Session 2015 Épreuve CCF E4 Documents de Contexte M.L.I.F. Lycée Maximilien Sorre Cachan Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 1/46
Table des matières 1 Présentation entreprise et architecture...3 1.1 Entretien avec le responsable de la MLIF...3 1.2 Architecture de la MLIF...5 1.2.1 Description du site de la MLIF...5 1.2.2 Implantation des quatre bâtiments...6 1.2.3 Implantation des locaux en rez-de-chaussée des quatre bâtiments...6 1.2.4 Implantation des ligues dans les bureaux...7 1.2.5 Équipement en matériel informatique des espaces...7 1.2.6 Connectique fournie selon les espaces...7 1.2.7 Implantation des écrans du réseau d'affichage et des bornes Wifi...7 1.2.8 Schéma d'implantation des bornes Wifi et du réseau d'affichage...8 1.2.9 Implantation des baies de brassage...8 1.2.10 Schémas d'implantation des baies de brassage...9 1.2.11 Services proposés aux ligues par la MLIF...9 1.3 Structure informatique de la MLIF...10 1.3.1 Système de gestion des configurations...10 1.3.2 Intégration des postes informatiques clients...10 1.3.3 Intégration d'imprimantes...11 1.3.4 Réseaux informatiques...11 1.3.5 Les serveurs MLIF...12 2 Mise en œuvre du contexte dans le cadre du lycée...13 2.1 Modalité d'accès et de gestion du contexte...13 2.1.1 Principe...13 2.1.2 Gestion de votre contexte...13 2.1.3 Gestion des machines du contexte...13 2.2 Remarques sur le nommage des éléments du contexte...14 3 Normes et standard de l'entreprise...16 3.1 Principe...16 3.2 Plan d'adressage...16 3.3 Attribution des adresses des clients...16 3.4 Attribution des adresses des serveurs...16 3.5 Enregistrement dans le DNS...16 3.6 Synchronisation des horloges...16 3.7 Accès ssh...17 3.8 Mise à jour des systèmes d'exploitation...17 3.9 Supervision...17 4 Configuration des machines du contexte...18 4.1 Routeurs...18 4.1.1 Routeur-1...18 4.2 Coeur...24 4.2.1 srv-dns...24 4.2.2 srv-donnees...28 4.2.3 srv-2k8...30 4.2.4 supervision...32 4.3 DMZ...42 4.3.1 srv-web...42 4.3.2 srv-proxy...45 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 2/46
1 Présentation entreprise et architecture 1.1 Entretien avec le responsable de la MLIF Retranscription de l'entretien que vous avez eu avec le directeur, M. Clément Nirrep lors de votre prise de fonction à la Maison des Ligues d'île de France Q. M. Nirrrep, merci de m'accueillir dans ces locaux tous neufs et superbes de l extension de la Maison des Ligues d'île de France. Pouvez vous me dire quel sont les fonctions est les missions de la MLIF et m'indiquer son statut juridique et ses sources de financement? R. La Maison des Ligues d'île de France (MLIF) a pour mission de fournir des espaces et des services aux différentes ligues sportives régionales et à d autres structures hébergées. La MLIF est une structure financée par le Conseil Régional d'île de France dont l'administration est déléguée au Comité Régional Olympique et Sportif d'île de France (CROSIF). La Maison des Ligues est un établissement du Conseil Régional. Ce n est pas une entité juridique en propre. Elle est financée à 100 % (pour son fonctionnement et pour la construction récente de l extension des bâtiments C et D) par le Conseil Régional et sans aucune participation du Conseil Général de Seine & Marne, bien qu elle abrite un certain nombre de comités départementaux. Une convention de cogestion a été passée entre le Conseil Régional et le Comité Régional Olympique et Sportif d'île de France pour la gestion de l outil «Maison des Ligues». Le CROSIF est une association financée par le ministère via le CNDS (Centre National de Développement du Sport). Q. Quelles sont les structures que vous hébergez? R. La Maison héberge la majorité des ligues sportives régionales, de la ligue de tennis (la plus grosse, qui emploie 8 personnes) à des ligues de sports qui n ont pas d employés permanents, comme le bowling ou la plongée sous marine. La ligue de football occupe 2 000 m 2 de bureaux dans la banlieue de Paris et ne sera probablement jamais hébergée dans nos locaux. Nous hébergeons également, comme je vous le disais, quelques comités départementaux, ainsi que le CROSIF et sa déclinaison départementale : le CDOS (Comité Départemental Olympique et Sportif). Q. Existe il une convention d hébergement? R. Oui, la convention initiale date de 2003. On parle de convention d'occupation du domaine public. Elle est en cours de révision, puisque les locaux ont été agrandis et que de nouveaux services sont apparus. La nouvelle version sera disponible l été prochain, elle est assortie d un règlement intérieur. Dans cette convention figure notamment l obligation d assurances en responsabilité civile des structures hébergées. Je peux vous donner un exemple de cette convention. Q. Quelle est la nature du «loyer» demandé aux «locataires»? R. On est davantage sur le principe d une participation aux charges de gestion courante, plutôt que sur celui d un loyer à proprement parler. On est sur la base de 5 par m 2 et par mois, avec une augmentation prévue d un euro dans les mois à venir. Un appel est effectué sur cette base forfaitaire en début d année et une régularisation pourrait être demandée en fin d année en cas de dépassement de la consommation électrique, mais cela n a jamais été fait jusqu à maintenant. La réalité des charges à répartir est difficile à cerner. Si vous prenez par exemple le poste «nettoyage des locaux» : celui ci fait l objet d un appel d offres du Conseil Régional pour l ensemble de ses implantations. Il est difficile de savoir quelle est la part affectée à la Maison et encore moins la part qui incomberait aux structures hébergées. Il n y a pas eu jusqu à maintenant de comptabilité analytique dans ce domaine. Les charges comprennent le chauffage, l électricité, le nettoyage, l accès Internet ; le téléphone n en fait pas partie. Les consommations sont re facturées chaque trimestre aux structures hébergées. Depuis la mise en place de la téléphonie IP fin 2010, on peut connaître les consommations poste par poste et même structure par structure. Les appareils téléphoniques font partie de la prestation d hébergement, Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 3/46
comme la fourniture de trois badges pour l entrée et de deux clés par bureau. Q. Qui facture les prestations d hébergement et les prestations annexes aux structures? R. Nous sommes dans le cadre d une convention de cogestion entre le CROSIF et la Région Île de France, mais il n est pas question que le CROSIF facture l utilisation de ressources appartenant à la Région, comme les locaux ou le téléphone par exemple. Par contre, le CROSIF facture des prestations annexes réalisées sur des équipements lui appartenant, comme l affranchissement et les tirages sur les photocopieurs numériques. Q. Comment fonctionne le système de réservation des salles ressources, comme les salles de réunions, l amphithéâtre ou encore la nouvelle salle de convivialité? R. Concernant l amphi, il y a ½ journée gratuite par an pour chaque ligue et comité départemental (CD). Les salles de réunions d étage sont mises librement à la disposition des occupants de l étage. Les salles de réunions sont réservables via l Intranet, avec différents services associés dont certains sont payants. Il existe quatre niveaux de tarification. En 2011, nous avons reçu 2732 réunions et 47316 personnes ont assisté à ces réunions. Q. Quels sont ces niveaux de tarification? R. Les ligues peuvent réserver sans payer jusqu à concurrence de six réservations par an, hors amphi. Les clubs sportifs et les comités départementaux ont un premier niveau de tarification. Les associations, les lycées ou encore les collèges sont sur un second niveau de tarification. Enfin, tous les autres organismes, y compris des sociétés privées, sont sur le niveau de tarification le plus haut. Pour toutes les structures qui ne sont pas hébergées, les locaux étant publics, il faut faire signer entre les parties une «convention d occupation temporaire». La réservation se fait dans l Intranet directement pour les structures hébergées ou par le secrétariat pour une demande extérieure. Les informations sont ensuite transmises au Conseil Régional qui émet un «titre de paiement», c est à dire une facture d occupation de locaux. Ces titres sont envoyés directement par le Conseil Régional aux utilisateurs. Q. Pouvez vous me parler du personnel de la MLIF et de leurs missions? R. Les personnes qui travaillent ici sont de différentes catégories. Il y a d abord ceux que j appelle les «professionnels». Il y a deux employés du Conseil Régional (des factotums). Il y a sept ETP (Équivalents Temps Plein) employés par le CROSIF ; il y a le personnel des prestataires (gardiennage, ménage) et les salariés des ligues. Ensuite, il y a les bénévoles qui sont les élus des associations : CROSIF, CDOS, ligues, comités départementaux. Il y a également les élus du Conseil Régional et enfin tous les autres : visiteurs, stagiaires, etc. Q. Quelles sont les missions des personnels «Région» et «CROSIF»? R. Nous avons 3 ETP «région», les deux factotums dont je vous parlais précédemment, et moi qui assure la direction générale. Tous les employés dépendent de moi, sauf l'infographiste et vous qui êtes placés sous la responsabilité du Responsable Informatique. Les autres ETP du CROSIF sont les suivants : 0,75 ETP pour le poste de direction général, comme je viens de vous dire 0,5 ETP pour le poste de responsable Informatique, c'est de lui que vous déprendrez 1 ETP de technicien Informatique, c'est à dire vous! 0,5 ETP sur la gestion : facturation du CROSIF et du Conseil Régional, comptabilité, gestion des réservations 1 ETP sur la formation, la communication et le secrétariat 0,80 ETP sur les aspects médicaux liés aux mouvements sportifs 1 ETP d infographiste et gestion des photocopies numériques. 