Période appliquée en entreprise Lycée Albert Camus

Transcription

1 Période appliquée en entreprise Lycée Albert Camus du 24/11/2008 au 23/01/2009 7

2 Remerciements Je tiens à remercier tout particulièrement pour leur accueil et leur soutien, M. Michel Cocotier, proviseur du lycée, M. Pascal Legrand, chef des travaux, ainsi que M. Yoann Pichard, administrateur réseau et tuteur de la P.A.E. Merci également à l'ensemble du personnel qui a su faciliter mon intégration, me permettant de travailler dans les meilleures conditions. 2

3 Table des matières INTRODUCTION PRESENTATION DU LYCEE ALBERT CAMUS Informations sur le lycée Réseau informatique du lycée Plateforme réseau Architecture logique...8 Schéma...8 Les VLANs...10 Routage Architecture physique Plateforme de communication internet Routeur/Firewall/VPN AMON Serveurs de communicationslis Plateforme système Les serveurs Les postes de travail CAHIER DES CHARGES Contexte et missions Contraintes Planning Livrables MISE EN PLACE D'UN SERVEUR NAGIOS Présentation de Nagios Le choix de FAN 1.0 (Full Automated Nagios) Installation de FAN Configuration de l'interface réseau Sauvegarder/restaurer la configuration réseau Le DNS Nagios sur l'interface web Configuration de Centreon Création d'un groupe d'utilisateurs Création d'un utilisateur Création d un groupe de machines Ajout des machines Ajout du service SNMP Windows XP server Switchs Cisco 2960 et Hyperterminal Interface graphique CNA Bornes WIFI Cisco Aironet 1130AG Les périphériques d'impression Les onduleurs Installation de services supplémentaires NS Client Services pour serveurs HP et Dell Ajout des plugins

4 Généralités Les plugins dans Centreon Test des plugins Liste des services installés Supervision et analyse des résultats Centreon Les graphiques Le reporting Le monitoring Nagvis Notification par Backup et restauration de Nagios Backup Automatisation du backup Restauration Migration de FAN 1 vers la version GHOST D'UNE MACHINE Installation du client distant Configuration de la machine à ghoster Reconstruction de la machine INTEGRATION D'UN SWITCH CISCO A UNE BAIE DE BRASSAGE Switch Cisco Configuration du maître de pile INTEGRATION DE NOUVEAUX ELEVES DANS ACTIVE DIRECTORY CREATION D'UNE DMZ POUR LE SERVEUR 4AC Le Switch Le SLIS Le routeur Le serveur 4AC BILAN...82 CONCLUSION...83 ANNEXES 4

5 INTRODUCTION Ce document représente la synthèse de 2 mois de Période Appliquée en Entreprise, concrétisation d'une année de formation à l'afpa d'angers en. Ce stage est à la fois le moyen de mettre en œuvre les connaissances acquises au cours de l'année mais aussi une façon de côtoyer concrètement le monde de l'entreprise, saisir les tenants et les aboutissants de notre métier. Ainsi nous sommes confrontés quotidiennement aux aléas d'un réseau informatique et sommes amenés à prendre les décisions adéquats pour un fonctionnement optimal de celui-ci. Il faut envisager le réseau dans sa globalité pour se prémunir des dysfonctionnements éventuels et assurer la meilleure communication possible entre les utilisateurs. Toute la difficulté de notre tâche réside dans ce «travail de l'ombre», qui veut que chaque utilisateur puisse utiliser de façon transparente le réseau. Le choix de mon stage s'est porté sur le Lycée Albert Camus à Nantes, pour plusieurs raisons, à commencer par le fait que l'education Nationale ne m'est pas un milieu inconnu, y ayant travailler 4 années en tant qu'assistant d'éducation. De plus les enjeux informatiques y sont de plus en plus prégnants, la communication interne entre les services administratifs mais aussi entre les professeurs et le élèves, relève de façon croissante du réseau informatique. Cette évolution récente représente un défi de taille pour les techniciens informatiques, car la sollicitation est chaque jour un peu plus forte pour que, par exemple, les supports de cours passent par l'informatique. Les salles sont majoritairement équipées de postes informatiques et les les cours sont orientés vers le multimédia. A moyen terme, les différentes ressources, devront être accessibles de n'importe où, l'apprentissage dépassant les simples frontières du lycée. La Région Pays de la Loire a fortement axé sa politique d''éducation sur un déploiement massif de matériel au sein des lycées et une remise en cause des topologies existantes. Cette volonté politique s'appuie sur la mise en place de matériel neuf bien sûr1 mais aussi sur l'installation généralisée de la fibre optique (100 Mégabits/seconde) SDSL. En marge de ces innovations technologiques, des outils de gestion de parc (GLPI) sont installés pour un meilleur suivi du matériel, et des serveurs Nagios seront déployés à très court terme pour superviser les problèmes en tant réel. Cette optique évolutive et en phase avec les innovations technologiques m'ont fortement motivé pour postuler dans un lycée. L'objectif principal était de monter un serveur de supervision Nagios. Afin d'y parvenir, il a fallu un gros travail en amont pour définir quels étaient les besoins du lycée. Dans un premier temps il était nécessaire de réaliser un audit du matériel disponible et de le hiérarchiser. La présentation du réseau informatique nous donne déjà une idée un peu 1 A ce propos, chaque ordinateur a une durée de vie de 5 ans maximum, après quoi il est recyclé dans les collèges par exemple. 5

6 plus précise du matériel à disposition et nous permet de savoir quels équipements nécessitent une surveillance accrue. Le cahier des charges définira avec précision le travail demandé et quels étaient les objectifs de la supervision. En parallèle de ce projet d'envergure, d'autres missions ponctuelles m'ont été confiées, souvent en collaboration avec mon tuteur qui a pu m'apporter toutes ses compétences. Il a fallu notamment intégrer un nouveau switch Cisco à une pile dans une baie de brassage. Nous en verrons les différentes étapes dans le chapitre 5. Une DMZ permettant l'accès depuis l'extérieur aux ressources de la filière tertiaire (chapitre 7) a également été mise en place en fin de stage. D'autres tâches plus «mineures» mais non moins essentielles ont ponctué ce stage, notamment en ce qui concerne le dépannage des utilisateurs, l'intégration de nouvelles machines au réseau et le ghost (chapitre 4) de celles-ci. Pour comprendre les enjeux du stage, le premier chapitre sera consacré à la description de la topologie logique et physique du lycée. Enfin, après avoir détaillé chacun des travaux, un chapitre synthétique viendra récapituler l'ensemble de ces activités et fera le point sur leur réalisation. 6

7 1 PRESENTATION DU LYCEE ALBERT CAMUS Informations sur le lycée Le lycée Albert camus a été construit en 1967, sur le parc du château de La Musse. Il compte 750 élèves, 90 enseignants, et 20 agents. Des enseignements aussi bien généraux que technologiques y sont dispensés. Il faut cependant noter que l'informatique y joue un rôle prépondérant au travers de l'option Informatique de gestion et de communication qui propose aux élèves de seconde de maîtriser les nouvelles technologies en rapport avec le réseau. Les filières BTS immobilière, comptabilité et commerce complètent les enseignements proposés. Avant 2006, il n y avait que des réseaux indépendants non communicants entre eux (administration, CDI, Bâtiment technique). Le projet d intégration informatique global démarre en 1999, mais il faudra attendre 2005 pour que la réalisation débute. En effet, c est en 2005 que commence dans un premier temps le câblage électrique et l'installation des prises réseaux. Et c est durant l été 2006 que le parc informatique du lycée Albert camus est activé, 500 postes et une dizaine de serveurs sont alors déployés. 3 personnes composent l'équipe informatique : Pascal Legrand, chef des travaux Yoann Pichard, administrateur du réseau Guy Dreux, professeur de mathématiques chargé du site internet Réseau informatique du lycée Plateforme réseau Quelques chiffres : 11 serveurs 6 baies de brassage reliées par fibre optique 22 switchs 7

