrire des règles de filtrage dans les 3 trois tables de Netfilter, correspondant aux 3 fonctions ci-dessus. FIG. 9 Les 3 tables de Netfilter et leurs chaines La table F ILT ER va contenir toutes les règles qui permettront de filtrer les paquets. Cette table contient trois chaînes : INPUT : cette chaîne décidera du sort des paquets entrant localement sur l hôte, OUTPUT : les paquets émis par l hôte local qui seront filtrés ici, FORWARD : filtrage des paquets qui traversent l hôte suivant les routes implantées. La table N AT permet d effectuer toutes les translations d adresses nécessaires : PREROUTING : permet de faire de la translation d adresse de destination, POSTROUTING : elle permet de faire de la translation d adresse de la source, OUTPUT : Celle-ci va permettre de modifier la destination de paquets générés par la passerelle elle-même. La table M AN GLE permet le marquage des paquets entrants (chaîne PREROUTING) et générés localement (chaîne OUTPUT). Rapport de stage de Jules DAGNAUD 22

24 4.4.2 Configuration de la passerelle Pour commencer, il faut tout fermer au niveau de la passerelle dans la table F ILT ER. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP On peut tout ouvrir au niveau des tables NAT et MANGLE, cela ne pose pas de problème puisque tout est bloqué au niveau F ILT ER. Cette manipulation permet d être sûr de l état de Netfilter. Maintenant, nous considérons que notre machine est sûre, et que les processus locaux peuvent communiquer entre eux : iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT Après avoir nettoyé tous les ordinateurs du réseau local, nous pouvons considérer que celui-ci est sûr également : iptables -A INPUT -i eth1 -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT À ce stade, tous les ordinateurs du réseau local peuvent communiquer avec le serveur, mais le réseau est totalement isolé du monde extérieur. Il faut faire une translation d adresse pour tout ce qui traverse la passerelle : iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Il faut maintenant accorder des autorisations de passage sur F ORW ARD. Nous allons accepter toutes les connexions qui sortent du LAN vers Internet, à l exception des connexions HTTP (nous voulons filtrer l accés au Web pour certains utilisateurs, et utiliserons un Proxy Squid pour cela) : iptables -A FORWARD -p tcp --dport! 80 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp --dport! 80 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Aussi, Seules les connexions déjà établies ou en relation avec des connexions établies sont acceptées venant d Internet vers le LAN. iptables -A FORWARD -p tcp --dport! 80 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Désormais, notre réseau local pourra se connecter sur tout serveur Internet (hors HTTP), mais aucune nouvelle connexion ne pourra être créée depuis le Net vers notre installation. Enfin, il faut bien penser à rajouter les règles le DNS. On rajoutera ensuite les règles nécessaires au fonctionnement du Proxy, puis permettant un accès SSH par Internet, ainsi qu un accès externe à la future méssagerie instantannée. Vous trouverez en annexe, le script Bash complet de configuration de la passerelle. Rapport de stage de Jules DAGNAUD 23

25 4.5 Annuaire de centralisation FIG. 10 Fonctionnement du Firewall NKB Archi souhaitait pouvoir identifier et authentifier les utilisateurs du réseau, dans le but de créer une vision personnalisée de l intranet à chaque utilisateur. Un utilisateur X n aura pas les mêmes droits qu un utilisateur Y, que cela soit au niveau du partage de ressources (certain fichiers sont accessibles, d autres non), ou au niveau de la navigation Web (X, par exemple, n a pas l autorisation de naviguer sur internet, alors que Y dispose d un accès illimité). Aussi, la mise en place d un annuaire LDAP 4 permettait de centraliser l authentification des utilisateurs pour plusieurs services (connexion au serveur de fichiers, connexion au Proxy, connexion à la messagerie instantanée et à la plate-forme de travail...). De plus, la nouvelle architecture devait introduire la notion de groupes d utilisateurs : les utilisateurs d un même groupe ont des droits en commun, sachant qu un utilisateur peut appartenir à plusieurs groupes. Tout ceci est possible avec les annuaires LDAP, et l implantation que nous allons utiliser, OpenLdap Fonctionnement LDAP est un protocole standard permettant de gérer des annuaires, c est-à-dire d accéder à des bases d informations sur les utilisateurs d un réseau par l intermédiaire de protocoles TCP/IP. ssha Ce protocole définit la méthode d accès aux données sur le serveur au niveau du client, et non la manière dont les informations sont stockées. LDAP est uniquement prévu pour gérer l interfaçage avec les annuaires. Plus exactement, il s agit d une norme définissant la façon suivant laquelle les informations sont échangées entre le client et le serveur LDAP ainsi que la manière dont les données sont représentées. Ainsi ce protocole se conforme à quatre modèles de base : un modèle d information, définissant le type d information stockée dans l annuaire, un modèle de nommage, définissant la façon de laquelle les informations sont organisées dans l annuaire et leur désignation, 4 Lightweight Directory Access Protocol Rapport de stage de Jules DAGNAUD 24

