PLANNING DES ACTIVITES PROFESSIONNELLES N d'activité Intitulé 1 Mise en place d'un système de fichier distribué (DFS) 2 Mise en place d'un client léger Thinstation avec répartition de charge (Service Broker) 3 Mise en place d'un proxy filtrant avec authentification Active Directory. 4 Mise en place d'un logiciel de gestion de parc informatique et Helpdesk 5 Création d un SAN avec Starwind et sauvegarde avec Symantec BackUp exec C2 INSTALLER ET CONFIGURER Compétences AP n 1 AP n 2 AP n 3 AP n 4 AP n 5 C21 Installer et configurer un microordinateur X X X X X C22 Installer et configurer un réseau X X X X X C23 Installer et configurer un dispositif de sécurité X X X C24 Installer un SGBD C25 Installer un applicatif X X X X X C26 Installer un périphérique C27 Installer et configurer un système clientserveur C3 ADMINISTRER ET MAINTENIR C31 Assurer les fonctions de base de l'administration d'un réseau X X X X X X X X X X C32 Assurer les fonctions de l'exploitation X X X C33 Assurer la sécurité du réseau C34 Surveiller et optimiser le trafic du réseau C35 Actualiser une solution informatique X X C36 Assurer la maintenance d'un poste de travail C37 Administrer une base de données X X X X X
Compte rendu d activité - Fiche n 1 Mise en place d'un système de fichier distribué (DFS) Contexte : DFS (Distributed File System) permet de centraliser les fichiers des différents utilisateurs. Ainsi si un des serveurs tombe en panne, les fichiers seront toujours disponibles. Objectifs : Utilisation du service DFS, vérifier la redondance des fichiers, et vérifier le fonctionnement du service si un serveur tombe en panne. Compétences mises en œuvre pour la réalisation de cette activité C21 Installer et configurer un microordinateur C22 Installer et configurer un réseau C23 Installer et configurer un dispositif de sécurité C25 Installer un applicatif C27 Installer et configurer un «système» client-serveur C31 Assurer les fonctions de l administration d un réseau C32 Assurer les fonctions de l exploitation C35 Actualiser une solution informatique Matériels : 2 serveurs Windows 2008 1 poste client Conditions de réalisations Logiciel : Windows Server 2008 Active Directory,DNS,DFS Windows XP Description de l'activité réalisée Situation initiale : Les utilisateurs sauvegardent leurs fichiers sur un seul serveur, risque de perte de donnée. Situation finale : Il y a une redondance des fichiers et des serveurs.
I. Présentation DFS permet aux utilisateurs d'accéder à leurs données répartit sur plusieurs serveurs. La réplication sert surtout pour la tolérance aux pannes Schéma de fonctionnement: II. Mise en place Sur les serveurs, il faut tout d'abord installer Active Directory pour gérer nos utilisateurs. Les deux serveurs seront tous les deux contrôleurs de domaines. Dans un premier temps, il faut créer un dossier de partage pour les utilisateurs sur un des serveurs, puis créer un script de démarrage pour monter automatiquement un lecteur réseau sur les postes clients. @echo off net use z: \\srv1\partage\%username% pause Se connecter avec le client puis vérifier que le lecteur réseau est fonctionnel.
Nous pouvons maintenant installer le rôle DFS sur les serveurs puis créer un espace de nom sur le premier serveur. Sur les deux serveurs, créer un répertoire DATA à la racine de C: puis le partager. A l'espace de nom, ajouter un dossier SHARE puis ajouter le dossier DATA des deux serveurs. Configurer ensuite la réplication des dossiers en déterminant le serveur principal puis sélectionner une topologie en maille pleine (chaque membre réplique à tous les autres membres du même groupe de réplication) Vérifier que la réplication est effectuée entre les deux serveurs. Il est possible de modifier le temps de réplication (300 secondes par défaut) en allant sur l'espace de nom. Il faut maintenant modifier le script pour monter le lecteur réseau en le faisant pointer sur le domaine : @echo off net use z: \\dfs.org\partage\share\%username% pause Tester la connexion puis créer des fichiers et dossiers de tests, vérifier que les modifications sont prises en comptes. Simuler une panne d'un des serveurs, recréer des dossiers et fichiers de tests puis relancer un des serveurs pour vérifier la prise en compte des modifications. Analyse des résultats obtenus Objectif atteint : La redondance des fichiers est opérationnelle ainsi que le maintien du service si un serveur tombe en panne. Bilan de l activité : Les utilisateurs peuvent continuer à travailler même si un serveur tombe en panne.