8 460 postes de travail Salles : 40 salles sur 50 sont équipées de vidéo-projecteur chaque salle dispose d au moins un ordinateur pour l enseignant toutes les salles devraient être équipées d ici la fin de l année scolaire de vidéoprojecteurs Salles informatiques (de 8 à 24 postes) dédiées : 2 salles dédiées pour les langues vivantes (20 postes) 1 salle dédiée pour les mathématiques (20 postes) 6 salles dédiées pour l enseignement technologique (18-24 postes) 2 salles dédiées Histoire-Géographie (8 postes) 2 salles dédiées Physique Chimie (18-8 postes) 1 salle EXAO SVT(12 postes) 2 salles en accès libre pour les élèves (8-4 postes) Architecture logique Schéma 9 VLANs constituent le réseau du lycée 8

9

10 Les VLANs Vlan Management : ID: Gateway : 1 Mngt xxx.xxx / xxx.xxx Équipements actifs du réseau et onduleurs. Vlan Elèves : ID: Nom : Gateway : 10 Vlan-élèves xxx.xxx/ xxx.xxx Postes de travail élèves et CDI, ainsi que les imprimantes associées. Vlan Professeurs ID: : Gateway : 30 Vlan-professeurs xxx.xxx/ xxx.xxx Postes de travail professeurs et documentalistes ainsi que les imprimantes associées. Vlan Administratif ID: Gateway: 40 Vlan-Administratif xxx.xxx/ xxx.xxx Postes de travail de l administratif les serveurs et les imprimantes associées (secrétariat, intendant, proviseur, cuisine entretien...). Le matériel du réseau administratif est installé par le CRID 44 (Centre de Ressources Informatiques Départemental de Loire Atlantique). Vlan Serveurs ID : : 50 Vlan-Serveurs xxx.xxx /22 10

11 Gateway : xxx.xxx Serveurs hors serveurs MRPET (enseignement technologique tertiaire) et administratif. Vlan Proxy ID : : Gateway : 60 Vlan-proxy xxx.xxx/ xxx.xxx Serveurs de communication SLIS (Serveur Linux pour l Internet Scolaire). Vlan Interco ID : Nom : Gateway : 80 Vlan-interco Permet une DMZ pour l interconnexion des serveurs SLIS et AMON. Pas d adresse IP pour ce vlan pour des raisons de sécurité. (Pas de routage et pas d ACL vers les autres VLAN). Vlan MRPET ID : Gateway: 70 Vlan-Mrpet xxx.xxx/ xxx.xxx Ensemble des ressources de la section MRPET (Modèle de réseau pour l Enseignement technologique) Vlan INVITE ID : : Gateway : 90 Vlan-invite xxx.xxx / xxx.xxx Ce VLAN permet aux intervenants extérieurs du lycée d avoir un accès à internet. Les postes de travail de ce vlan auront accès uniquement au Vlan PROXY. 11

12 Routage Le réseau est équipé de 2 switchs 3750 de niveau 3, dans 2 locaux séparés. Le protocole HSRP en place permet une redondance du routage. Route par défaut sur les switchs 3750 : Pour les stations du VLAN MRPET la route par défaut est le SLIS Tertiaire : Matrice de routage (*Mngt = managment) : Nom VLAN dest. Admin Profs Élèves Serveur Invités Tertiaire Proxy Mngt* Admin - x x o x x x x Profs x - o o x o o x Élèves x x - o x o o x Serveur o o o - x o o o Invités x x x x - x o x Tertiaire x x o o x - o x Proxy x o o o o o - o Mngt* x x x o x x x - Nom VLAN source 12

13 Architecture physique L architecture repose sur une étoile optique gigabit inter connectant en simple ou en double attachement (en fonction de la densité de ports) les locaux techniques secondaires (LT1 du Bât A0, LT2 du Bât B1, LT3 du Bât B2, LT4 du Bât D0, LT5 du Bât C1 et LT6 du Bât G0) au local technique principal (RG-LT1 du Bât A0). L ensemble des postes de travail est connecté sur des commutateurs de niveau 2 ou des piles de commutateurs de niveau 2 répartis sur les différents locaux techniques. Un premier commutateur de niveau 3 situé au local technique principal RG-LT1, concentre l ensemble des artères fédératrices en gigabit optique, connecte en gigabit cuivre les serveurs (Pédagogique, Personnel et Administratif) et permet une double connexion sur le pare-feu. Un deuxième commutateur de niveau 3 situé au local technique RG-LT5, concentre la pile de commutateurs de niveau du Bât C1, se connecte en double attachement sur le local technique principal RG-LT1 et connecte en gigabit cuivre les serveurs (Tertiaire principal et secondaire ainsi que CGO). Chaque commutateur de niveau 3 est secouru par un onduleur garantissant 10 minutes d autonomie en cas de panne de secteur. 13

14

15 1.2.2 Plateforme de communication internet Routeur/Firewall/VPN AMON Il permet d'offrir : Un accès sécurisé aux services du rectorat Un accès sécurisé à internet Les fonctionnalités minimum de routage Le serveur AMON proposé est de type IBM eserver xseries 226 type Serveurs de communicationslis Les serveur SLIS PEDA et TERTIAIRE assurent les fonctions de filtrage d URL,de proxy et d'intranet pour le lycée. Le serveur SLIS proposé est de type IBM eserver xseries 226 type Plateforme système Les serveurs Il y a en tout 11 serveurs : Serveur Pédagogique R2D2, Serveur professeur C6PO Serveur administratif Serveur 1AC44100 (Serveur principal Tertiaire) Serveur 2AC44100 (Serveur secondaire Tertiaire) Serveur 4AC44100 (Serveur dédié BTS MUC (SQL) Serveur 6AC44100 (Serveur d impression, antivirus et de sauvegarde) Serveur GLPI Serveur Nagios de supervision Serveur SLIS (Serveur de Communication) Serveur dédié BTS CGO Exemple du serveur pédagogique : Il assure les fonctions de serveur Active Directory, services réseau DNS et WINS, et enfin serveur IACA (base de données concernant les élèves inscrits). 15

