Présentation d'un Réseau Eole +



Documents pareils
Présentation d'un Réseau Escolan

Écoles Rurales Numériques et AbulÉdu

Installation d'un serveur DHCP sous Windows 2000 Serveur

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

Microsoft Windows NT Server

Formation SCRIBE EAD

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Chapitre 2 Rôles et fonctionnalités

Module 0 : Présentation de Windows 2000

Logiciel de gestion d'imprimante MarkVision

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Projet Sécurité des SI

La haute disponibilité de la CHAINE DE

Les Imprimantes EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Janvier 2014

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Introduction aux services Active Directory

Phase 1 : Introduction 1 jour : 31/10/13

ARTICA PROJECT Vous souhaitez mettre en place simplement un serveur sécurisé: De messagerie.

Restriction sur matériels d impression

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Windows 2000: W2K: Architecture. Introduction. W2K: amélioration du noyau. Gamme windows W2K pro: configuration.

Guide d'utilisation du Serveur USB

Catalogue & Programme des formations 2015

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

PROJET ARCHI WINDOWS SERVER

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Documentation Annexe sur le PGI :

Installation du SLIS 4.1

Déployer des Ressources et des Applications sous Android.

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

La Solution Crypto et les accès distants

État Réalisé En cours Planifié

NOUVELLES FONCTIONNALITÉS DE MYQ 4.4

ORTIZ Franck Groupe 4. Terminal serveur pour administrer un serveur Windows à distance, client rdp linux.

Sécurité des Postes Clients

Installer une imprimante réseau.

Entrainement à l'évaluation des acquis Windows 2008 R2 et Active Directory

Gestion des utilisateurs et Entreprise Etendue

Citrix XenApp 7.5 Concepts et mise en oeuvre de la virtualisation d'applications

Installation de Windows 2003 Serveur

ETI/Domo. Français. ETI-Domo Config FR

Le rôle Serveur NPS et Protection d accès réseau

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Cours 20410D Examen

Manuel d'installation du logiciel

Vous avez des problèmes d'impression réseau? UniPrint. est la solution qu'il vous faut. Aperçu du produit

Logiciel de gestion d'imprimantes MarkVision

ultisites S.A. module «services»

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

GLPI (Gestion Libre. 2 ième édition. Nouvelle édition. de Parc Informatique)

Guide d'installation du connecteur Outlook 4

B2i. LE B2i Brevet Informatique et Internet. Niveau : tous. 1 S'approprier un environnement informatique de travail. b2ico1.odt.

DIASER Pôle Assistance Rectorat

Septembre 2012 Document rédigé avec epsilonwriter

Installation de Windows 2000 Serveur

Assistance à distance sous Windows

Petit guide d'installation de l'option de connexion réseau

Utilisation d'un réseau avec IACA

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Installation d un serveur AmonEcole

Installation d un serveur DHCP sous Gnu/Linux

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Serveur de sauvegarde à moindre coût

Personnes ressources Tice. Académie de Rouen

AFPA Lomme 35 rue de la Mitterie Lille

Préparer la synchronisation d'annuaires

Présentation du Serveur SME 6000

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Sommaire 1 ) Contexte de l application :... 2

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

«ASSISTANT SECURITE RESEAU ET HELP DESK»

But de cette présentation

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN

Objectifs de la formation : Savoir réaliser la maintenance et l'administration de premier niveau sur un réseau d'établissement SCRIBE.

CNAM-TS. Constitution et mise en place d une équipe sécurité

Symantec Network Access Control

Tutoriel d'introduction à TOR. v 1.0


KMnet Admin LOGICIEL COMPLET ET PERFORMANT D'ADMINISTRATION DES PÉRIPHÉRIQUES.

NOTIONS DE RESEAUX INFORMATIQUES

StorageTek Tape Analytics

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Administration de Réseaux d Entreprises

Ceci est un Chromebook, ton ordinateur!

Stratégie de groupe dans Active Directory

JetClouding Installation

Transcription:

Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation). Sommaire Résumé du cahier des charges initial...1 Constitution d'un réseau Solaere :...1 Authentification unique:...2 Décomposition des communauté d'utilisateur...2 Plan d'adressage académique :...2 Les spécificités du réseau...3 Les Vlans...3 Utilité...3 Evolutivité...3 Schéma de principe...3 Vlan Communication...3 Utilité...4 Conséquences...4 Authentification obligatoire pour accès internet...4 Tableau d'analyse des choix technologiques :...5 Résumé du cahier des charges initial Constitution d'un réseau EOLE Plus : Le réseau est constitué : D'un ensemble de services typiquement réseau : un serveur DHCP configurées, capable de gérer les vlan un serveur DNS dynamique, lié au service de DHCP un annuaire d'authentification unique des filtres permettant d'assurer la sécurité et la traçabilité des usagers. D'un ensemble de services plutôt orienté utilisateurs : Service de partage de fichiers personnel et collectif Service de «Dossiers web» personnel et collectif GIP RECIA http://www.recia.fr infra@recia.fr 1/5