Compte rendu d activité - Fiche n 2 Mise en place d'un client léger Thinstation avec répartition de charge (Service Broker) Contexte : Le responsable informatique se rend que certaines applications demandent de plus en plus de ressource système, hors son parc informatique est vieillissant. Objectifs : Il souhaite déployer un client léger Thinstation pour pouvoir exécuter ses applications sur ses serveurs. Compétences mises en œuvre pour la réalisation de cette activité C21 Installer et configurer un microordinateur C22 Installer et configurer un réseau C23 Installer et configurer un dispositif de sécurité C25 Installer un applicatif C26 Installer un périphérique C27 Installer et configurer un «système» client-serveur C31 Assurer les fonctions de l administration d un réseau C32 Assurer les fonctions de l exploitation C33 Assurer la sécurité du réseau C34 Surveiller et optimiser le trafic sur le réseau C35 Actualiser une solution informatique Matériels : Conditions de réalisations Logiciel : 3 serveurs sous Windows Server 2008 Un client sans OS Thinstation DHCP Service Broker DNS Active Directory Description de l'activité réalisée Situation initiale : Les utilisateurs exécutent les applications en local sur leurs PC. Situation finale : Les utilisateurs exécutent les applications sur les serveurs de l'entreprise.
I. Présentation Thinstation est une distribution Linux capable de booter par PXE, les clients utilisant Thinstation sont appelés clients léger. Terminal Server est un composant de Windows Server qui permet à un utilisateur d'exécuter des applications à distances. Schéma de fonctionnement: II. Mise en place Note : Active Directory et le DNS sont déjà installés sur les serveurs. Il faut dans un premier temps installer le DHCP ainsi que le rôle TSE (Terminal Service). Puis configurer les rôles 66 (@IP du serveur de boot) et 67 (thinstation.nbi.zpxe)
Thinstation-2.2.1-prebuilt-Netboot.zip Dézipper puis mettre les fichiers du dossier tftproot dans c:/tftproot thinstation.nbi thinstation.nbi.zpxe thinstation.conf.network Modifier le fichier thinstation.conf.network pour se connecter en RDP (Remote Desktop Protocol) sur le serveur. Lancer tftpd32 puis choisir comme dossier c:/tftpdroot Maintenant que Thinstation est configuré, aller sur le poste client puis le démarrer en PXE (Pre-boot execution Environment) qui permet à un une station de récupérer un OS à partir du réseau.
Maintenant que Thinstation et TSE fonctionnent, nous allons mettre en place le rôle Service Broker qui consiste à faire une répartition de charge entre les différents serveurs TSE. Pour cela, il suffit d'installer le rôle Service Broker sur chaque serveur en configurant le nom de la batterie TSE et en indiquant à chaque serveur de rejoindre cette même batterie, et, en activant l'équilibrage de charge. Enfin, il faut configurer le nom de domaine de notre batterie, dans notre cas, brokerts.ts.org en saisissant à chaque le meme nom de domaine mais en changeant l'adresse Ip en fonction du serveur. Maintenant, les sessions devront se connecter sur l'adresse brokerts.ts.org, il faut donc modifier le fichier de configuration de Thinstation, car celui-ci est toujours configuré pour se connecter sur un seul serveur et non sur la batterie. Analyse des résultats obtenus Objectif atteint : Les PC installés ne sont plus sollicité et exécutent seulement le client léger Thinstation, tout le reste se fait sur les serveurs. Il y a également un maintien du service si un serveur tombe en panne. Bilan de l activité : Le problème de ressource est résolu, cependant, l'administrateur devra veiller à ce que ses serveurs disposent d'assez de ressource pour exécuter et recevoir tous les utilisateurs.
Compte rendu d activité - Fiche n 3 Mise en place d'un proxy filtrant avec authentification Active Directory. Contexte : Le responsable informatique se rend compte que certains employés se connectent à des sites qui ne sont pas dans le contexte du travail. Il désire donc mettre en place un système filtrant afin d'avoir une meilleure efficacité de travail. Objectifs : Réguler les sorties sur internet des employés, en fonction de leurs URL ou de leurs contenu, scanner avec un anti-virus si la page est vérolée. Compétences mises en œuvre pour la réalisation de cette activité C21 Installer et configurer un microordinateur C22 Installer et configurer un réseau C23 Installer et configurer un dispositif de sécurité C25 Installer un applicatif C27 Installer et configurer un «système» client-serveur C31 Assurer les fonctions de l administration d un réseau C32 Assurer les fonctions de l exploitation C33 Assurer la sécurité du réseau C34 Surveiller et optimiser le trafic sur le réseau Matériels : Conditions de réalisations Logiciel : 1 serveur sous Ubuntu 1 serveur sous Windows 2008 1 poste client sous Windows XP Squid DansGuardian ClamAV Apache DHCP DNS Active Directory Situation initiale : Description de l'activité réalisée Les utilisateurs visitent des sites web non autorisés. Certaines pages web sont peut-être vérolées. Situation finale : Les différents sites web visités sont filtrés. Les différentes page web sont scannées.