16 Ses caractéristiques sont les suivantes : Châssis format Rack 2U - alimentation 735 watts (Redondante en option) Ventilateurs redondants en standard 3 connecteurs d'extension Pci (3xPCI-X 64 bits 2 à 133 MHz et 1à 100 MHz...) Processeur Intel Xeon à 3 Ghz FSB 800 Mhz- évolutif bi-processeur 2 Mo de cache de second niveau - Technologie EMT64 1 Go DDR SDRAM PC2-3200/400 MHz Advanced ECC extensible à 12 Go Contrôleur RAID SA-6i bicanal SCSI Ultra320 intégré Cage disque dur "Hot-Plug" (6 x 300 Go maxi) 2 x Contrôleurs réseaux 10/100/1000 RJ45 Wol intégré onorme 802.1Q VLANs owake on LAN Lecteur CD-ROM 48x IDE & lecteur de disquettes 1,44 Mo Les postes de travail Les postes sont tous récents (ils ne dépassent quoi qu'il arrive jamais une durée de vie excédant 5 ans) et sont équipés d'un pentium 4 et de l'os Windows XP. Boitier CMT format Mini Tour Processeur Intel Pentium à 3 GHz / FSB 800 MHz 1 Mo de cache de second niveau Carte mère Hewlett Packard à base de chipset Intel i945g Mémoire vive 512 Mo DDR2 533Mhz bi-canal ext. à 4 Go (2/4 slots) Disque dur 160 Go Serial ATA 300 Mo/s 7200trs/mn Lecteur de DVD-ROM 16x/48x - Lecteur de disquettes 3,5" 1,44 Mo Contrôleur graphique ATI Radeon RX300SE de 128 Mo DDR sur bus PCI-Express 16x o Pci-Express : Nouveau Bus plus rapide qui remplace l'agp o Sortie Dvi/VGA et S-Video - Résolution 1920x1200 à 100Hz o Prise en charge matérielle totale d'opengl o Prise en charge accélérée matériellement Microsoft DirectX 9.0 Contrôleur audio Intel haute définition avec haut parleur interne intégré 2 Slots PCI pleine hauteur disponibles - 1 slot PCI-E 1x disponible 8 ports USB 2.0 dont deux en façade, 1 port série, 1 port parallèle et 2 ports Ps/2 Contrôleur LAN 10/100/1000 Mbps WOL "Wake On Line" intégré Clavier Hewlett Packard standard 2004 Ps/2 - Souris Hewlett Packard optique USB Microsoft Windows XP Professionnel avec SP3 Moniteur 17" CRT Hewlett Packard S7540 p0,24mm (1024x768 à 85Hz - Conforme aux normes "Energy Star & TCO03") 16

17 2 CAHIER DES CHARGES Contexte et missions Afin de toujours mieux maitriser son réseau, le chef des travaux et l'administrateur réseau du Lycée Albert Camus, avaient pour projet de monter une station de supervision Nagios. Or, par manque de temps, ils repoussaient sans cesse cette tâche 2, me confiant pour le coup cette mission. D'autres projets se greffaient à ce travail. L'achat de nouveaux portables par l'établissement nécessitait une configuration complète. Des images de machines existantes ont permis de ghoster ces machines et faciliter le travail. Il a fallu également intégrer un nouveau switch dans une baie de brassage dans le LT5. Pour le reste, m'incombait l'observation et l'aide au travail quotidien d'administration. Pour résumer : Installation d'une plateforme de supervision Nagios Réflexion sur la meilleure solution de supervision : choix de FAN3 Paramétrage du serveur CentOS Audit du matériel à superviser Installation de l'agent SNMP sur le matériel manageable Inventaire du matériel, création administrateur Installation client NSCA sur serveurs Win XP Installation des plugins et réécriture Cartographie avec Nagvis Ghost Construction d'un master Réplication de l'image sur les autres portables Implémentation switch Cisco dans une pile du LT 5 Paramétrage du switch 2960 Paramétrage du switch 3750 Brassage 2 Notons que la Région prévoit d'ici quelques années l'implantation de Nagios dans tous les lycées. 3 Full Automated Nagios 17

18 2.2 - Contraintes Les deux principales contraintes si l'on évoque l'installation de Nagios, furent tout d'abord d'ordre temporel mais aussi dans une moindre mesure d'ordre technique. En effet, 2 mois s'avèrent un cours laps de temps si l'on veut développer une solution de supervision optimale, à savoir renseigner toutes les machines du réseau et en remonter des informations fiables et utiles. Relation de cause à effet, l'ajout de ces services - autrement appelés plugins demande une certaine maîtrise de la programmation souvent en perl, et l'on ne s'improvise programmeur en quelques semaines. Par conséquent il a fallu cibler les besoins du lycée avec des réponses efficientes, au détriment de services, certes utiles, mais trop difficiles à mettre en place Planning Il serait superflu voire abscons d'éditer un diagramme de Gantt (par exemple) tant ma mission principale (Nagios) m'a occupé durant 2 mois et que les tâches subalternes ont «émaillé» le reste du stage. Effectivement, ces autres travaux n'étaient pas planifiés (dépendant aussi des occupations de l'administrateur réseau) et s'effectuaient souvent en réponse aux problèmes du réseau. 2.4 Livrables Au bout des 8 semaines : Un serveur de l'administrateur. supervision Nagios fonctionnel avec notification pour Une cartographie à plusieurs niveaux de lecture pour surveiller en tant réel l'état du réseau. Des portables en état de marche avec une image standard. L'ajout d'un nouveau switch dans une pile (Local Technique 5). 18

19 3 MISE EN PLACE D'UN SERVEUR NAGIOS 3.1 Présentation de Nagios Un des besoins les plus exprimé en matière de gestion de réseau est la surveillance des services. En effet, il ne suffit pas qu'un serveur tourne pour assurer automatiquement que les services qu'il supporte sont actifs. C'est donc dans une démarche de qualité de service, et de manière à pouvoir réagir dans les plus brefs délais, que de nombreuses solutions de supervision de services ont vu le jour (HP Openview, Netview, Loriot pro...) La difficulté principale dans la surveillance des services est la grande disparité des protocoles sur lesquelles reposent les différents services, puisqu'il existe quasiment un protocole par service. Dans ces conditions, il devient très difficile de présenter un outil permettant d'en comprendre la totalité, surtout lorsque cette difficulté se rajoute aux problématiques de la supervision des entités réseaux. C'est dans cette optique que Nagios, système de supervision de services, a été développé pour fonctionner sur un système d'exploitation Linux ou éventuellement Unix avec un concept assez simple : les services de surveillance lancent par intermittence des contrôles de services et de stations que l'on peut préalablement définir grâce à des plugins externes (nommés pour l'occasion «greffon») et retournent l'information à Nagios. A tout moment, si un problème est rencontré, les services peuvent envoyer des avertissements aux administrateurs du réseau de différentes manières (courriers électroniques, messages instantanés, SMS, etc...). Une interface web permet de consulter très facilement de nombreuses informations telles que l'état courant du réseau, l'historique des événements ainsi que des comptes-rendus d'activité. Nagios possède de nombreuses fonctionnalités dont voici les principales : Surveillance des services réseaux (SMTP, POP3, http, NNTP, PING, etc). Surveillances des ressources des stations (serveurs, routeurs) comme la charge du processeur, des informations sur l'utilisation des disques durs, les processus en cours, les fichiers de log, etc... Surveillance des données environnementales comme par exemple la température. Possibilité de définir des groupes de contacts à joindre en cas d'apparition de problèmes via différents médiums (le courrier électronique, les messages instantanés). Sectorisation des groupes de contacts par rapport aux problèmes rencontrés et définition de procédures échelonnables. Définition de gestionnaires d'événements qui peuvent être exécutés afin d'automatiser la résolution de problèmes rencontrés. L'interface de commande externe permet des modifications à la volée du comportement de la surveillance et du retour d'informations à travers l'utilisation de gestionnaires d'évènements, d'une interface web et d'applications tierces. L'historique de l'état du réseau est conservé même après un redémarrage à froid. 19

20 Possibilité de planifier des périodes d'inactivité des contrôles pour correspondre à une période d'inactivité physique d'un serveur. Un schéma simple de gestion des autorisations permet de gérer facilement les droits de consultation des informations par les utilisateurs à travers un navigateur. Afin de simplifier l utilisation de Nagios, il existe un module de surveillance et de supervision réseau appelé Centreon, qui présente une interface web (cf. serveur web Apache) moins austère et plus ergonomique que celle de Nagios. D autres outils complètent l utilisation de Nagios : Nagvis pour réaliser une cartographie en temps réel et Nareto pour le reporting et la gestion de compte limité. Si l on résume cette introduction, on devine qu installer Nagios relève du parcours du combattant pour l utilisateur Linux lambda. L installation de cet outil de supervision comprend les pré-requis de la plate-forme que l on nomme LAMP (Linux, Apache, MySQL, PHP) avec les logiciels indispensables au lancement de l application, soit du pré-requis standard, et des librairies. Ci dessous, tous les éléments que contient Nagios : 20