Service de base de données client/serveur Outils de travail collaboratifs DOCUMENT DE TRAVAIL Panoplie d'outils divers (Publication, enseignement assisté, documentation rapide,...) D'une infrastructure réseau sécurisée et évolutive : Vlan, avec possibilité future de vlan dynamique Technologie apte à intégrer le wifi lorsque cette technologie validée par le ministère. Ces différents ensembles sont très étroitement liés, et bon nombre de fonctionnalités réseau sont limités de part les choix technologiques et les choix de configurations fait a différents niveau. Ces choix ont toujours été fait dans un but d'améliorer la sécurité et de diminuer la probabilité de DOS sur le réseau. Authentification unique: L'une des principales caractéristiques de EOLE Plus est de proposer une authentification unique et centralisée sur l'ensemble des services réseaux. Cette authentification est utilisée à la fois lors de l'authentification sur les services de partage de fichiers, sur les accès aux web, à l'interface d'administration, aux espaces de travail collaboratif, sur les vlan dynamiques,... Tout service et/ou programme capable d'utiliser le standard d'authentification LDAP pourra bénéficier de l'authentification unique. De plus, le standard d'authentification unix(pam) est capable d'utiliser l'authentification LDAP. Tout les services/programmes capables d'utiliser ce standard pourront eux aussi bénéficier de l'authentification unique. Enfin, puisque l'authentification LDAP est aussi utilisée sur les serveurs de fichiers, les standards lanmanger et NTLM de Microsoft pourront être mise en oeuvre. Décomposition des communauté d'utilisateur Le cahier des charges de EOLE Plus met l'accent sur l'existence de différentes communautés dans un établissement scolaire. Ces communautés ont chacune leurs spécificités, et de ces spécificités découlent les droits qu'elles ont sur d'autre communautés. Par exemple, les élèves, comme les professeurs doivent pouvoir accéder aux serveurs de fichiers ou ils stockent leurs documents. Par contre, un professeur doit pouvoir accéder au logiciel de gestion de notes, alors que les élèves ne doivent pas pouvoir le faire. Confier cette tache aux serveurs rends l'ensemble du réseau vulnérable à la moindre faille sur système d'exploitation des serveurs. Afin de limiter au maximum ce risque, nous avons décidé de nous appuyer sur une technologie vlan. Pour l'instant statique (un prise = un point d'entrée dans un vlan), cette technologie va bientôt passer en vlan dynamique ( une authentification très sécurisée permet de basculer dynamiquement la station dans le bon vlan). Plan d'adressage académique : Un plan d'adressage académique est proposé à l'ensemble des lycées et des collèges. Ce plan d'adressage inclus un certain nombre de contraintes liées entre autre aux vlans, aux besoins de télémaintenance, aux contraintes de fonctionnement du réseau coté administratif fixés par la DPMA,... GIP RECIA http://www.recia.fr infra@recia.fr 2/5

Les spécificités du réseau Les Vlans Utilité Les vlan permettent de cloisonner le réseau en différents sous-réseau, reliés entre eux par des routeurs. Ces routeurs permettent d'organiser la visibilité entre les Vlans de manières assez souple. Evolutivité Le concept des vlans est très souple. Il permet d'envisager des évolutions à cour ou moyen terme. Il permettrons par exemple de basculer en vlan dynamique, utilisant l'authentification unique, dés qu'il nous serra possible de déployer cette technologie. Schéma de principe Le vlan serveur est vu (entre autre) des vlan personnels et élèves Serveurs Le vlan impression est vu du vlan serveurs, mais pas du vlan personnels et élèves. Pour imprimer, on utilise obligatoirement un serveur d'impression. Imprimantes Internet Amon Commr proxy Commr Relations inter-vlan Vlan personnels Vlan élèves Vlan serveurs Vlan impression Vlan comm Sensible Vlan admin Switch N3 Postes Administration Les postes ne se voient que s'ils sont dans le même vlan Ils ne voient pas les imprimantes. Les postes voient les serveurs. Poste prof Poste élève Applis sensibles Le vlan sensible n'est pas visible du vlan élève. Il est visible de personnel. La vision coté admin est assez compliquée. En general, on utilise du Terminal Server. Vlan Communication le Vlan Communication est non routé dans un réseau EOLE Plus. Ce point particulier à plein de conséquences sur le fonctionnement du réseau. GIP RECIA http://www.recia.fr infra@recia.fr 3/5