1 ETP sur l accueil qui va bientôt passer en deux fois 0,5 ETP. Q. Comment sont gérés les appels d offres aux prestataires? R. Le CROSIF n est pas soumis à l obligation des marchés publics, contrairement à la Région. Les Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 4/46
appels d offres «Région» sont pilotés directement par les services du Conseil Régional. Les appels d offres du CROSIF sont gérés directement par moi. En général, nous faisons établir quelques devis et nous choisissons nos prestataires sur la base de ces devis. Pour les nombreux projets concernant l informatique, je me fais assister de votre responsable. La réalisation des projets est en parfois confiée à des prestataires locaux mais il nous a semblé plus efficace de vous les confier, d'où votre embauche récente. Q. Avez vous un exemple de projet, l Intranet ou le réseau d affichage numérique? R. C est typiquement un projet mixte. Les téléviseurs du réseau d information numérique ont été fournis par la Région dans le cadre d un appel d offre public. Le système qui fait paraître les informations sur les afficheurs a fait l objet d une consultation et c est la société qui nous avait fourni l Intranet, il y a quelques années, qui a été choisie pour développer ce logiciel qui récupère directement les données du système de réservation des salles. Il n est donc pas nécessaire de ressaisir les informations sur l utilisation des salles. Q. Quelles sont les autres fonctions de l Intranet? R. Comme vous le savez, c est un Intranet accessible également de l extérieur, aussi pourrait on parler aussi d Extranet. Nous donnons des codes d accès aux ligues qui les diffnt aux responsables des clubs qui en font la demande. On y trouve «l annuaire locatif» de la MLIF, c est à dire toutes les informations sur les structures hébergées, les occupants des bureaux, etc. On y trouve un accès à l ensemble des articles sportifs des journaux régionaux, rendus accessibles quelques jours après leur parution. Ce service qui nous coûte environ 2 000 par an permet aux ligues de compiler leur pressbook. Il fait partie de la prestation globale offerte aux hébergés. On y trouve bien évidemment l ensemble du système de réservation des locaux et un ensemble de ressources documentaires, sur les aspects juridiques du sport, les aspects médicaux, etc. Q. En conclusion, quel est le projet qui vous tient actuellement à cœur? R. Nous sommes constamment sur nos gardes en matière de lutte contre les virus et autres joyetés informatiques. Notre objectif est de surveiller et de contrôler à partir d'une plate forme de gestion des configurations les postes de MLIF mais aussi ceux des structures hébergées et d'autre part de cloisonner au maximum les utilisateurs dans des réseaux distincts. Votre responsable vous l expliquerait mieux que moi. Nous souhaitons également favoriser la vidéoconférence, en permettant à certaines réunions de se tenir en minimisant les déplacements des bénévoles. Il existe bien un système de remise d impôt pour ceux ci, mais on ne sait pas si ce système durera. Par contre, on sait que le prix de l essence n aura pas tendance à baisser dans les années à venir. 1.2 Architecture de la MLIF 1.2.1 Description du site de la MLIF Le site se compose de quatre bâtiments, dont deux dotés de quatre étages et donc de 5 niveaux (les bâtiments A et C) et deux de plain pied (les bâtiments B et D) dotés d un seul rez de chaussée. Les bâtiments C et D sont neufs. Les bâtiments A et B datent d'une quinzaine d'années. Les étages des bâtiments A et C hébergent les bureaux des ligues locataires et le rez de chaussée des quatre bâtiments héberge des espaces mutualisés : un amphithéâtre de 200 places avec une régie, 8 salles de réunion de 12 à 50 places, un hall d'accueil, une salle de convivialité et son office traiteur, ainsi qu'une salle de formation multimédia dotée de 24 postes. On y trouve également la partie «accueil» des neuf bureaux de l'administration de la MLIF. L autre partie se trouve au premier étage du bâtiment C. Différents locaux de service (archives, stockage local d'entretien...) se trouvent en sous sol. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 5/46
En fonction de leur taille, les 24 structures hébergées occupent un ou plusieurs bureaux. Au total, la MLIF offre 80 bureaux. A chaque étage des bâtiments de bureaux se trouve une petite salle de réunion que les ligues utilisent sans réservation. L'ensemble des autres salles ressources sont accessibles sur réservation, en journée comme en soirée. 1.2.2 Implantation des quatre bâtiments 1.2.3 Implantation des locaux en rez de chaussée des quatre bâtiments Notes : Les salles Majorelle, Grüber, Lamour, Longwy, Daum, Gallé, Corbin et Baccarat sont des salles de réunion disponibles à la réservation. La salle multimédia est une salle dédiée aux stages de formation à inscription libre proposés par le CROSIF ou pour les stages organisés par les ligues. L'amphithéâtre est réservable pour les assemblées générales ou pour d'autres réunions importantes. La salle de convivialité, et son office attenant, est également disponible à la réservation, souvent pour les repas "traiteur" qui suivent les réunions. Toutes ces salles sont accessibles en soirée : un système de "digicode" permet d'entrer dans les locaux en dehors des heures d'ouverture des bureaux. Différents services peuvent être demandés en parallèle à la réservation : aménagement particulier, fourniture d eau, de café etc. Ces services sont pour la plupart payants. La salle de reprographie est un espace commun aux ligues et à l'administration de la MLIF. Les ligues ont la possibilité de réserver gratuitement l'amphithéâtre ou la salle de convivialité une fois par an et six fois les salles de réunion. Au delà, les réservations sont payantes. D autres structures extérieures peuvent réserver l ensemble des salles ressources moyennant finance. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 6/46
1.2.4 Implantation des ligues dans les bureaux En fonction de leur importance, les ligues et comités départementaux occupent un ou plusieurs bureaux. Ceux ci peuvent communiquer entre eux quand ils sont contigus. Chaque bureau dispose d'un espace de rangement. Les employés et les bénévoles des ligues disposent en bout d'étage d'une salle de réunion libre, laquelle est accessible seulement en journée et sans réservation («premier arrivé, premier servi»). La location se fait sur la base d'un forfait de charges locatives par bureau (5 par m 2 et par mois). Plan standard d'étage : l'exemple du deuxième étage du bâtiment A 1.2.5 Équipement en matériel informatique des espaces Pour ce qui est des ordinateurs et des outils d'impression, la MLIF ne dispose que de ses propres équipements, dans les bureaux d'administration du CROSIF et dans la salle multimédia. Les bureaux des ligues sont équipés par les ligues elles mêmes (hors mobilier de base). Des ressources d'impression mutualisées payantes sont néanmoins disponibles à l'administration de la MLIF. 1.2.6 Connectique fournie selon les espaces Chaque bureau de ligue du bâtiment A dispose de deux prises Ethernet de catégorie 5 et d'une prise téléphonique. Dans le nouveau bâtiment C, ce sont trois prises Ethernet de catégorie 6 qui sont disponibles dans chaque bureau pour connecter du matériel informatique ou un appareil de téléphonie IP. Chaque salle de réunion dispose d'une prise Ethernet pour la connexion d'un PC portable au réseau (de catégorie 5 dans le bâtiment B et 6 dans le bâtiment D). Elle dispose en outre d'un système fixe de vidéo projection, mais pas d'ordinateur à demeure. La salle de formation multimédia dispose de 26 prises Ethernet de catégorie 5, une pour chacun des 25 PC (24 PC "stagiaires" et un PC "formateur"), et la dernière pour une imprimante réseau. L'amphithéâtre dispose de 4 prises Ethernet de catégorie 5 sur le pupitre. Il dispose également d'un système de vidéo projection sur grand écran. Une prise Ethernet est disponible également dans la régie. Les bureaux d'administration de la MLIF disposent en tout de 27 prises de catégorie 6, pour les neuf bureaux. La salle de reprographie est dotée de 4 prises Ethernet de catégorie 6 pour les systèmes d impression numériques connectés. 