26 un modèle fonctionnel, définissant la manière d accéder aux informations et éventuellement de les modifier, c est-à-dire les services offerts par l annuaire, un modèle de sécurité, définissant les mécanismes d authentification et de droits d accès des utilisateurs à l annuaire. De plus, LDAP définit la communication entre : le client et le serveur, c est-à-dire les commandes de connexion et de déconnexion au serveur, de recherche ou de modification des entrées, les serveurs eux-mêmes, pour définir d une part le service de réplication (un échange de contenu entre serveurs) et synchronisation d autre part pour créer des liens entre les annuaires. En résumé, LDAP va nous servir à stocker des données relatives aux utilisateurs (groupe, nom, login, mot de passe, mail...) de manière organisée dans un annuaire, qui sera exploitable par d autres applications ayant besoin de ces données. Cela va nous permettre de ne pas avoir à recréer des utilisateurs pour chaque application utilisée Installation Encore une fois, l installation est très simple avec aptitude : apt-get install slapd Configuration Comme d habitude, le fichier de configuration se trouve ici : /etc/ldap/slapd.conf, disponible en annexe. D autre part, LDAP fournit un format d échange LDIF 5 permettant d importer et d exporter les données d un annuaire avec un simple fichier texte. La syntaxe étant extrêment fastidieuse, j ai préféré utilisé l excellente interface web PhpLdapAdmin (qui a nécessité l installation d un serveur Apache 6 ). Il serait trop long et compliqué de décrire exactement la configuration de notre annuaire LDAP (cela passerait notamment par l introduction de tous les attributs utilisés). Nous allons plutôt décrire l organisation générale de notre annuaire. Comme on peut le constater sur la figure 11, notre arborescence est assez simple. La racine de notre annuaire est notre nom de domaine interne, nkb.com. De la racine naissent 3 fils : cn=nkbadmin : c est l administrateur du serveur LDAP (cn est un acronyme pour Common Name, c est le nom sous lequel est connu l entité). Cette entité comprend seulement le nom de l administrateur et son mot de passe crypté avec le hachage SSHA 7 ou=users est une entité de type organizationalunit (ou). Ce noeud n a pas d autre utilité que d organiser la hiérarchie de l annuaire. De ce noeud de l arbre naissent toutes les entrées de l annuaire correspondant aux utilisateurs. Chaque entité utilisateur comporte les mêmes attributs (identifiant, mot de passe crypté avec SSHA, nom complet, mail, numéro de téléphone...) 5 Lightweight Data Interchange Format 6 Serveur HTTP 7 SSHA est un algorithme de hachage de mot de passe. C est une amélioration de l algorithme SHA-1 Rapport de stage de Jules DAGNAUD 25

27 FIG. 11 Arborescence d informations hiérarchiques simplifiée ou=groups est également une entité de type organizationalunit. C est le noeud père de toutes les entrées correspondant aux groupes d utilisateurs. Chaque groupe d utilisateurs possède les attributs cn (nom du groupe), description, gid (identifiant numérique unique, qu il faudra synchroniser au gid des groupes d utilisateurs Linux correspondants pour l utilisation avec Samba) et member (la liste des identifiants des utilisateurs membres du groupe en question). Cet annuaire seul n est d aucune utilité. Nous allons voir son utilisation avec les outils suivants. 4.6 Partage de ressources Le partage de ressources est un élément indispensable au fonctionnement de l entreprise. En effet, lors d un projet, plusieurs équipes (architectes concept, architectes techniques, ingénieurs...) travaillent ensemble et ont besoin de partager des documents. Actuellement, Samba est la seule solution éprouvée pour partager des ressources sur un réseau mixte (Linux, Windows) Fonctionnement Samba configure des partages réseau pour les répertoires UNIX (y compris le contenu de tous les sous-répertoires). Ils apparaissent pour les utilisateurs de Windows comme des dossiers Windows classiques accessibles via le réseau. Chaque répertoire peut avoir des privilèges d accès différents. Par exemple : les répertoires ayant un accès en lecture/écriture pour tous les utilisateurs définis, permettent à chacun d eux d accéder à leurs propres fichiers. Mais ils n ont pas accès aux dossiers des autres, sauf si une autorisation est définie. Un logiciel libre nommé smbldap_tools assure la liaison avec un annuaire LDAP de comptes utilisateurs. C est un ensemble de scripts Perl interfacés directement avec un service conforme au protocole LDAP (comme notre serveur OpenLDAP) Installation L installation se fait par la récupération du paquet samba : Rapport de stage de Jules DAGNAUD 26