I. Présentation Le serveur Proxy va servir de cache pour les utilisateurs. Si un utilisateur demande une page, celle-ci est sauvegardée sur le disque local du serveur Proxy. Si un autre utilisateur demande la même page, celle-ci ne sera pas recharger mais c'est celle mise en cache qui sera envoyé à l'utilisateur. Schéma de fonctionnement: II. Mise en place 1. Squid Dans un premier temps nous allons mettre en place SQUID sur notre serveur Ubuntu. Une fois l'installation terminée, il faut modifier le fichier de configuration /etc/squid3/squid.conf always_direct allow all acl ourlans src 192.168.1.0/24 http_access allow ourlans Une fois les modifications faites, il faut redémarrer Squid. /etc/init.d/squid restart La connexion à partir des postes clients est à rentrer dans Firefox ou Internet Explorer @IP:3128
2. DansGuardian Nous allons maintenant installer DansGuardian (filtrage des sites)ainsi que ClamAV (pour scanner les pages web). Une fois l'installation terminée, il faut modifier le fichier de configuration /etc/dansguardian/dansguardian.conf Pour activer la configuration, il faut commenter ou supprimer cette ligne : #UNCONFIGURED Cette ligne permet d avoir les messages en français en cas de blocage des sites : language = 'french' Puis activer le support de ClamAV virusscan = on virusengine = 'clamav' contentscanner = '/etc/dansguardian/contentscanners/clamav.conf' Les filtres se trouvent dans /etc/dansguardian/lists Exemple, modifier le fichier bannedsitelist et ajouter un site à bloquer (facebook.com) Il est possible de créer un script pour mettre à jour les listes, #!/bin/bash cd /etc/dansguardian/lists/blacklists wget ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz tar -xvzf blacklists.tar.gz -C /etc/dansguardian/lists/blacklists /etc/init.d/dansguardian stop /etc/init.d/dansguardian start Une fois la configuration faites, il faut télécharger les mise à jour de ClamAV, faire la commande suivante dans un terminal : freshclam Puis faire redémarrer DansGuardian pour prendre la nouvelle configuration : /etc/init.d/dansguardian stop puis start La connexion à partir du poste client se fait maintenant sur le port 8080 Vérifier que le filtrage est effectif en allant sur facebook.com et que le scan antivirus fonctionne en allant sur http://www.eicar.org/download/eicar.com.txt 3. WPAD WPAD (Web Proxy Autodiscovery Protocol) permet d'indiquer le serveur Proxy automatiquement aux clients grâce au DHCP. Pour cela, il faut installer un serveur Web (Apache) sur notre serveur Ubuntu et le rôle DHCP sur notre serveur 2008. Dans un premier temps, il faut modifier le fichier de configuration d'apache /etc/apache2/httpd.conf Puis ajouter : AddType application/x-ns-proxy-autoconfig.dat Il faut ensuite créer un fichier à la racine de notre serveur Web que nous appellerons nano /var/www/wpad.dat
Puis y mettre : function FindProxyForURL(url, host) { if (isinnet(host, "x.x.x.0", "255.255.255.0")) return "DIRECT"; else return "PROXY x.x.x.x:8080"; } Redémarrer Apache pour prendre en compte la nouvelle configuration /etc/init.d/apache2 restart Sur le serveur 2008, installer le rôle DHCP, puis configurer l'option 252. Sur le client, configurer Internet Explorer pour détecter automatiquement les paramètres automatiquement. 4. SARG SARG va nous permettre de mieux visualiser les sites Web visités par les utilisateurs en utilisant les rapports de DansGuardian puis en générant des pages HTML. Une fois l'installation terminée, il faut modifier le fichier de configuration de SARG /etc/sarg/sarg.conf access_log /var/log/dansguardian/access.log report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads denied output_dir /var/www/html/squid-reports dansguardian_conf /etc/dansguardian/dansguardian.conf Il faut également modifier le fichier de configuration de DansGuardian loglevel = 3 logfileformat = 3 Puis supprimer l ancien fichier de log : /var/log/dansguardian/access.log Redémarer ensuite DansGuardian /etc/init.d/dansguardian stop /etc/init.d/dansguardian start Il faut ensuite saisir sarg dans une console, les rapports se génèrent et sont visibles sur le serveur Web.