1.2.7 Implantation des écrans du réseau d'affichage et des bornes Wifi Un système de diffusion d'informations est installé sur 3 écrans 42" dans les espaces de circulation. Ils servent essentiellement à l'information des visiteurs sur les lieux de réunion. Les écrans d'information sont renseignés depuis l'administration de la MLIF. Un réseau Wifi gratuit est disponible pour les visiteurs dans les espaces de réunion du rez de chaussée, mais également dans les étages des bureaux des ligues (les bornes y sont positionnées en quinconce d'un étage à l'autre). Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 7/46
1.2.8 Schéma d'implantation des bornes Wifi et du réseau d'affichage Légende Point d'accès wifi Écran d'affichage 1.2.9 Implantation des baies de brassage Il y a eu un laps de temps important entre la construction des bâtiments A et B (construits au début des années 90) et C et D (tout dernièrement construits, en 2010). Pour le bâtiment A, on trouve une armoire de brassage secondaire pour chacun des 4 niveaux d'implantation des bureaux de ligues. Chacune de ces armoires regroupe 22 prises Ethernet : 20 vers les bureaux, une vers la borne Wifi et une vers la salle de réunion. On trouve un commutateur 26 ports dans chacune de ces armoires (24 ports 10/100 et deux ports Giga combo RJ 45 / SFP). Ces armoires de brassage sont connectées à une armoire centralisatrice au rez de chaussée, dans un petit local climatisé du bâtiment B. Pour le nouveau bâtiment C, on a positionné une seule armoire de brassage au niveau quasi central du second étage du bâtiment. Cette armoire réunit 128 prises, 32 par étage (3 par bureau, une prise pour la salle de réunion et une pour la borne wifi). On y trouve 4 commutateurs 48 ports, dont tous les ports sont utilisables en gigabits/s. Cette armoire est connectée en fibre optique à l'armoire centralisatrice du bâtiment B. Les salles du RDC des nouveaux bâtiments C et D (salles à réservations, bureaux d'administration de la MLIF, la salle de reprographie) ainsi que les bornes Wifi et les 3 écrans d'information sont tous connectés à l'armoire de brassage principale du bâtiment B dans laquelle on trouve 2 commutateurs à 24 ports et un routeur. C'est également le lieu d'implantation de l'armoire à serveurs. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 8/46
1.2.10 Schémas d'implantation des baies de brassage Au Rez de chaussée (du bâtiment B) Dans un étage du bâtiment A C'est au rez de chaussée, dans la baie de brassage principale du bâtiment B que sont regroupés les différents réseaux au moyen de 2 commutateurs routeurs 24 ports empilés, l'accès Internet et l'accès téléphonique standard et IP. 1.2.11 Services proposés aux ligues par la MLIF Accès Internet Les ligues disposent d'un accès Internet mutualisé que la MLIF loue à un prestataire extérieur. Accès Wifi Dans tous les espaces, un réseau Wifi "visiteurs" est disponible, avec une clé WPA renouvelée régulièrement et communiquée aux ligues. Ce réseau ne permet que l'accès à Internet. Téléphonie Dans les bâtiments anciens A et B, les salles et bureaux sont équipés de prises de téléphone analogiques. La MLIF y fournit les combinés téléphoniques. Dans les bâtiments neufs C et D, l'équipement téléphonique est de type VoIP. La MLIF loue des postes téléphoniques IP aux ligues. Affranchissement Une machine à affranchir permet un affranchissement rapide et en nombre. Cette prestation est facturée aux ligues au coût de l'affranchissement. Chaque mois, on relie la machine à affranchir à une imprimante pour obtenir une liste de codes de gestion correspondant aux ligues associés à une quantité et un type d'affranchissement. La prise en compte de ces informations permet au CROSIF d'éditer des factures. Impressions en volume et en qualité imprimerie Les ligues disposent de la possibilité d'imprimer sur des ressources d'impression numériques connectées situées dans le local reprographie du rez de chaussée dont l'usage fait l'objet d'une facturation à prix coûtant. Un système de comptage situé sur le Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 9/46
serveur d'impression permet au CROSIF d effectuer une facturation mensuelle auprès des ligues. une photocopie noir et blanc à 70 pages/minute avec différents dispositifs de finition, une imprimante Laser couleur A4/A3 à encre solide à 25 pages/minute, un traceur A2 (1 page / minute) utilisé pour les affiches et banderoles. Serveur FTP documentaire La MLIF met à disposition des ligues un serveur FTP documentaire intranet/internet regroupant des textes légaux, des modèles de dossiers, de statuts, des programmes de formation (...) compilés par le CROSIF. Système de réservation des salles La MLIF met à disposition des ligues un site web de réservation des salles (réunions, amphithéâtre, restauration). Ce site est accessible en intranet, mais aussi depuis l'internet. Les réservations payantes sont facturées par la Région aux utilisateurs. L administration de la MLIF lui communique les informations nécessaires à cette facturation de façon hebdomadaire. 1.3 Structure informatique de la MLIF 1.3.1 Système de gestion des configurations MLIF gère à travers un logiciel de gestion des configurations l'ensemble du parc informatique incluant les postes fixes des ligues. 1.3.2 Intégration des postes informatiques clients Lorsque du matériel informatique est installé, il y a une phase obligatoire d'intégration qui consiste à : Installer un antivirus affilié au serveur antiviral de la MLIF, Installer la dernière version de l'agent qui réalise l inventaire matériel et logiciel Paramétrer le poste en adressage IP automatique, Installer un système de sauvegarde de données sur un site FTP de sauvegarde géré par la MLIF, Effectuer les dernières mises à jour systèmes et à paramétrer leur automatisation, Paramétrer les noms des postes selon les règles de gestion suivantes : BâtimentEtage n ligue n salle Pn prise Bâtiment qui peut être A, B, C ou D Étage est compris entre 0 et 4 N ligue sur 2 chiffres : correspond : soit à un nombre attribué à la ligue allant pour l'instant de 01 à 24, soit à 00 lorsque le matériel appartient directement à la MLIF N salle sur 2 chiffres : correspond local ou est installé le matériel P signifie qu'il s'agit d'un poste de travail ; Prise sur 2 chiffres : correspond au numéro écrit sur la prise murale Exemple : le nom d'hôte A2 06 01 P03 correspond au poste installé sur la prise N 3 du bureau A201 occupé par la ligue n 6 (Volley). Ce bureau situé au deuxième étage du bâtiment A. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 10/46
1.3.3 Intégration d'imprimantes Lorsque les structures hébergées s'équipent d'imprimantes réseau, la connexion en sera réalisée par vous ou votre responsable. Le nom de l'imprimante est codifié de la même façon que celui des postes (la lettre L vient remplacer la lettre P). 1.3.4 Réseaux informatiques La MLIF dispose actuellement : d'un réseau commun aux ligues et à l'administration d'environ 240 postes («usagers») ; d'un réseau de type DMZ dans lequel on trouve les serveurs accessibles depuis l'extérieur ; d'un réseau de serveurs accessibles uniquement depuis l'entreprise, nommé «coeur» ; d'un routeur assurant la communication, la sécurité et le filtrage entre les différents réseaux et internet ; d'une connexion à internet. 1.3.4.1 Schéma du réseau de la MLIF Remarques : Pour simplifier ce plan, tous les commutateurs n'ont pas été représentés. Il y en a une vingtaine, répartis sur l'ensemble des bâtiments. Ils sont tous nommés : SW XX, où XX représente un numéro unique entre 01 et 24 Le nombre de postes clients varie en permanence. Il n'indique pas le nombre de prises réseau car certains postes sont connectés en WiFi et certaines prises ne sont pas utilisées. Sur ce schéma, ce ne sont pas les noms des postes mais leur type qui sont représentés. Le nom des postes est déterminé selon les standard de la MLIF. Cf 1.3.2. L'adresse IP de l'interface eth0 du routeur 1 est fournie par le dhcp du FAI elle sera toujours la même. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 11/46