28 apt-get install samba apt-get install smbldap-tools Configuration La configuration est réalisée par l édition d un fichier unique /etc/samba/smb.conf disponible en annexe. Une fois ce fichier correctement édité (on y spécifie le nom du groupe de travail, les dossiers à partager, les droits d accés, comment accéder à l annuaire LDAP...), on peut passer à la création des groupes et des utilisateurs. Tout d abord, les utilisateurs et groupes Samba doivent exister en tant qu utilisateurs et groupes Linux. Une fois les utilisateurs et groupes Linux créés, on peut créer les utilisateurs et groupes dans l annuaire LDAP grâce aux scripts du logiciel smbldap-tools : smbldap-useradd et smbldap-groupadd. Il ne reste plus ensuite qu à ajouter les utilisateurs aux groupes appropriés via l interface web PhpLdapAdmin. Pour faciliter la création des utilisateurs, j ai écrit un script Bash disponible en annexe. Désormais, les utilisateurs du réseau doivent s identifier avant d accéder au serveur de fichier. Selon cette identification, effectuée à l aide de l annuaire OpenLdap, les utilisateurs auront des droits différents, définis par l appartenance ou non à un groupe. A l heure de rédaction de ce rapport, je travaille toujours en collaboration avec le Directeur Général, Nicolas Berry, et le Directeur Artistique, Thomas Montreau, à l élaboration d une politique d accès aux fichiers partagés. Néanmoins, certaines données sensibles sont d ores et déjà protégées, et accessibles seulement par une partie définie des employés, ce qui n était pas le cas à mon arrivée. 4.7 Serveur mandataire / Proxy Fonctionnement La mise en place d un serveur mandataire HTTP présente de nombreaux avantages, aussi bien en termes de sécurité que de performance de navigation Internet. Nous allons utiliser le proxy libre Squid comme un serveur mandataire pour filtrer les accés au Web selon les utilisateurs. Ce filtrage était bien présent avant la migration mais était réalisé en dur : les adresses IP des machines des utilisateurs non autorisés à naviguer était bloquées par le pare-feu de Windows 2003 Server. C est une solution efficace, mais absolument pas évolutive, et qui devient obsolète à l issue des bails DHCP, ou tout simplement si un utilisateur change de poste de travail. Notre proxy Squid va authentifier les utilisateurs grâce aux entrées présentes dans l annuaire LDAP. Nous n avons pas besoins de recréer des utilisateurs spécifiquement pour ce service. Cependant, l authentification des utilisateurs n est pas compatible avec l utilisation d un proxy transparent (ce qui aurait pu être intéressant, évitant de configurer manuellement tous les navigateurs Web de l agence). Le proxy fonctionne donc de manière classique : le client demande au proxy d interroger le serveur HTTP cible. Si le client est correctement authentifié, ce dernier répond au proxy qui communique alors la réponse au client. Le client est configuré pour utiliser un proxy et il modifie les requêtes http en fonction. Rapport de stage de Jules DAGNAUD 27

29 4.7.2 Installation FIG. 12 Serveur Mandataire Nous devons installer le paquet squid3 pour le proxy lui même et le paquet squid_ldap_auth pour l authentification via l annuaire LDAP. apt-get install squid3 apt-get install squid_ldap_auth Configuration Le fichier de configuration est /etc/squid3/squid.conf. Il faut rajouter les lignes suivantes pour préciser que l on veut utiliser une authification par LDAP : auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=users,dc=nkb,dc=com -u uid localhost auth_param basic children 5 auth_param basic realm Identification proxy auth_param basic credentialsttl 2 hours acl ldapauth proxy_auth REQUIRED acl authenticated proxy_auth REQUIRED On distingue deux types de règles dans ce fichier de configuration : les acl 8 : permettent de définir, par exemple, un plage d adresses IP ou une plage de ports, les http_access : définissent des autorisations (allow) ou interdictions (deny) pour une acl donnée. Les restrictions indiquent quoi faire lorsque ces conditions sont vérifiées. On autorise ou on interdit en fonction d une acl ou d un groupe d acl. La première restriction vérifiée est la bonne, d où l importance de l ordre dans lequel elles sont placées. 8 Access Control List Rapport de stage de Jules DAGNAUD 28