21 Apache / httpd Serveur Web permettant l'affichage de l'interface de configuration Nagios MySQL 4.1.x / 5.x MySQL est un serveur de base de données permettant le stockage et l accès aux données. PHP 5.x PHP va permettre l affichage graphique des pages web. GD GD-devel RRDTool 1.2.x Net-SNMP GD est le nom d'une bibliothèque pour PHP servant à manipuler des images dynamiquement. RRDTool va créer et stocker les données permettant l affichage de graph (création de graph) Net-SNMP quant à lui permet de faire des requêtes SNMP aux différents agents que l on veut superviser. Make Gcc sudo Va permettre la compilation et l installation des programmes. Postfix Serveur de messagerie permettant la notification des alertes. Centreon Logiciel de supervision (Reporting, Monitoring, graph) Nagvis Plugin de cartographie Nareto Reporting et gestion de compte limité Pack de plugins Scripts permettant l'interrogation active des éléments 21

22 Un schéma qui nous montre l imbrication des différents logiciels (Nagios, Centreon autrefois appelé Oreon, et Nareto) dans le processus de supervision Le choix de FAN 1.0 (Full Automated Nagios) Une équipe d informaticiens français développent un projet Nagios «simplifié» ou du moins qui évite les démarches fastidieuses d installation. Ce projet a pour nom FAN (Full automated Nagios). Son installation nécessite un serveur dédié, pour lequel on lance une installation globale avec tous les éléments précités (directement intégrés sur le cd d installation). Le serveur a pour système d exploitation CentOS. Nous avons opté pour cette solution qui a le mérite d éviter un trop grand nombre d erreurs dans la mise en place de Nagios. 22

23 FAN est gratuit et open source, un de ses avantages non négligeables. Le but de FAN est de fournir une installation incluant les outils les plus utilisés de la communauté Nagios. C'est un CDRom distribué au format ISO, donc très facile à installer. FAN est installé sur CentOS avec tous ses packages. Outils intégrés au projet : Nagios : coeur de la supervision Nagios plugins : plugins pour superviser différents équipements Centreon : interface web pour Nagios NagVis : cartographie avancée (géographique, fonctionnelle, par services...) NDOUtils : stocke les données Nagios dans une base MySQL NaReTo (Nagios Reporting Tools) : outil de reporting (rapport de disponibilité) On trouve l iso à cette adresse : NB : le processus de supervision est indissociable du protocole SNMP sur lequel il repose. Les détails quant au fonctionnement de ce protocole sont détaillés en annexes p Installation de FAN Son installation se fait automatiquement en bootant sur le cd. 23

24 Une fois CentOS et Nagios installés, le système redémarre. On nous propose de renseigner un certain nombre d informations, qu il ne faut pas négliger car très utiles pour la suite (notamment l authentification!) : 24

25 3.3.1 Configuration de l'interface réseau Se logger en tant que super utilisateur «root» #cd /etc/sysconfig/networking/devices #vi ifcfg-eth0 Désormais notre serveur est pourvu d'une adresse IP dans le VLAN Serveur. Afin d'activer cette nouvelle configuration, désactiver puis réactiver la carte réseau : #ifdown eth0 #ifup eth Sauvegarder/restaurer la configuration réseau Sauvegarde : # system-config-network-cmd -e > /tmp/network-config Restauration : # system-config-network-cmd -i -c -f /tmp/network-config 25

26 3.3.3 Le DNS Pour accéder à internet depuis notre serveur, il est indispensable de spécifier l adresse du serveur DNS. # vi /etc/resolv.conf nameserver Nagios sur l'interface web Une fois toutes ces informations précisées, il est temps de voir à quoi ressemble notre interface web pour configurer plus facilement Nagios. Pour cela : (ip du serveur) sur n importe quel navigateur web. Cette interface nous laisse le choix d accéder soit à Nagios (le noyau), soit Centreon (Nagios ergonomique), Nagvis (cartographie) ou Nareto (outil de reporting). Par défaut le login et le mot de passe : «nagiosadmin». 26

27 Bien sûr dans un souci de sécurité, il faudra par la suite modifier ce critère en créant un (ou plusieurs) administrateurs Nagios. Interface d'accueil de Centreon Interface de Nareto 27

28 Nagvis module de cartographie 3.5 Configuration de Centreon Plus ergonomique et lisible, il est à bien des égards le complément parfait de Nagios. Grâce à Centreon, nous allons configurer graphiquement le noyau Nagios. Il est possible de réaliser la configuration directement par le biais du shell Nagios. Les commandes seront expliquées dans les annexes. Attention toutes les manipulations ou configurations effectuées sous Centreon ne sont pas intégrées par défaut directement dans Nagios. Il faut bien s'assurer que les fichiers générés sous Centreon soient déplacés vers le dossier " /usr/etc/nagios/ " et que le service de Nagios soit bien redémarré. Pour se faire, il faut suivre la manipulation suivante à chaque modification sous Centreon: 28

29 Dans ce menu, il faudra nous assurer que les cases " Déplacer les fichiers" et " Recharger Nagios " sont cochées. C'est ce qui rend fonctionnel toutes les manipulations que nous effectuerons sous Centreon afin qu'elles fonctionnent sous Nagios. Pour ajouter des machines, il faut tout d'abord créer dans l'ordre, des groupes d'utilisateurs, puis des utilisateurs, des groupes de machine, et enfin des machines. En effet cet ordre est très important car les machines dépendent d'un groupe de machine, et d'un groupe d'utilisateur. De plus le groupe d'utilisateur doit disposer d'au moins un utilisateur. On verra donc dans cette partie comment ajouter des composantes réseau et les superviser proprement Création d'un groupe d'utilisateurs Il faut d'abord créer un groupe d'utilisateur qui accueillera des utilisateurs propres au groupe. Pour cela, dans l'onglet de configuration, cliquer sur le sous onglet " Utilisateurs ", pour enfin voir un menu sur la gauche nous indiquant ce que nous voulons faire. Fiche d'ajout d'un groupe d'utilisateur : 29

30 Les champs à renseigner pour créer un groupe d'utilisateurs sont peu nombreux; il nous suffit de donner un nom et une description du groupe Création d'un utilisateur Une fois notre groupe d'utilisateurs créé, il faut y ajouter des utilisateurs Chaque utilisateur créé est utilisable depuis Nagios, Centreon, et NaReTo, il convient donc de le créer une seule fois. Pour cela, la démarche est assez similaire à la création du groupe d'utilisateurs. Dans le même onglet que la création des " Groupes Utilisateurs " il faut sélectionner " Utilisateurs " dans le menu de gauche et là on choisit de créer et de modifier tous les utilisateurs du serveur de supervision. Voici comment se présente la fiche " Utilisateur " à remplir lorsque nous souhaitons en créer un ou en modifier un: 30