1.3.5 Les serveurs MLIF Le cœur de la MLIF dispose de plusieurs serveurs : Un serveur d'annuaire ; Un serveur de fichiers ; Un serveur de bases de données ; Un serveur DHCP ; Un serveur d'impression relié aux différents moyens d'impression des bureaux et de la salle de reprographie ; Un serveur antiviral ; Un serveur permettant la sauvegarde des données de l'administration et de celles des ligues ; Un serveur de gestion des configurations. Nota : La même machine peut offrir plusieurs services et donc remplir le rôle de plusieurs serveurs. Tous les serveurs sont virtualisés et hébergés par une machine hôte qui n'est pas représentée sur le schéma car elle ne fournit aucun service. Dans la DMZ, on trouve : Un serveur web ; Un serveur ftp Un serveur de messagerie pour le domaine idf sport.net. Les ligues ont des adresses du type escrime@idf sport.net Nota : La même machine peut offrir plusieurs services et donc remplir le rôle de plusieurs serveurs. Tous les serveurs sont virtualisés et hébergés par une machine hôte qui n'est pas représentée sur le schéma car elle ne fournit aucun service. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 12/46
2 Mise en œuvre du contexte dans le cadre du lycée Le contexte de la MLIF est mis en place dans le cadre du lycée, configuré et opérationnel. Chaque étudiant dispose d'un contexte identique mais indépendant. Il vous a été attribué un numéro compris entre 01 et 24, qui correspond à l'instance de ce contexte que vous serez seul(e) à utiliser. La seule variation entre les contextes est l'adresse IP affectée à l'interface eth0 du routeur 1. Le dernier octet de cette adresse correspond au numéro qui vous a été attribué. Ainsi, l'étudiant auquel serait attribué le n 24 aura comme adresse IP sur le «routeur 1» : 172.16.100.24. 2.1 Modalité d'accès et de gestion du contexte 2.1.1 Principe Le contexte est hébergé dans une ferme de serveurs à laquelle vous n'avez pas normalement physiquement accès. Toutefois, vous disposez d'une prise murale qui vous permet d'accéder en tant que machine cliente du réseau 50 (réseau des usagers) de votre propre contexte d'examen. Vous disposez ainsi des fonctionnalités installée dans l'infrastructure mlif, comme en entreprise. Vous avez accès à Internet par ce lien. Vous avez aussi accès à vos machines serveurs en SSH ou en VNC si possible. Sauf l'adresse d'accès au réseau du lycée, toutes les adresses de chaque contexte de chaque candidat sont les mêmes. Cette adresse est considérée comme externe («visible» ou «publique») pour votre routeur de contexte. 2.1.2 Gestion de votre contexte Pour gérer votre contexte, vous devez vous connecter en ssh sur la machine hôte des machines virtuelles constituant votre contexte avec l'identifiant et le mot de passe qui vous ont été communiqués. Vous pouvez le faire aussi à partir d'une machine connectée au réseau du lycée en connaissant l'adresse externe («visible» ou «publique») de votre routeur de contexte. 2.1.3 Gestion des machines du contexte Note : il est important de garder toujours les login root, mot de passe root et test mot de passe test, afin de simplifier la gestion de vos machine (ce principe n'est évidemment pas valable normalement). Pour gérer les machines de votre propre contexte il existe trois possibilités. Elles ne sont pas toujours toutes exploitables, car certaines méthode d'accès dépendent de l'état de fonctionnement du contexte et de celui des machines qui le composent. Dans tous les cas : L'utilisateur «root» est, au départ, configuré avec le mot de passe «root» pour les machines GNU/Linux ; L'utilisateur «administrateur» est, au départ, configuré avec le mot de passe «root» pour les machines Windows. Methode 1 : Prise de contrôle par «ssh» (machine GNU/Linux) ou par «rdp» (machine Windows) en utilisant le nom où l'adresse de la machine. Avantage : Le plus simple Inconvénient : Implique que le contexte ET la machine à contrôler fonctionnent correctement ; Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 13/46
Ne peut se faire qu'à partir d'une machine connectée sur le réseau des usagers (50) Méthode 2 : Prise de contrôle du routeur en ssh puis de la machine virtuelle à partir du routeur. Avantage : Peut se faire à partir d'une machine connectée sur le réseau du lycée ou sur le contexte ; Inconvénient : Implique que le routeur ET la machine fonctionnent correctement ; Nécessite une double connexion en ssh : une de la machine client vers le routeur puis une du routeur vers la machine à contrôler ; Ne permet que la prise de contrôle des machine en mode texte (donc pas des Windows). Méthode 3 (sous réserve) : En cas de plantage d'une machine virtuelle, la prise de contrôle de la machine virtuelle directement par le logiciel de virtualisation peut être utile (VirtualBox, VMWare) Avantage : Toujours possible, même si le contexte est cassé ou si la machine ne démarre pas correctement. Inconvénients : Implique d'avoir accès à la machine serveur de virtualisation sur laquelle tournent tous les contextes ; La manipulation doit être effectuée sous le contrôle d'un examinateur et doit rester exceptionnelle ; L'examinateur n'intervient pas pour aider le candidat mais uniquement pour contrôler qu'il n'accède qu'à ses propres machines virtuelles. Plus lent et pas toujours très stable. 2.2 Remarques sur le nommage des éléments du contexte Voici les seules informations variant d'un contexte à l'autre, pour les besoins de l'examen. Les noms physiques des machines du contexte sont ceux portés sur le plan. Ce sont ces noms réels qui sont déclarées et exploitées dans le dns de la MLIF. En revanche les noms des machines sous VirtualBox, de même que ceux des commutateurs virtuels sont suffixés par le numéro du candidat le jour de l'examen (1 à 3 candidats), de même que l'adresse IP externe (dite «publique») du routeur 1 (eth0) sera attribué dynamiquement par le réseau du lycée. Ainsi, pour le candidat 01, les noms sous VirtualBox (ou VMWARE) seront : Commutateurs : sw dmz 01 sw srv 01 Serveurs de la DMZ : srv web 01 srv proxy 01 Serveurs du cœur : srv donnees 01 srv dns 01 supervision 01 srv 2k8 01 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 14/46
Routeur : routeur 1 01 IP eth0 : selon l'attiburtion par le réseau du lycée Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 15/46
3 Normes et standard de l'entreprise 3.1 Principe La MLIF est organisée en trois réseaux indépendants et interconnectés par un routeur : 1/ Le «Cœur» du réseau où se trouvent les serveurs privés de la MLIF 2/ La «DMZ» où se trouvent les serveurs publics de la MLIF 3/ Le réseau des «Usagers» de la MLIF, constitué des machines clientes utilisées par les employés de la MLIF et les ligues. 3.2 Plan d'adressage Réseau / Cidr Passerelle Cœur 192.168.100.0 / 24 192.168.100.1 DMZ 192.168.200.0 / 24 192.168.200.1 Usagers 192.168.50.0 / 24 192.168.50.1 3.3 Attribution des adresses des clients Tous les clients sont configurés en adressage dynamique dans la zone «Usagers». Les adresses attribuées vont de 192.168.50.10 à 192.168.50.250. À chaque attribution d'un bail, les enregistrements directs et inverses sont dynamiquement mis à jour dans le serveur DNS de la MLIF (srv dns.mlif.local : 192.168.100.20) 3.4 Attribution des adresses des serveurs Tous les serveurs du cœur et de la DMZ doivent être configurés en DHCP avec des adresses réservées. Seul le routeur 1, qui fait office de serveur DHCP pour les trois zones, est en adressage fixe sur ses trois interfaces internes (eth1, eth2 et eth3). Son interface externe (eth0) est configurée pour recevoir une configuration IP dynamique de la part du réseau public auquel il se connecte. 3.5 Enregistrement dans le DNS Le serveur DNS (srv dns.mlif.local 192.168.100.20) gère la zone directe «mlif.local» et les zones inverses des trois réseaux de la MLIF. Les serveurs et les routeurs doivent être enregistrés manuellement dans la zone directe «mlif.local» sous leur nom physique ainsi que dans leur zone inverse («dmz» ou «cœur»). Chaque service est déclaré en zone directe comme un alias sur le serveur qui rend ce service. Les clients sont enregistrés dynamiquement dans la zone directe et dans leur zone inverse à chaque attribution de bail (DynDns). 3.6 Synchronisation des horloges Tous les serveurs et le routeur doivent être synchronisés sur le serveur de temps (srv ntp.mlif.local, alias de srv web.mlif.local : 192.168.200.5), lui même est synchronisé sur le serveur de temps ntp.rdescartes.local (192.168.2.5) Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 16/46