Utilité DOCUMENT DE TRAVAIL Ce choix ce justifie par la nécessité de maîtriser les flux d'informations en provenance et à destination d'internet. Un réseau complètement routé peut permettre à une machine de sortir directement sur internet en évitant les zones de filtrage. La seule manière d'interdire tout cour-circuitage des zones de filtrage est de les rendre obligatoires. Puisque le vlan communication n'est pas routé, les paquets arrivent jusque dans ce vlan et ne savent plus où aller. Seul le serveur de communication commr est alors capable de diriger le paquet. Conséquences Les conséquences sont multiples pour les usagers :... Obligation d'utiliser systématiquement un proxy pour aller sur internet Impossibilité de mettre en place des clients de mail, a part sur l'intranet Nous sommes en train de travailler sur la mise en place qu'un proxy sock authentifié LDAP. Ce dernier devrait être en place a terme sur tous les sites. Authentification obligatoire pour accès internet. L'accès a l'intranet est complètement transparent à l'utilisateur. Il n'a pas besoin d'être authentifié par le proxy. Par contre, dés que l'utilisateur veut aller sur internet, il est essentiel que l'on puisse avoir une trace de ce qu'il fait. C'est la raison pour laquelle tout accès internet requière une authentification. L'authentification est transparente lorsque la technologie le permet. (utilisation de la couche NTLM). Du fait de la présence de l'authentification, il est impossible de mettre en place un proxy transparent. Conclusions : Tout logiciel qui n'est pas capable d'utiliser un proxy authentifié ne pourra pas fonctionner sur le réseau. Nécessité de paramétrer correctement les logiciels (maj automatique d'antivirus par exemple) Surveillance toute particulière à apporter sur le fonctionnement des profils errants (disparition des paramètres de proxy,...) Exemple de problème : Windows XP est incapable de valider sa licence lors de l'installation, du fait qu'il ne propose pas de configurer le proxy à ce point de l'installation. Il faut donc dans ce cas ne pas valider, finir l'installation, régler le proxy, puis valider la licence. GIP RECIA http://www.recia.fr infra@recia.fr 4/5

Tableau d'analyse des choix technologiques : Type d'applications Avantages Inconvénients et conséquences Clients mail Limitation des problèmes de configurations Limitation des problèmes de maintenance Suppression des problèmes de profils errant Amène les utilisateurs à s'intéresser au GroupWare installé sur le site, et donc élargissement de l'horizon applicatif. Diminution importante du risque viral PEER-TO-PEER Du fait de la combinaison non routage + proxy authentifié, le peer-to-peer est plus compliqué à mettre en place. Virus Limitation des possibilités d'attaque de virus et de vers. Les virus sont gênés pour accéder au web. La propagation est plus difficile. La propagation directe entre les vlans personnels et élèves est impossible. Impression Obligation d'utiliser un serveur d'impression. Cela permet de contrôler le fonctionnement général des impressions. Possibilité de gérer les impressions, les quotas, d'abstraire les drivers,.. Interdit aux virus d'attaquer directement les imprimantes. Permet d'installer les imprimantes en fonction de l'utilisateur connecté et de la salle. Partage de fichiers Isolement des postes, et par conséquent, limitation de la visibilité. Un partage sur le vlan personnels n'est visible que depuis le vlan personnels. (dossiers et/ou imprimantes) cette pratique n'est pas à encourager. Pousser les utilisateurs à utiliser les partages des serveurs. Frustration des utilisateurs habitués aux clients de messagerie (notamment les différentes versions d'outlook) De la pédagogie est nécessaire pour expliquer en quoi l'utilisation d'un Groupware ou d'un WebMail est préférable à un client de messagerie traditionnel? Fort changement des habitudes. L'impression poste à poste est limitée au vlan de la machine partageant l'imprimante. Grosse difficulté de compréhension du concept de serveur d'impression la part des utilisateurs Gros problèmes d'impression souvent dus à des bug dans les drivers d'imprimantes ou à des incompatibilité matériel (boitier fonctionnant mal en général). Pas de vue globale du réseau : Certaines machines sont accessibles d'un coté, mais pas de l'autre. Pourtant, elle apparaissent partout, puisqu'elle sont enregistrées dans le Wins Le réseau Microsoft est un réseau qui a beaucoup de mal à fonctionner en environnement routé. La mise en place d'un serveur wins est obligatoire. De plus, du fait de l'imbrication très forte des différents services réseaux, un fonctionnement correct du DNS est lui aussi obligatoire pour que le réseau Microsoft fonctionne correctement. L'interface d'administration permettra à l'administrateur d'identifier plus facilement l'origine des pannes, et d'en venir à bout par un simple clic, mais il me semble essentiel que l'administrateur soit capable de vérifier lui même un certain nombre paramètres dans son réseau. Cela sera proposé à la fin. GIP RECIA http://www.recia.fr infra@recia.fr 5/5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back