31 Il est essentiel pour un nouvel utilisateur de renseigner son nom, son alias, son adresse mail (pour la future notification), le groupe auquel il fait partie (ici, nous pouvons en spécifier un directement car nous avons pris soin de le créer avant), puis s'il possède le droit d'accéder à l'interface Web, son mot de passe, sa langue, le format du mail, s'il est considéré comme un administrateur et s'il souhaite s'authentifier uniquement en local ou pas. Pour finir il faut spécifier quels types de notifications l'utilisateur souhaite recevoir. Dans le cas du lycée Camus, seuls les notifications sur les services pour un seuil «warning» et «critical» ont été activées, et ce, dans le but d'éviter une profusion de mails Création d un groupe de machines Afin de pouvoir rajouter une machine dans le serveur de supervision, il faut ajouter tout d'abord comme pour les utilisateurs, un groupe, en l'occurrence un groupe de machine ici. Dans l'onglet "Configuration " comme précédemment, on clique sur " Hosts" puis dans le menu de gauche, sur " HostGroups ". Tout comme un groupe d'utilisateur, les champs à spécifier lors de la création d'un groupement de machine requiert uniquement un nom, un alias, on peut également spécifier une communauté SNMP. Comme pour l'ajout des machines ou «host», la spécification de la communauté SNMP et de la version du protocole s'avère capitale. Pour une communication réussie entre Nagios et les appareils manageables, ces informations doivent être identiques. Ici la communauté se nomme «public» et la version SNMP utilisée est la 1. La communauté est la seule sécurité du protocole SNMP, «public» est son nom par défaut mais on peut lui en assigner un autre. Toutefois, et c'est là la faiblesse du protocole, il faut savoir que ce «mot de passe» transite en clair sur le réseau. Un défaut que la version 3 tente de corriger (version qui, malheureusement, n'est pas supportée par tous les appareils et qui n'est pas standardisée). 31

32 La création d'un groupe d'hôtes Ajout des machines Maintenant que les utilisateurs et les groupement de machine sont créés, il faut renseigner les «host», c'est à dire les machines que nous voulons superviser. La méthode est sensiblement similaire aux étapes précédentes, mais il est conseiller afin d'éviter du travail superflu, de créer «des templates», des modèles de machines qui renseignent à la fois la communauté SNMP, les vérifications et les notifications. 32

33 Adapté au contexte du Lycée Camus, cela donne 5 modèles : les serveurs, les périphériques d'impression, les switchs, les bornes WIFI et les onduleurs : Ajout du service SNMP4 Le protocole SNMP est le cœur du dispositif de supervision, c'est lui qui va nous permettre d'interroger nos machines. C'est pourquoi il est indispensable d'installer le service associé sur le matériel à superviser Windows XP server 2003 Première étape, les serveurs. Dans l ajout/suppression de programmes du panneau de configuration, on clique sur, «ajout de composant windows», «Outils de gestion et d analyse», «détails» et l on installe l agent SNMP. 4 Confère page 13 en annexes 33

34 Une fois installé, menu contextuel sur le poste de travail puis «gérer». Dans «Servivces», on s'aperçoit de l'ajout du service SNMP. 34

35 Configuration de l'agent SNMP : On clique sur l'onglet «Agent». Activer l'ensemble des «services» et renseigner selon la configuration les champs : «Contact» et «Emplacement». Cliquer sur l'onglet «Sécurité» Il est fortement conseiller de n'autoriser que certaines machines a réaliser des requêtes SNMP sur la machine Windows. Ainsi on coche l'option : «Accepter les paquets SNMP provenant de ces hôtes» en précisant les serveurs qui pourront réaliser les requêtes. 35

36 36

37 3.6.2 Switchs Cisco 2960 et Hyperterminal Pour accéder à l'interface des switchs Cisco, utiliser «Hyper Terminal». > enable # configure terminal # snmp-server community public RO # exit # copy run start # show running-config On précise bien la communauté qui doit être la même que sur le NMS (Network Manager System) Nagios. On rajoute «RO» soit «Read only» (on ne pourra que lire les informations remontées par le SNMP). On enregistre la nouvelle configuration et pour être sûr que les changements ont été pris en compte et on vérifie la nouvelle configuration Interface graphique CNA L'autre moyen d'installer le service SNMP sur les switch, consiste à utiliser l'interface graphique CNA (Cisco Network Assistant) qui dresse un listing complet des équipements Cisco et qui permet une configuration à distance. 37

38 Dans le menu de droite, on choisit «configurer», puis «snmp». On précise la chaîne de communauté (dont on a souligné l'importance). 38

39 3.6.3 Bornes WIFI Cisco Aironet 1130AG Les bornes WIFI se configurent par une interface web. Pour y accéder, on indique l'adresse IP dans la barre de navigation du navigateur. On précise bien «enable» et surtout le nom de la communauté : «public». 39

40 3.6.4 Les périphériques d'impression Le lycée disposant d'un parc hétéroclite de périphériques d'impression, intéressons nous au modèle majoritaire : la HP LaserJet On accède à l'interface de configuration par le web (adresse IP) en mentionnant un login et un mot de passe. Indiquer «enable» et le nom de la communauté Les onduleurs Le local technique 1 dispose de plusieurs onduleurs capables d'assurer une autonomie électrique de 10 minutes pour l'ensemble du réseau. A l'instar du reste du matériel, ils possèdent une adresse IP et le service SNMP est automatiquement démarré. Pour s'en assurer, il suffit de se rendre sur l'interface web d'une des machines. 40

41 3.7 Installation de services supplémentaires NS Client ++ L'agent SNMP relève automatiquement quelques informations sur le matériel manageable. Pour s'en rendre compte, se rendre dans Centreon «fiches d'identité». Pour chaque machine répertoriée, une fiche d'identité qui comprend les informations relevées par le protocole SNMP. 41

42 Pour aller plus loin et obtenir des graphiques des états, l'installation sur les erveurs Windows de NSClient ++ s 'avére indispensable. Tout comme NRPE pour Linux, NS Client offre plusieurs services (sous l appellation Check_NT) : charge du CPU, espace disque, trafic, RAM disponible. Pour vérifier s il est bien installé, par le shell : #cd /usr/lib/nagios/plugins #ls check_nt #check_nt 42

43 Fonctionnement schématique de NSClient ++ L'agent sur le serveur Windows remonte alors les informations demandées dans le fichier service.cfg (l'utilisation de cet agent se fait de manière similaire sur Nagios pur ou sur Centreon). Dans un premier temps, on télécharge le service : Ensuite il faut: Dézipper le client dans le répertoire c:\nsclient Ouvrir une commande DOS (cmd.exe) Puis entrer les commandes suivantes: cd \nsclient nsclient++ /install Ouvrir le gestionnaire des services et vérifier que le service est autorisé à Interagir avec le bureau : Editer le fichier c:\nsclient\nsc.ini (cf. annexes p.21) La dernière étape consiste à vérifier que NS Client ++ est bien installé sur Windows, pour que nous puissions démarrer les services associés : #cd /usr/lib/nagios/plugins #./check_nt H p12489 v CLIENTVERSION s None #NSClient Notons au passage qu il faut impérativement préciser le port qui s'adresse à NS Client (ici 12489), sinon Nagios indique une connexion refusée. Tout est désormais installé pour profiter des services de Nagios. 43

44 Dans le menu contextuel du poste de travail, «gérer», on liste les services pour s 'apercevoir de la présence de NSClient ++. Il suffit ensuite de le démarrer : 44

45 3.7.2 Services pour serveurs HP et Dell Pour pousser l'analyse et la supervision du parc, les machines HP et Dell proposent l'installation d'agents : Insight Managment agent pour HP et Open Manager pour HP. Ces derniers permettent au NMS de connaître les différentes températures des composants, notamment. Des plugins leur sont associés, c'est le de «Check SNMP CPQ Health» pour HP. Après discussion avec mon tuteur, la décision a été prise de ne pas installer ces agents puisque leur installation nécessitait entre autre un reboot du serveur, et que les informations remontées n'étaient pas de la plus haute importance. 3.8 Ajout des plugins Généralités Les services, condition sine qua non du bon fonctionnement de Nagios, sont le cœur de la supervision. Ces scripts interrogent de façon active les matériels où l'on a préalablement installé l'agent snmp.5 De façon régulière le serveur Nagios va recevoir les informations demandées. 5 Voir annexes pour une explication plus approfondie sur les traps SNMP p.13 45