3.7 Accès ssh Tous les serveur devront avoir une possibilité de prise de contrôle à distance, soit par ssh pour les machines GNU/Linux, soit par rdp pour les machines Windows. 3.8 Mise à jour des systèmes d'exploitation A chaque prise de contrôle d'un serveur Gnu/linux,une procédure de mise à jour devra être lancée sans délais, et ce une fois par jour). 3.9 Supervision Tous les serveurs, le routeur et chacun des services doivent être supervisés par le serveur de supervision Nagios (supervision.mlif.local : 192.168.100.30). Les paramètres minimums à superviser sont : Pour les serveurs Linux : Le fonctionnement ; Le nombre de processus actifs ; Le taux d'occupation des disques ; Pour le serveur Windows Le fonctionnement ; Le taux d'occupation de chaque disque ; Pour le routeur Le fonctionnement de chaque interface ; Pour les services Le fonctionnement du service ; La carte produite par le serveur de supervision doit refléter l'architecture du réseau. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 17/46
4 Configuration des machines du contexte 4.1 Routeurs 4.1.1 Routeur 1 4.1.1.1 Configuration Nom : routeur 1.mlif.local Adresse IP eth0 : dynamique 172.16.100.n contexte/16 Adresse IP eth1: statique 192.168.100.1/24 : cœur Adresse IP eth2 : statique 192.168.200.1/24 : DMZ Adresse IP eth3 : statique 192.168.50.1/24 : usagers Passerelle par défaut : 172.17.124.1 (srv h4 vlan124.rdescartes.local) Domaine dns : mlif.local Serveur dns : 192.168.100.20 4.1.1.2 Fonctions Actuelles Routage, pare feu, client ntp, serveur ssh, serveur dhcp, serveur nrpe 4.1.1.3 Accès Super utilisateur : root Mot de passe : root Moyen d'accès : ssh 4.1.1.4 Fichiers de configuration 4.1.1.4.1 Réseau 4.1.1.4.1.1 /etc/network/interfaces # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address 192.168.100.1/24 auto eth2 iface eth2 inet static address 192.168.200.1/24 auto eth3 iface eth3 inet static address 192.168.50.1/24 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 18/46
4.1.1.4.2 Système 4.1.1.4.2.1 /etc/sysctl.conf # - Configuration file for setting system variables # See /etc/sysctl.d/ for additional system variables # See sysctl.conf (5) for information. #kernel.domainname = example.com # Uncomment the following to stop low-level messages on console #kernel.printk = 3 4 1 3 ##############################################################3 # Functions previously found in netbase # Uncomment the next two lines to enable Spoof protection (reverse-path filter) # Turn on Source Address Verification in all interfaces to # prevent some spoofing attacks #net.ipv4.conf.default.rp_filter=1 #net.ipv4.conf.all.rp_filter=1 # Uncomment the next line to enable TCP/IP SYN cookies # See http://lwn.net/articles/277146/ # Note: This may impact IPv6 TCP sessions too #net.ipv4.tcp_syncookies=1 # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 # Uncomment the next line to enable packet forwarding for IPv6 # Enabling this option disables Stateless Address Autoconfiguration # based on Router Advertisements for this host #net.ipv6.conf.all.forwarding=1 ################################################################### # Additional settings - these settings can improve the network # security of the host and prevent against some network attacks # including spoofing attacks and man in the middle attacks through # redirection. Some network environments, however, require that these # settings are disabled so review and enable them as needed. # Do not accept ICMP redirects (prevent MITM attacks) #net.ipv4.conf.all.accept_redirects = 0 #net.ipv6.conf.all.accept_redirects = 0 # _or_ # Accept ICMP redirects only for gateways listed in our default # gateway list (enabled by default) # net.ipv4.conf.all.secure_redirects = 1 # Do not send ICMP redirects (we are not a router) #net.ipv4.conf.all.send_redirects = 0 # Do not accept IP source route packets (we are not a router) #net.ipv4.conf.all.accept_source_route = 0 #net.ipv6.conf.all.accept_source_route = 0 # Log Martian Packets #net.ipv4.conf.all.log_martians = 1 4.1.1.4.3 Script de démarrage 4.1.1.4.3.1 /etc/rc.local #!/bin/sh -e # rc.local # /etc/rc.local # This script is executed at the end of each multir runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. rm /etc/udev/rules.d/70-persistent-net.rules /etc/firewall/regles exit 0 4.1.1.4.4 Firewall 4.1.1.4.4.1 /etc/firewall/regles #!/bin/bash iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 19/46
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.200.5:80 4.1.1.4.5 ntp 4.1.1.4.5.1 /etc/ntp.conf # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server srv-ntp.mlif.local restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict 127.0.0.1 restrict ::1 4.1.1.4.6 dhcp 4.1.1.4.6.1 /etc/dhcp/dhcpd.conf ##### DynDns ####### ddns-updates on; ddns-update-style interim; include "/etc/dhcp/rndc.key"; zone mlif.local. { primary srv-dns.mlif.local; key rndc-key; zone 50.168.192.in-addr.arpa. { primary srv-dns.mlif.local; key rndc-key; ######Options globales###### option domain-name "mlif.local"; option domain-name-servers 192.168.100.20; default-lease-time 600; ######Réseau Serveurs###### subnet 192.168.100.0 netmask 255.255.255.0 { range 192.168.100.101 192.168.100.110; option routers 192.168.100.1; ######Réseau Postes des postes de travail###### subnet 192.168.50.0 netmask 255.255.255.0 { range 192.168.50.10 192.168.50.250; option routers 192.168.50.1; ######Réseau DMZ###### subnet 192.168.200.0 netmask 255.255.255.0 { range 192.168.200.101 192.168.200.110; option routers 192.168.200.1; ######Réservations d'adresses###### host srv-donnees { hardware ethernet 08:01:68:10:00:10; fixed-address 192.168.100.10; host srv-dns { Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 20/46
hardware ethernet 08:01:68:10:00:20; fixed-address 192.168.100.20; host supervision { hardware ethernet 08:01:68:10:00:30; fixed-address 192.168.100.30; host srv-2k8 { hardware ethernet 08:01:68:10:00:40; fixed-address 192.168.100.40; host srv-web { hardware ethernet 08:01:68:20:00:05; fixed-address 192.168.200.5; host srv-proxy { hardware ethernet 08:01:68:20:00:10; fixed-address 192.168.200.10; 4.1.1.4.6.2 /etc/default/isc-dhcp-server # Defaults for dhcp initscript # sourced by /etc/init.d/dhcp # installed at /etc/default/isc-dhcp-server by the maintainer scripts # # This is a POSIX shell fragment # # On what interfaces should the DHCP server (dhcpd) serve DHCP requests? # Separate multiple interfaces with spaces, e.g. "eth0 eth1". INTERFACES="eth1 eth2 eth3" 4.1.1.4.6.3 /etc/dhcp/dhclient.conf # Configuration file for /sbin/dhclient, which is included in Debian's # dhcp3 client package. # # This is a sample configuration file for dhclient. See dhclient.conf's # man page for more information about the syntax of this file # and a more comprehensive list of the parameters understood by # dhclient. # # Normally, if the DHCP server provides reasonable information and does # not leave anything out (like the domain name, for example), then # few changes must be made to this file, if any. # option rfc3442 classless static routes code 121 = array of unsigned integer 8; #send host name "andare.fugue.com"; send host name = gethostname(); Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 21/46
#send dhcp client identifier 1:0:a0:24:ab:fb:9c; #send dhcp lease time 3600; supersede domain name "mlif.local"; prepend domain name servers 127.0.0.1; request subnet mask, broadcast address, time offset, routers, domain name, domain name servers, domain search, host name, dhcp6.name servers, dhcp6.domain search, netbios name servers, netbios scope, interface mtu, rfc3442 classless static routes, ntp servers; #require subnet mask, domain name servers; #timeout 60; #retry 60; #reboot 10; #select timeout 5; #initial interval 2; #script "/etc/dhcp3/dhclient script"; #media " link0 link1 link2", "link0 link1"; #reject 192.33.137.209; #alias { # interface "eth0"; # fixed address 192.5.5.213; # option subnet mask 255.255.255.255; # #lease { # interface "eth0"; # fixed address 192.33.137.200; # medium "link0 link1"; # option host name "andare.swiftmedia.com"; # option subnet mask 255.255.255.0; # option broadcast address 192.33.137.255; # option routers 192.33.137.250; # option domain name servers 127.0.0.1; # renew 2 2000/1/12 00:00:01; # rebind 2 2000/1/12 00:00:01; # expire 2 2000/1/12 00:00:01; # 4.1.1.4.7 nrpe 4.1.1.4.7.1 /etc/nagios/nrpe.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 22/46
# ont été supprimés. log_facility=daemon pid_file=/var/run/nagios/nrpe.pid server_port=5666 nrpe_r=nagios nrpe_group=nagios allowed_hosts=192.168.100.30 dont_blame_nrpe=0 debug=0 command_timeout=60 connection_timeout=300 command[check_rs]=/usr/lib/nagios/plugins/check_rs -w 5 -c 10 command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20 command[check_sda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sda1 command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200 include_dir=/etc/nagios/nrpe.d/ Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 23/46
4.2 Coeur 4.2.1 srv dns 4.2.1.1 Configuration Nom : srv dns.mlif.local Adresse IP eth0 : dynamique réservée 192.168.100.20/24 Passerelle par défaut : 192.168.100.1 (routeur 1.mlif.local) Domaine dns : mlif.local Serveur dns : 127.0.0.1 4.2.1.2 Fonctions Actuelles client ntp, serveur ssh, serveur dns, serveur nrpe 4.2.1.3 Accès Super utilisateur : root Mot de passe : root Moyen d'accès : ssh 4.2.1.4 Fichiers de configuration 4.2.1.4.1 Réseau 4.2.1.4.1.1 /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp 4.2.1.4.2 dns 4.2.1.4.2.1 /etc/bind/named.conf.local // local configuration include "/etc/bind/rndc.key"; zone "mlif.local" { type master; file "/var/lib/bind/mlif.directe"; allow-update { key rndc-key; ; ; zone "50.168.192.in-addr.arpa" { type master; file "/var/lib/bind/postes-mlif.inverse"; allow-update { key rndc-key; ; ; zone "100.168.192.in-addr.arpa" { type master; file "/etc/bind/serveurs-mlif.inverse"; Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 24/46
; zone "200.168.192.in-addr.arpa" { type master; file "/etc/bind/dmz-mlif.inverse"; ; //-------- Zone pour Active Directory ------- zone "ad.mlif.local" { type forward; forwarders {192.168.100.40;; ; 4.2.1.4.2.2 /etc/bind/named.conf.options options { directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. forwarders { 172.16.10.4; ; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-enable no; dnssec-validation no; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; ; ; Allow-query { any;; 4.2.1.4.2.3 /var/lib/bind/mlif.directe $ORIGIN. $TTL 604800 ; 1 week mlif.local IN SOA localhost. root.localhost. ( 13 ; serial 604800 ; refresh (1 week) 86400 ; retry (1 day) 2419200 ; expire (4 weeks) 604800 ; minimum (1 week) ) NS localhost. $ORIGIN mlif.local. ad NS srv-2k8. firewall CNAME routeur-1 $TTL 300 ; 5 minutes modeledesktop A 192.168.50.10 TXT "0041b79cec877d82932750aaec213ed3c7" poste-ligue-text A 192.168.50.11 TXT "005ec68a65d76e657ee8a633dd4a8573a1" Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 25/46
poste-ligue-xp A 192.168.50.16 TXT "31b4f26255f8726d41d40e194b4db00b39" $TTL 604800 ; 1 week routeur-1 CNAME routeur-1-eth1 routeur-1-eth1 A 192.168.100.1 routeur-1-eth2 A 192.168.200.1 routeur-1-eth3 A 192.168.50.1 srv-2k8 A 192.168.100.40 srv-dhcp CNAME routeur-1 srv-dns A 192.168.100.20 srv-donnees A 192.168.100.10 srv-ntp CNAME srv-web srv-proxy A 192.168.200.10 srv-web A 192.168.200.5 supervision A 192.168.100.30 4.2.1.4.2.4 /var/lib/bind/postes-mlif.inverse $ORIGIN. $TTL 604800 ; 1 week 50.168.192.in-addr.arpa IN SOA localhost. root.localhost. ( 15 ; serial 604800 ; refresh (1 week) 86400 ; retry (1 day) 2419200 ; expire (4 weeks) 604800 ; minimum (1 week) ) NS localhost. $ORIGIN 50.168.192.in-addr.arpa. 1 PTR routeur-1-eth3.mlif.local. $TTL 300 ; 5 minutes 10 PTR modeledesktop.mlif.local. 11 PTR poste-ligue-text.mlif.local. 16 PTR poste-ligue-xp.mlif.local. 4.2.1.4.2.5 /etc/bind/dmz-mlif.inverse $TTL 604800 @ IN SOA localhost. root.localhost. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. 1 IN PTR routeur-1-eth2.mlif.local. 5 IN PTR srv-web.mlif.local. 10 IN PTR srv-proxy.mlif.local. 4.2.1.4.2.6 /etc/bind/serveurs-mlif.inverse $TTL 604800 @ IN SOA localhost. root.localhost. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. 1 IN PTR routeur-1-eth1.mlif.local. 10 IN PTR srv-donnees.mlif.local. 20 IN PTR srv-dns.mlif.local. 30 IN PTR supervision.mlif.local. Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 26/46
40 IN PTR srv-2k8.mlif.local. 4.2.1.4.3 ntp 4.2.1.4.3.1 /etc/ntp.conf # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server srv-ntp.mlif.local restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict 127.0.0.1 restrict ::1 4.2.1.4.4 nrpe 4.2.1.4.4.1 /etc/nagios/nrpe.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. log_facility=daemon pid_file=/var/run/nagios/nrpe.pid server_port=5666 nrpe_r=nagios nrpe_group=nagios allowed_hosts=192.168.100.30 dont_blame_nrpe=0 debug=0 command_timeout=60 connection_timeout=300 command[check_rs]=/usr/lib/nagios/plugins/check_rs -w 5 -c 10 command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20 command[check_sda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sda1 command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200 include=/etc/nagios/nrpe_local.cfg include_dir=/etc/nagios/nrpe.d/ Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 27/46
4.2.2 srv donnees 4.2.2.1 Configuration Nom : srv donnes.mlif.local Adresse IP eth0 : dynamique réservée 192.168.100.10/24 Passerelle par défaut : 192.168.100.1 (routeur 1.mlif.local) Domaine dns : mlif.local Serveur dns : 192.168.100.20 (srv dns.mlif.local) 4.2.2.2 Fonctions Actuelles client ntp, serveur ssh, serveur sql, serveur nrpe 4.2.2.3 Accès Super utilisateur : root Mot de passe : root Moyen d'accès : ssh 4.2.2.4 Fichiers de configuration 4.2.2.4.1 Réseau 4.2.2.4.1.1 /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp 4.2.2.4.2 ntp 4.2.2.4.2.1 /etc/ntp.conf # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server srv-ntp.mlif.local restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict 127.0.0.1 restrict ::1 4.2.2.4.3 nrpe 4.2.2.4.3.1 /etc/nagios/nrpe.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. log_facility=daemon pid_file=/var/run/nagios/nrpe.pid server_port=5666 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 28/46
nrpe_r=nagios nrpe_group=nagios allowed_hosts=192.168.100.30 dont_blame_nrpe=0 debug=0 command_timeout=60 connection_timeout=300 command[check_rs]=/usr/lib/nagios/plugins/check_rs -w 5 -c 10 command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20 command[check_sda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sda1 command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200 include=/etc/nagios/nrpe_local.cfg include_dir=/etc/nagios/nrpe.d/ Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 29/46
4.2.3 srv 2k8 4.2.3.1 Accès Nom : srv 2k8.mlif.local Adresse IP eth0 : dynamique réservée 192.168.100.40/24 Passerelle par défaut : 192.168.100.1 (routeur 1.mlif.local) Domaine dns : mlif.local Serveur dns : 192.168.100.20 (srv dns.mlif.local) 4.2.3.2 Fonctions Actuelles client ntp, serveur active directory (contrôleur du domaine ad.mlif.local), serveur dns pour la zone ad.mlif.local, serveur nsclient++ 4.2.3.3 Accès Super utilisateur : administrateur Mot de passe : root (à changer lors de la première connexion) Moyen d'accès : bureau à distance via rdp 4.2.3.4 Fichiers de configuration 4.2.3.4.1 nsclient++ # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. [/modules] CheckDisk = 1 CheckEventLog = 1 CheckExternalScripts = 1 CheckHelpers = 1 CheckNSCP = 1 CheckSystem = 1 CheckWMI = 1 NRPEServer = 1 NSCAClient = 1 NSClientServer = 1 [/settings/default] allowed hosts = 192.168.100.30 password = root [/settings/nrpe/server] allow arguments = 1 [/settings/external scripts/alias] alias_cpu = checkcpu warn=80 crit=90 time=5m time=1m time=30s alias_cpu_ex = checkcpu warn=$arg1$ crit=$arg2$ time=5m time=1m time=30s alias_disk = CheckDriveSize MinWarn=10% MinCrit=5% CheckAll FilterType=FIXED alias_disk_loose = CheckDriveSize MinWarn=10% MinCrit=5% CheckAll FilterType=FIXED ignore-unreadable alias_event_log = CheckEventLog file=application file=system MaxWarn=1 MaxCrit=1 "filter=generated gt -2d AND severity NOT IN ('success', 'informational') AND source!= 'SideBySide'" truncate=800 unique descriptions "syntax=%severity%: %source%: %message% (%count%)" alias_file_age = checkfile2 filter=out "file=$arg1$" filter-written=>1d MaxWarn=1 MaxCrit=1 "syntax=%filename% %write%" Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 30/46