46 Fonctionnement schématique d'un plugin Étant des scripts (perl, C ou autres langages), les plugins6 sont d'une grande malléabilité, ils permettent de gérer les seuils d'alerte pour les notifications à l'administrateur. FAN dispose d'un package standard de plugins les plus utilisés : espace disque, RAM, CPU, trafic... Néanmoins pour plus de données, il est indispensable de rajouter manuellement des plugins créés par des utilisateurs (à moins de les écrire). Chemin du répertoire de plugins : # cd /usr/share/lib/nagios/plugins Grâce à l'éditeur VI (et accessoirement Putty pour le copier/coller), on créée les nouveaux plugins, puis on le rend exécutable en modifiant les droits : # chmod 777 «nom_du_plugin» 6 Greffons en Français 46

47 Répertoire contenant les plugins dans Nagios Les plugins dans Centreon Une fois nos nouveaux services intégrés à Nagios, nous les retrouvons sur l'interface de Centreon. Comme pour les machines, les services s'ajoutent en cliquant sur «Configuration» et sur le sous onglet " Services ". La fiche descriptive d'un service se présente sous la forme suivante: 47

48 Plusieurs choses importantes : l ajout du service, les niveaux d alerte, et les machines auxquelles on assigne ce service (le nom des hosts ou des groupes). «Configuration», «Services», «Ajouter» puis «relations». Une fois ajoutées, et ceci est valable pour toutes les modifications sur Centreon, il faut exporter les nouvelles données sur Nagios et redémarrer. 48

49 Pour autant, il faut adapter les plugins en y renseignant un certain nombre d'arguments. L'ajout d'un service («Commande de check» dans «Ajout de service») ne se fait pas automatiquement. La saisie des scripts se fait dans «Configuration» sous onglet «Commandes» : En cliquant sur un de ces services, on accède au script. Pour faciliter la procédure, Nagios utilise des alias (par exemple $USER1$ correspond au chemin des plugins «cd /usr/lib/nagios/plugins/» et $HOSTADDRESS$ s 'associe aux adresses IP rentrées lors de la création des Hôtes). 49

50 3.8.4 Test des plugins Pour connaître les différents arguments à rentrer pour une commande, il est conseiller de se logger sur Nagios en tant qu'utilisateur et d'utiliser l'argument «-h» synonyme de fichier d'aide. Précisons d'emblée qu'il faut tester ces plugins en tant qu'user lambda car une telle manœuvre sous root peut entraîner un dysfonctionnement de Nagios (la commande exécutée se place dans les fichiers temporaires cd /temp, rendant son exécution ultérieure impossible, l'utilisateur de Centreon ne disposant pas des droits pour exécuter un fichier «.tmp»). Exemple : On passe en utilisateur Nagios et l'on précise «-h» à la fin de la commande. Toute la syntaxe s'affiche alors. 50

51 Ensuite on peut l'exécuter sous Nagios afin d'être sûr de son efficacité. Une fois ces conditions et précautions remplies, on insère le script exact dans Centréon pour un résultat graphique Liste des services installés. Voici un tableau récapitulatif des services installés sur les différents groupes de machines : NOM MATERIEL SERVICES Switchs de niveau 2 (Cisco 2960) Ping Mémoire Température Environnement général Switchs de niveau 3 (Cisco 3750) Ping Mémoire Température Environnement général Trafic sur ports identifiés (Serveurs, SLIS, Amon, R2D2, Coruscant, C6PO, Endor, 4AC44100, Tatooine) Serveurs Dell et HP Ping Charge du CPU RAM Espace disque Service DNS Bornes Wifi Ping Trafic Mémoire Périphériques d'impression Ping Compteur Niveau du toner 51

52 Photocopieurs Ping Compteur Niveau du toner Statut d'impression Statut ethernet Statut IEEE 1284 Statut USB Statut fax Onduleurs Ping Charge électrique Plus d'informations dans les annexes p.... quant aux scripts utilisés et leur syntaxe. Deux services s'ajoutent aux précédents : un ping sur Internet (sur la base d'un traceroute, la deuxième adresse IP après le routeur Alcatel Gigalis) et sur le routeur Alcatel Gigalis Supervision et analyse des résultats Centreon Centreon propose des outils qui nous permettent de visualiser les informations Les graphiques Dans «Vues d oreon», on choisit un «host» qui graphe l évolution des caractéristiques observées (cpu, disque, traffic ). 7 Gigalis est une entreprise travaillant avec la Région, équipant entre autres les lycées et les Hôpitaux. Leurs routeurs utilisent les infrastructures Numéricâble qui reposent sur la fibre optique. 52

53 Cet outil analyse les résultats sur différentes échelles temporelles, quotidiennement, hebdomadairement, mensuellement et annuellement. 53

54 Le reporting Outre la possibilité de grapher nos résultats, Centreon propose un reporting de la machine au travers d'une vue globale de son évolution agrémentée de diagrammes. On le trouve dans le menu «Reporting». 54

55 Le monitoring Il précise l'état des différents services: Notons que le sous menu «Gestionnaire d'événements» dresse un listing de tous les logs. 55

56 3.9.2 Nagvis Nagvis est un plugin de cartographie basé sur le plugin NDO (Nagios Data Out) qui exporte les données dans la base de données Nagios. Ce plugin permet différents niveaux de lecture (possibilité de liens html) qui donne une vision synthétique de l'état du réseau. Loin d'avoir les fonctionnalités d'un logiciel de dessin du type Gimp ou Photoshop, il est préférable d'utiliser un logiciel tel que Microsoft Visio pour définir le fond des cartes. Ce fond défini, on l'importe dans Nagvis au format.png, avant dajouterles icônes symbolisant les hôtes ou les services. Exemple pour la réalisation d'une carte (menu "edit curent map"), on indique les coordonnées pour le placement de l'icône, la machine (et le service éventuellement), ainsi qu'un lien (vers une autre carte dans le cas présent). Pour ce faire, clic droit sur la page et "add object" "icône". Voici un exemple d'une carte réalisée avec Nagvis et Microsoft Visio : 56

57 Un clic sur un symbole amène à une autre carte, exemple pour le «Groupe Wifi» : Il suffit de choisir une des bornes pour qu'une autre carte nous renseigne sur ses services : 57

58 Enfin grâce à un autre lien html, chaque service renvoie au graphique associé : On peut visualiser le reste des cartes en annexes. 58

59 3.9.3 Notification par Le serveur de messagerie Postfix, installé automatiquement, nous alerte des problèmes du réseau. Lors de la création des utilisateurs donc des administrateurs sur Centreon, on précise une adresse mail ainsi que les seuils d'alerte. Nagios demande un travail en amont important où l on doit s'interroger sur le degré de criticité entraînant la notification et du niveau d'importance des services. Ce travail s'effectue au fur et à mesure, en fonction du nombre de mail reçus. Si l'on demande des notifications pour tous les états (c'est à dire «warning», unknown», «critical», «recovery» et «flapping») à des intervales trop rapprochés, on sature rapidement la boîte mail et l'on ne distingue plus les problèmes importants de ceux plus bénins. En effet certains appareils sont plus indispensables que d'autres. Un serveur mérite une attention plus marquée qu'une imprimante. Il faut donc jauger en permanence pour trouver un bon équilibre. Ci-dessus, la spécification du mail pour l'administrateur lors de sa création. 59