alias_file_size = CheckFiles "filter=size > $ARG2$" "path=$arg1$" MaxWarn=1 MaxCrit=1 "syntax=%filename% %size%" max-dir-depth=10 alias_mem = checkmem MaxWarn=80% MaxCrit=90% ShowAll=long type=physical type=virtual type=paged type=page alias_process = checkprocstate "$ARG1$=started" alias_process_count = checkprocstate MaxWarnCount=$ARG2$ MaxCritCount=$ARG3$ "$ARG1$=started" alias_process_hung = checkprocstate MaxWarnCount=1 MaxCritCount=1 "$ARG1$=hung" alias_process_stopped = checkprocstate "$ARG1$=stopped" alias_sched_all = CheckTaskSched "filter=exit_code ne 0" "syntax=%title%: %exit_code%" warn=>0 alias_sched_long = CheckTaskSched "filter=status = 'running' AND most_recent_run_time < -$ARG1$" "syntax=%title% (%most_recent_run_time%)" warn=>0 alias_sched_task = CheckTaskSched "filter=title eq '$ARG1$' AND exit_code ne 0" "syntax=%title% (%most_recent_run_time%)" warn=>0 alias_service = checkservicestate CheckAll alias_service_ex = checkservicestate CheckAll "exclude=net Driver HPZ12" "exclude=pml Driver HPZ12" exclude=stisvc alias_up = checkuptime MinWarn=1d MinWarn=1h alias_updates = check_updates -warning 0 -critical 0 alias_volumes = CheckDriveSize MinWarn=10% MinCrit=5% CheckAll=volumes FilterType=FIXED alias_volumes_loose = CheckDriveSize MinWarn=10% MinCrit=5% CheckAll=volumes FilterType=FIXED ignore-unreadable default = Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 31/46
4.2.4 supervision 4.2.4.1 Accès Nom : supervision.mlif.local Adresse IP eth0 : dynamique réservée 192.168.100.30/24 Passerelle par défaut : 192.168.100.1 (routeur 1.mlif.local) Domaine dns : mlif.local Serveur dns : 192.168.100.20 (srv dns.mlif.local) 4.2.4.2 Fonctions Actuelles client ntp, serveur ssh, serveur http, serveur nagios3 4.2.4.3 Accès Super utilisateur : root Mot de passe : root Moyen d'accès : ssh 4.2.4.4 Accès à l'interface graphique de nagios3 adresse : http://supervision.mlif.local/nagios3/ login : nagiosadmin mot de passe : root 4.2.4.5 Fichiers de configuration 4.2.4.5.1 Réseau 4.2.4.5.1.1 /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp 4.2.4.5.2 ntp 4.2.4.5.2.1 /etc/ntp.conf # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server srv-ntp.mlif.local restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict 127.0.0.1 restrict ::1 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 32/46
4.2.4.5.3 nagios3 4.2.4.5.3.1 /etc/nagios3/cgi.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. main_config_file=/etc/nagios3/nagios.cfg physical_html_path=/usr/share/nagios3/htdocs url_html_path=/nagios3 show_context_help=1 original state _pending_states=1 nagios_check_command=/usr/lib/nagios/plugins/check_nagios /var/cache/nagios3/status.dat 5 '/usr/sbin/nagios3' _authentication=1 _ssl_authentication=0 authorized_for_system_information=nagiosadmin authorized_for_configuration_information=nagiosadmin authorized_for_system_commands=nagiosadmin authorized_for_all_services=nagiosadmin authorized_for_all_hosts=nagiosadmin authorized_for_all_service_commands=nagiosadmin authorized_for_all_host_commands=nagiosadmin default_statusmap_layout=5 default_statuswrl_layout=4 ping_syntax=/bin/ping -n -U -c 5 $HOSTADDRESS$ refresh_rate=5 escape_html_tags=1 action_url_target=_blank notes_url_target=_blank lock_author_names=1 4.2.4.5.3.2 /etc/nagios3/nagios.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés.log_file=/var/log/nagios3/nagios.log cfg_file=/etc/nagios3/commands.cfg cfg_dir=/etc/nagios-plugins/config cfg_dir=/etc/nagios3/conf.d object_cache_file=/var/cache/nagios3/objects.cache precached_object_file=/var/lib/nagios3/objects.precache resource_file=/etc/nagios3/resource.cfg status_file=/var/cache/nagios3/status.dat status_update_interval=10 nagios_r=nagios nagios_group=nagios check_external_commands=1 command_check_interval=-1 command_file=/var/lib/nagios3/rw/nagios.cmd external_command_buffer_slots=4096 lock_file=/var/run/nagios3/nagios3.pid temp_file=/var/cache/nagios3/nagios.tmp temp_path=/tmp event_broker_options=-1 log_rotation_method=d log_archive_path=/var/log/nagios3/archives _syslog=1 log_notifications=1 log_service_retries=1 log_host_retries=1 log_event_handlers=1 log_initial_states=0 log_external_commands=1 log_passive_checks=1 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 33/46
service_inter_check_delay_method=s max_service_check_spread=30 service_interleave_factor=s host_inter_check_delay_method=s max_host_check_spread=30 max_concurrent_checks=0 check_result_reaper_frequency=10 max_check_result_reaper_time=30 check_result_path=/var/lib/nagios3/spool/checkresults max_check_result_file_age=3600 cached_host_check_horizon=15 cached_service_check_horizon=15 enable_predictive_host_dependency_checks=1 enable_predictive_service_dependency_checks=1 soft_state_dependencies=0 auto_reschedule_checks=0 auto_rescheduling_interval=30 auto_rescheduling_window=180 sleep_time=0.25 service_check_timeout=60 host_check_timeout=30 event_handler_timeout=30 notification_timeout=30 ocsp_timeout=5 perfdata_timeout=5 retain_state_information=1 state_retention_file=/var/lib/nagios3/retention.dat retention_update_interval=60 _retained_program_state=1 _retained_scheduling_info=1 retained_host_attribute_mask=0 retained_service_attribute_mask=0 retained_process_host_attribute_mask=0 retained_process_service_attribute_mask=0 retained_contact_host_attribute_mask=0 retained_contact_service_attribute_mask=0 interval_length=60 check_for_updates=1 bare_update_check=0 _aggressive_host_checking=0 execute_service_checks=1 accept_passive_service_checks=1 execute_host_checks=1 accept_passive_host_checks=1 enable_notifications=1 enable_event_handlers=1 process_performance_data=0 obsess_over_services=0 obsess_over_hosts=0 translate_passive_host_checks=0 passive_host_checks_are_soft=0 check_for_orphaned_services=1 check_for_orphaned_hosts=1 check_service_freshness=1 service_freshness_check_interval=60 check_host_freshness=0 host_freshness_check_interval=60 additional_freshness_latency=15 enable_flap_detection=1 low_service_flap_threshold=5.0 high_service_flap_threshold=20.0 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 34/46
low_host_flap_threshold=5.0 high_host_flap_threshold=20.0 date_format=iso8601 p1_file=/usr/lib/nagios3/p1.pl enable_embedded_perl=1 _embedded_perl_implicitly=1 illegal_object_name_chars=`~!$%^&* '"<>?,()= illegal_macro_output_chars=`~$& '"<> _regexp_matching=0 _true_regexp_matching=0 admin_email=root@localhost admin_pager=pageroot@localhost daemon_dumps_core=0 _large_installation_tweaks=0 enable_environment_macros=1 debug_level=0 debug_verbosity=1 debug_file=/var/log/nagios3/nagios.debug max_debug_file_size=1000000 4.2.4.5.3.3 /etc/nagios3/conf.d/hosts.cfg ########## Machines de la MLIF ########### define host{ generic-host host_name srv-donnees alias srv-donnees address 192.168.100.10 parents sw-srv define host{ generic-host host_name srv-dns alias srv-dns address 192.168.100.20 parents sw-srv define host{ generic-host host_name srv-2k8 alias srv-2k8 address 192.168.100.40 parents sw-srv define host{ generic-host host_name routeur-1 alias routeur-1 address 192.168.100.1 parents sw-srv define host{ generic-host host_name srv-web alias srv-web address 192.168.200.5 parents sw-dmz define host{ generic-host host_name srv-proxy alias srv-proxy address 192.168.200.10 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 35/46
parents sw-dmz ##### Commutateurs virtuels de la MLIF #### define host{ generic-host host_name sw-dmz alias SW-dmz address 192.168.200.1 parents routeur-1 define host{ generic-host host_name sw-srv alias SW-srv address 192.168.100.1 parents supervision define host{ generic-host host_name sw-postes alias SW-postes address 192.168.50.1 parents routeur-1 define host{ generic-host host_name rdescartes alias Reseau Lycee address 172.16.10.1 parents routeur-1 ########## Machines extérieures à la MLIF ############# define host{ generic-host host_name srv-dns.rdescartes.local alias srv-dns.rdescartes.local address srv-dns.rdescartes.local parents rdescartes define host{ generic-host host_name srv-debian.rdescartes.local alias srv-debian.rdescartes.local address srv-debian.rdescartes.local parents rdescartes define host{ generic-host host_name www.free.fr alias www.free.fr address 212.27.48.10 parents rdescartes Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 36/46
4.2.4.5.3.4 /etc/nagios3/conf.d/hostgroups_nagios2.cfg # A simple wildcard hostgroup define hostgroup { hostgroup_name all alias All Servers members * # Liste des serveurs Ubuntu de la MLIF define hostgroup { hostgroup_name ubuntu-servers alias Ubuntu Servers members srv-donnees, srv-dns, srv-web, srv-proxy # Liste des serveurs http de la MLIF define hostgroup { hostgroup_name http-servers alias HTTP servers members supervision, srv-web # Liste des machines accessibles en ssh define hostgroup { hostgroup_name ssh-servers alias SSH servers members supervision, srv-donnees, srv-dns, srv-web, srvproxy, routeur-1 # Liste des Routeurs de la MLIF define hostgroup { hostgroup_name routers alias Routeurs members routeur-1 # Liste des commutateurs de la MLIF define hostgroup { hostgroup_name switchs alias Commutateurs members sw-dmz, sw-srv, sw-postes, rdescartes # Liste des serveurs windows de la MLIF define hostgroup { hostgroup_name windows-servers alias Serveurs Windows members srv-2k8 # Liste des serveurs DNS de la MLIF define hostgroup { hostgroup_name dns-servers alias Serveurs DNS members srv-dns # Liste des serveurs dhcp de la MLIF define hostgroup { hostgroup_name dhcp-servers alias Serveurs DHCP Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 37/46
members routeur-1 # Liste des serveurs Externes à la MLIF define hostgroup { hostgroup_name external-servers alias Serveurs Exterieurs members srv-dns.rdescartes.local,srvdebian.rdescartes.local,www.free.fr # Liste des machines gérée par NRPE define hostgroup { hostgroup_name nrpe-servers alias NRPE servers members srv-donnees, srv-dns, srv-web, srv-proxy, routeur-1 4.2.4.5.3.5 /etc/nagios3/conf.d/localhost_nagios2.cfg define host{ generic-host ; Name of host template to host_name supervision alias supervision address 127.0.0.1 define service{ generic-service ; Name of service template to host_name supervision service_description Occup. disque check_command check_all_disks!20%!10% define service{ generic-service ; Name of service template to host_name supervision service_description Utilisateurs check_command check_rs!20!50 define service{ generic-service ; Name of service template to host_name supervision service_description Processus check_command check_procs!250!400 define service{ generic-service ; Name of service template to host_name supervision service_description Charge CPU check_command check_load!5.0!4.0!3.0!10.0!6.0!4.0 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 38/46
4.2.4.5.3.6 /etc/nagios3/conf.d/nrpe.cfg ###### Surveillance interne des serveurs de la MLIF define service { generic-service hostgroup_name nrpe-servers service_description Charge CPU check_command check_nrpe_1arg!check_load define service { generic-service hostgroup_name nrpe-servers service_description Processus check_command check_nrpe_1arg!check_total_procs define service { generic-service hostgroup_name nrpe-servers service_description Utilisateurs check_command check_nrpe_1arg!check_rs define service { generic-service hostgroup_name nrpe-servers service_description Occup. Disque check_command check_nrpe_1arg!check_sda1 define service { generic-service hostgroup_name windows-servers service_description Charge CPU check_command check_nrpe_1arg!alias_cpu define service { generic-service hostgroup_name windows-servers service_description Occup. Disque check_command check_nrpe_1arg!alias_disk define service { generic-service hostgroup_name windows-servers service_description Memoire check_command check_nrpe_1arg!alias_mem 4.2.4.5.3.7 /etc/nagios3/conf.d/services_nagios2.cfg # Service http define service { generic-service hostgroup_name http-servers service_description HTTP check_command check_http # service ssh define service { hostgroup_name service_description generic-service ssh-servers SSH Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 39/46
check_command check_ssh # service dhcp define service { hostgroup_name service_description check_command # service dns define service { hostgroup_name service_description check_command generic-service dhcp-servers DHCP check_dhcp generic-service dns-servers DNS check_dns 4.2.4.5.3.8 /etc/nagios3/conf.d/extinfo_nagios2.cfg ## ## Extended Host and Service Information ## define hostextinfo{ host_name supervision notes Serveur de supervision icon_image base/linux40.png icon_image_alt Hote Nagios vrml_image linux40.png statusmap_image base/linux40.gd2 define hostextinfo{ hostgroup_name ubuntu-servers notes Ubuntu servers icon_image base/linux40.png icon_image_alt Ubuntu server vrml_image linux40.png statusmap_image base/linux40.gd2 define hostextinfo{ hostgroup_name windows-servers notes Windows servers icon_image base/win40.png icon_image_alt Windows Server vrml_image win40.png statusmap_image base/win40.gd2 define hostextinfo{ hostgroup_name routers notes Routeurs icon_image cook/router.png icon_image_alt Routeur vrml_image router.png statusmap_image cook/router.gd2 define hostextinfo{ hostgroup_name switchs Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 40/46
notes Commutateurs icon_image base/ng-switch40.png icon_image_alt Commutateur vrml_image ng-switch40.png statusmap_image base/ng-switch40.gd2 define hostextinfo{ hostgroup_name external-servers notes Serveurs Exterieurs icon_image base/router40.png icon_image_alt Serveurs Exterieurs vrml_image router40.png statusmap_image base/router40.gd2 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 41/46
4.3 DMZ 4.3.1 srv web 4.3.1.1 Configuration Nom : srv web.mlif.local Adresse IP eth0 : dynamique réservée 192.168.200.5/24 Passerelle par défaut : 192.168.200.1 (routeur 1.mlif.local) Domaine dns : mlif.local Serveur dns : 192.168.100.20 (srv dns.mlif.local) 4.3.1.2 Fonctions Actuelles serveur ntp, serveur ssh, serveur http, serveur nrpe 4.3.1.3 Accès Super utilisateur : root Mot de passe : root Moyen d'accès : ssh 4.3.1.4 Fichiers de configuration 4.3.1.4.1 Réseau 4.3.1.4.1.1 /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp 4.3.1.4.2 ntp 4.3.1.4.2.1 /etc/ntp.conf # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server ntp.rdescartes.local restrict -4 default kod notrap nomodify nopeer restrict -6 default kod notrap nomodify nopeer restrict 127.0.0.1 restrict ::1 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 42/46
4.3.1.4.3 http 4.3.1.4.3.1 /etc/apache2/sites-enabled/000-default <VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog ${APACHE_LOG_DIR/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog ${APACHE_LOG_DIR/access.log combined Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory> </VirtualHost> 4.3.1.4.3.2 /var/www/index.html <html><body><h1>it works!</h1> <p>this is the default web page for this server.</p> <p>the web server software is running but no content has been added, yet.</p> </body></html> Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 43/46
4.3.1.4.4 nrpe 4.3.1.4.4.1 /etc/nagios/nrpe.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. log_facility=daemon pid_file=/var/run/nagios/nrpe.pid server_port=5666 nrpe_r=nagios nrpe_group=nagios allowed_hosts=192.168.100.30 dont_blame_nrpe=0 debug=0 command_timeout=60 connection_timeout=300 command[check_rs]=/usr/lib/nagios/plugins/check_rs -w 5 -c 10 command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20 command[check_sda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sda1 command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200 include=/etc/nagios/nrpe_local.cfg include_dir=/etc/nagios/nrpe.d/ Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 44/46
4.3.2 srv proxy 4.3.2.1 Configuration Nom : srv proxy.mlif.local Adresse IP eth0 : dynamique réservée 192.168.200.10/24 Passerelle par défaut : 192.168.200.1 (routeur 1.mlif.local) Domaine dns : mlif.local Serveur dns : 192.168.100.20 (srv dns.mlif.local) 4.3.2.2 Fonctions Actuelles client ntp, serveur ssh, serveur nrpe Nota la fonction proxy (sqid) n'est pas installée actuellement 4.3.2.3 Accès Super utilisateur : root Mot de passe : root Moyen d'accès : ssh 4.3.2.4 Fichiers de configuration 4.3.2.4.1 Réseau 4.3.2.4.1.1 /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp 4.3.2.4.2 ntp 4.3.2.4.2.1 /etc/ntp.conf # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server srv-ntp.mlif.local restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict 127.0.0.1 restrict ::1 Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 45/46
4.3.2.4.3 nrpe 4.3.2.4.3.1 /etc/nagios/nrpe.cfg # Pour réduire le volume de ce fichier, les commentaires et les lignes vides # ont été supprimés. log_facility=daemon pid_file=/var/run/nagios/nrpe.pid server_port=5666 nrpe_r=nagios nrpe_group=nagios allowed_hosts=192.168.100.30 dont_blame_nrpe=0 debug=0 command_timeout=60 connection_timeout=300 command[check_rs]=/usr/lib/nagios/plugins/check_rs -w 5 -c 10 command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20 command[check_sda1]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sda1 command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200 include=/etc/nagios/nrpe_local.cfg include_dir=/etc/nagios/nrpe.d/ Valéry Mauduit Documentation contexte PPE Cachan - Version EXCAMEN en cours 46/46