60 L'administrateur peut être alerté par mail, sms... Il convient d'affiner les états d'alerte. Par défaut, Nagios dispose d'une boîte mail : # cd /var/spool/mail/root/ Après création d'une adresse pour l'administrateur Nagios ([email protected]), un problème est survenu par rapport au protocole SMTP implémenté dans Postfix. Celui-ci se trouvait bloqué et il a fallu lui indiquer un relai, en modifiant le fichier de configuration de Postfix : # cd /etc/postfix/main.cfg/ # vi relayhost relayhost = L'adresse IP correspond au SLIS à la fois Firewall et relai SMTP. Ce problème résolu, on a pu sans problème accéder à la boîte : 60

61 61

62 3.10 Backup et restauration de Nagios Backup Pour sauvegarder les données du serveur Nagios, il faut pour ça écrire un script qui va à la fois prendre en compte les bases de données et aussi les fichiers de configuration. A la racine de Nagios, avec «vi» on créée ce fichier avec l'extension shell «.sh» puis on le rend exécutable : # chmod 777 backup.sh Le script backup.sh : 62

63 On a préalablement installé un fichier de partage sur le serveur c6po ( , nécessite aussi le login et mot de passe de connexion), il aura donc fallu monter une image («mount») sur le serveur Nagios et y déplacer le fichier de sauvegarde compressé : Pour accéder au partage réseau Windows on installe Samba : # yum install samba samba-common samba-client samba-swat Après avoir exécuté le script :./backup.sh, on retrouve l'archive sur le serveur : Automatisation du backup Dans un souci de sécurité, il est très utile de définir une tâche planifiée pour la sauvegarde. Pour linux une commande les définit : «crontab». En entrant : # crontab -l On liste les tâches existantes. Pour en créer une : # crontab -e # * * 6 /root/./backup.sh (mm hh jj MMM JJJ tâche > log) 63

64 Restauration La restauration se fera grâce à un script à exécuter à la racine de Nagios : echo "--transfert depuis le serveur de backup--" mkdir -p /mnt/windows mount -t cifs -o username=nagios,password=zocnitro // /sauv_nagios /mnt/windows cp /mnt/windows/nagios_save.tar.gz./ # mkdir : création d'un répertoire, puis d'un point de montage (cf. backup) #on copie l'archive (cp) echo "--dezippe de l'archive avec les meme droits--" tar -p xvzf nagios_save.tar.gz umount /mnt/windows # -p = mêmes droits que précédemment echo "--Création des tables sql--" mysql -u root -e "create database centreon"; mysql -u root -e "create database mysql"; mysql -u root -e "create database centreon_cds"; mysql -u root -e "create database nagios"; mysql -u root -e "create database test"; mysql -u root -e "create database nareto"; echo "--Remplissage de la base--" mysql -u root mysql < mysql_bkp.sql mysql -u root centreon < centreon_bkp.sql mysql -u root centreon_cds < centreon_cds _bkp.sql mysql -u root nagios < nagios_bkp.sql mysql -u root nareto < nareto_bkp.sql mysql -u root test < test_bkp.sql echo "--Delete des fichiers temporaires--" rm./mysql_bkp.sql./centreon_bkp.sql./centreon_cds_bkp.sql./nareto_bkp.sql./nagios_bkp_sql./test_bkp_sql echo "--suppression de l'archive--" rm./nagios_save.tar.gz echo "--transfert vers serveur de backup--" 64

65 3.11 Migration de FAN 1 vers la version 1.1 Nagios est une communauté très active et, qui plus est, un projet français (documentation et forums abondants). FAN, lui aussi français, relève de l'initiative d'une petite équipe réunie autour de Cédric Temple. Sur son blog, on trouve les nouveautés inhérentes à FAN. Le 5 janvier 2009 était mis en ligne la version 1.1 de FAN en attendant une future version 2. Pour updater FAN 1 rien de plus simple qu'une ligne de commande : # yum update Il faut simplement modifier le fichier.ini de Nagvis pour que celui-ci fonctionne correctement : # /etc/nagios/nagvis.ini.php Aux lignes 105 et 107, décommenter : dbuser="root" dbpass="" Donc rien de plus à spécifier si ce n'est l'accès au dokuwiki : # yum install dokuwiki Cette nouvelle version corrige quelques bug et met surtout à jour la version de Nagvis vers la L'interface de démarrage web change également : 65

66 4 GHOST D'UNE MACHINE La gestion du parc informatique nécessite un entretien permanent et cela passe par une mise à jour régulière des postes. Pour cela l'administrateur dispose de postes «Master» qu'il agrémente régulièrement de nouveaux logiciels (parfois à la demande des professeurs) et pour lesquels il effectue des mises à jour de Windows. Au lieu d'installer manuellement une copie de ce «Master» sur chaque machine, le logiciel «Ghost Symantec» permet la réplication à grande échelle des ghosts par l'intermédiaire du réseau local. Pour cela les machines doivent juste appartenir au domaine du lycée (ici «dcamus.local»). Voilà les principales étapes d'un ghost : 66

67 4.1 Installation du client distant Interface du logiciel : Pour que le ghost s'effectue normalement, la machine distante a besoin d'un client ghost. Avant cela, on a pris soin de rentrer la machine dans le domaine et de lui donner un nom. Pour notre exemple, il s'agit d'installer une image sur le poste C106A02, qui intégrera une armoire multimédia destinée aux intervenants extérieurs voulant profiter du WIFI. Dans «Outils», on choisit «installation du client distant» en précisant le nom de la machine et le login et mot de passe de l'administrateur: 67

68 Il n'y a plus qu'a cliquer sur le bouton «installer» 68

69 4.2 Configuration de la machine à ghoster Dans «Ressources de configuration» puis «configuration», on copie une machine existante (ex : la C106A01) puis on renseigne le nom de l'ordinateur et son appartenance au domaine «dcamus.local». Aucun autre champ n'est à renseigner (TCP/IP) car un serveur DHCP s 'occupe de l'adressage dynamique. 69

70 4.3 - Reconstruction de la machine On copie d'abord une tâche existante que l'on renomme ensuite : Dans les propriété, on coche «cloner», «configurer» et «exécuter»: 70

71 Dans «clôner», on choisit la partition de destination et surtout on indique l'utilisation du Ghostwalker qui va attribuer un SID à la machine distante, la différenciant des autres PC. Dans la configuration on associe la configuration précédemment créée à la tâche à effectuer (glisser/déposer). 71

72 Une fois le ghost terminé, s'exécutera ce script, il permettra d'installer l'antivirus automatiquement: Notre nouvelle tâche définie, il ne reste plus qu'à faire un clic-droit et l'exécuter : 72

73 La tâche s'exécute et l'on peut voir son avancement sur le poste distant : 73

74 5 INTEGRATION D'UN SWITCH CISCO A UNE BAIE DE BRASSAGE Le but de l'opération consistait à intégrer un switch Cisco 2960 à la baie de brassage du local technique 5, offrant pour l'occasion de nouveaux ports. Tout d'abord, il fallait configurer le switch à intégrer. 5.1 Switch Cisco 2960 En liaison série, par le biais d'un hyper terminal en ssh : switch > en switch # conf t switch (config) # cluster-commander eb.9d00 member 8 name LT5 vlan 1 La commande «cluster-commander» nous permet d'intégrer le nouveau switch. Ensuite, préciser l'adresse mac du maître de pile, le nom du nouveau membre,du cluster et le Vlan. switch (config) # interface gigabit Ethernet 0/1 switch (config-if) # switchport mode trunk switch (config-if) # spanning-tree link-type point to point On choisit l'interface à configurer qu'on passe en mode «trunk», c'est à dire qu'on autorise plusieurs Vlan sur le même port. Le protocole «spanning-tree» va quant à lui permettre la redondance des données. switch (config-if) # exit switch # conf t switch (config) # interface vlan 1 switch (config) # ipaddress

75 5.2 Configuration du maître de pile Une fois le switch configuré, il reste à informer le maître de pile de cet ajout. switch > en switch # show cluster candidates details 001d.a1df.2c80 switch # conf t switch (config) # cluster member 8 mac-adress 001d.a1df.2c80 switch (config) # exit switch # copy run start 6 INTEGRATION DE NOUVEAUX ELEVES DANS ACTIVE DIRECTORY Cette opération dépend non pas d'active Directory comme on pourrait le croire mais d'un logiciel appartenant à l'education Nationale : IACA. Ce logiciel contient la base de données du personnel des étudiants. Sur le serveur R2D2, il faut d'abord modifier la liste des élèves, pour y incorporer les 75

76 nouveaux. Dans un fichier.csv déjà existant on rajoute les noms. Puis avec «sconetmodif.exe» on importe ce fichier. On clique sur «rapprocher en fonction de la date de naissance pour voir apparaître nos 3 nouveaux élèves. On clique sur «Effectuer les changements dans le serveur» pour mettre à jour IACA. Le logiciel IACA est essentiel puisque c'est lui qui donne aux utilisateurs un login et un mot de passe pour accéder au réseau. Chaque compte créé se verra automatiquement exporté vers Active Directory. Puis dans IACA après la mise à jour, on importe les nouveaux profils : «fichier», «importer les utilisateurs». 76

77 L'élève est bien créé, il faut désormais lui imposer le profil par défaut qui se trouve dans le NETLOGON. Ainsi IACA créée le profil personnel sur le serveur R2D2 : «fichier», «mettre à jour». Les nouveaux utilisateurs ont bien été ajoutés dans Active Directory : 77

78 7 CREATION D'UNE DMZ POUR LE SERVEUR 4AC44100 Le serveur susnommé se trouvait jusqu'à présent dans le LAN du Lycée, joignable depuis l'extérieur pour que les professeurs puissent utiliser leurs ressources. Une faille de sécurité regrettable, dont la correction passait par la mise en place d'une DMZ, isolant le serveur du LAN. Le bâtiment tertiaire dispose à la fois de son modem et de son serveur SLIS (firewall et proxy du Rectorat). Voilà la topologie imaginée : 78

79 Quatre étapes de configuration : Le switch de niveau 3 Cisco 3750 du LT 5 Le SLIS Le routeur (rajouté pour l'occasion) Le serveur (adressage) 7.1 Le Switch Il se situe entre le réseau local et le serveur SLIS. 79

80 Avec CNA : Pour passer le SLIS on indique sa patte LAN ( ) et l'adressage derrière ( ). 7.2 Le SLIS 80

81 Le SLIS étant un serveur Linux, on utilise la commande : # route add dev «interface» On indique la patte du modem et l'adressage Le routeur De la même façon on modifie la table de routage du routeur par son interface web,8 en lui précisant les pattes WAN du SLIS et LAN du modem Le serveur 4AC44100 On lui applique une nouvelle adresse : et la passerelle DMZ du routeur : Malgré les règles de routage qui semblaient bonnes après vérification, il était impossible de pinger la patte WAN du SLIS. Le SLIS étant à la base une machine configurée par le Rectorat, l'explication est peut être là. Le chemin pour retrouver la configuration du Rectorat est inconnu. Ceci reste une hypothèse et la solution d'avenir consistera à réaliser de nouveau ce schéma mais cette fois sur l'autre modem GIGALIS. 8 L'opération ayant échoué, je n'ai plus accès à l'interface web de configuration... 81

82 8 BILAN Tâche Monter le serveur de supervision Nagios Etat de fonctionnement Remarques OK, informations principales Quelques ajustements à remontées (trafic, CPU, faire au niveau des RAM, Disque, Encre...) notifications, et possibilité de surveiller plus précisément les serveurs Dell et HP. Ghost des machines, mise à OK, les machines sont à jour Avec le projet de serveur jour du parc et les nouveaux portables virtuel et de clients légers, sont opérationnels cette procédure devrait se simplifier Ajout d'un Switch Cisco 2960 OK, de nouveaux ports sont RAS dans le LT5 disponibles Ajout de nouveaux élèves sur IACA/Active Directory OK, transfert de IACA à Active Diretory automatique RAS DMZ Échec Le routeur SLIS est configuré par le Rectorat et ne permet pas toutes les modifications. Par rapport aux objectifs de départ on peut dire qu'ils sont remplis hormis un projet en suspens : la sécurisation de la communication entre l'extérieur et le lycée (VPN?). En effet, le personnel et les étudiants pourront à terme consulter leur profil et les documents du lycée depuis n'importe où. Ce projet formulé au départ n'a pas été abordé par manque de temps. Pour le reste, le serveur Nagios est opérationnel avec une remontée d'informations et notification à l'administrateur effectives. La cartographie recouvre tous les équipements et services avec des niveaux de lecture différents. Cependant, à l'avenir il serait sans doute intéressant de pousser la supervision sur des détails concernant la température des composants des ressources. Il faudra sans doute installer les clients Dell et HP mentionnés précédemment et pourquoi pas écrire soimême les plugins pour une personnalisation de la supervision ( sue la base des OID et du MIB browser). Un des projets d'avenir intéressant pourrait consister à renseigner dans Nagios tous les postes de travail. Néanmoins l'entreprise s'avère à la fois risquée et fastidieuse dans la mesure où les postes sont amenés à bouger régulièrement (problème de cartographie) et que le parc, du fait de son hétérogénéité, est mis à jour ponctuellement par la Région. Enfin il faudrait prévoir une solution de déploiement de masse des agents SNMP et NSClient ++ puisque le parc représente tout de même plus de 500 machines. 82

83 CONCLUSION On peut dire qu'aujourd'hui, le serveur Nagios est en état de marche et qu'il remonte bien toutes les informations souhaitées par l'administrateur. Comme évoqué dans le bilan, le serveur Nagios n'est pas figé et doit s'adapter aux évolutions du lycée. Il faudra sans doute y rentrer de nouveaux hôtes, adapter plus finement les seuils critiques pour une notification adéquate. La cartographie risque elle aussi d'être remise en cause avec les mutations permanentes de matériel. Outre le projet «Nagios» (qui c'est vrai m'a beaucoup occupé ),j'ai, dans la mesure du possible, apporté mon aide à l'administrateur Yoann Pichard dans les interventions techniques auprès des utilisateurs et dans la mise à jour du parc. D'un point de vue personnel ce stage aura été l'occasion de découvrir de façon concrète le fonctionnement d'un réseau et de ses éléments, démythifiant quelque part l'aspect inabordable d'une structure de quelques 600 machines. Il m'a permis, et ce grâce à la confiance accordée, de me confronter en temps réel aux aléas du réseau et de pouvoir intervenir en tant voulu. Ce premier pas en entreprise me semble primordial pour envisager l'avenir puisque j'ai vraiment pris goût au travail dans ce lycée, et n'écarte pas la possibilité de travailler pour l'education Nationale un jour. En effet la diversité des tâches et le côté «touche à tout» qu'il implique est la garantie d'un travail enrichissant. 83