5. Authentification sur Active Directory Il est possible de mettre en place une authentification pour pouvoir accéder au Proxy. L'authentification se fera sur un Active Directory. Dans un premier, installer un Active Directory sur le serveur 2008, créer une unité d'organisation puis créer des utilisateurs. Sur le serveur Ubuntu, il faut installer samba kerberos ntpdate winbind Il faut ensuite configurer les différents modules, changer le DNS pour celui de l'active Directory puis synchroniser l'heure entre les deux serveurs. Une fois les modifications faites, il faut rejoindre le domaine Ensuite, il faut tester que NTLM puisse s authentifier auprès de AD avec : /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic Puis il faut modifier le fichier de configuration de Squid pour prendre en compte l'authentification NTLM puis le redémarrer. Tester ensuite la connexion au Proxy (port 3128), si la personne est authentifiée sur Active Directory, aucun login n'est demandé, sinon une authentification est requise. Il faut ensuite modifier le fichier de configuration de DansGuardian pour prendre en compte l'authentification NTLM, puis le redémarrer. Tester ensuite la connexion à DansGuardian (port 8080). Analyse des résultats obtenus Objectif atteint : Le proxy Squid permet une meilleure gestion de la bande passante, les pages web et URL sont filtrés par DansGuardian. Bilan de l activité : L'administrateur peut vérifier les sites visités et adapter les listes de DansGuardian comme il le souhaite.
Compte rendu d activité - Fiche n 4 Mise en place d'un logiciel de gestion de parc informatique et Helpdesk Contexte : Le responsable informatique, souhaite connaître tous le matériels déployés (Ordinateurs, serveurs, imprimantes, éléments actifs) sur le parc informatique. De plus, il souhaite mettre à disposition des utilisateurs un Helpdesk. Objectifs : Avoir un inventaire automatique. Le Helpdesk devra permettre une authentification centralisée sur Active Directory. Compétences mises en œuvre pour la réalisation de cette activité C21 Installer et configurer un microordinateur C22 Installer et configurer un réseau C23 Installer et configurer un dispositif de sécurité C25 Installer un applicatif C27 Installer et configurer un «système» client-serveur C31 Assurer les fonctions de l administration d un réseau C32 Assurer les fonctions de l exploitation C33 Assurer la sécurité du réseau C34 Surveiller et optimiser le trafic sur le réseau C35 Actualiser une solution informatique Matériels : Conditions de réalisations Logiciel : 1 serveur sous Windows Server 2008 1 poste client sous Windows Seven 1 poste client sous Windows XP Apache PHP MySQL OCS NG GLPI Active Directory DNS Situation initiale : Description de l'activité réalisée L'administrateur connait vaguement les éléments déployés sur le parc. Les utilisateurs appellent le service informatique pour résoudre leurs problèmes. Situation finale : L'administrateur connait les éléments déployés sur le parc, leurs modifications, configuration... Les utilisateurs se servent du Helpdesk pour résoudrent leurs problèmes.
I. Présentation La gestion de parc informatique est une chose très importante dans une organisation, d une part pour connaitre les matériels et logiciels déployés et, d autre part pour permettre d assister plus facilement les utilisateurs. Schéma de fonctionnement: Inventaire des stations via l agent OCS Synchronisation inventaire Parc Informatique II. Mise en place Note : Active Directory et le DNS sont déjà installés sur le serveur. Dans un premier temps, il faut installer le package OSC sur le serveur, celui-ci installera la suite de logiciel XAMPP. Pour cela, se rendre sur l adresse http://localhost/security/ puis ajouter un mot de passe à l utilisateur root de MYSQL et sécuriser l accès au panneau de configuration de XAMPP. Il faut redémarrer MYSQL et Apache après les modifications.
On se connecte à l interface de phphmyadmin http://localhost/phpmyadmin puis on importe le fichier SQL afin de créer la base de données ocsweb. (C:\xampp\htdocs\ocsreports\files\ocsbase.sql) Puis saisir cette requête afin de créer l utilisateur ocs : CREATE USER ocs IDENTIFIED BY 'root' Puis celle-ci afin de donner les droits sur la base ocsweb : GRANT ALL PRIVILEGES ON `ocsweb`.* TO 'ocs'@'%'; Modifier le fichier C:\xampp\htdocs\ocsreports\dbconfig.inc En saisissant les informations de connexion de l utilisateur ocs Nous pouvons configurer OCS en allant à cette adresse : http://localhost/ocsreports Une fois l installation d OCS terminée, il faut déployer l agent OCS grâce à une GPO et un script d installation. Pour cela, il faut dans un premier créer le package à déployer grâce au packager fourni par OCS. Placer le fichier créé dans C:\WINDOWS\SYSVOL\sysvol\glpi.org\scripts puis créer un nouveau script batch avec ce contenu : @echo off IF NOT EXIST "C:\Program Files\OCS Inventory Agent\OCSInventory.exe" goto install IF EXIST "C:\Program Files\OCS Inventory Agent\OCSInventory.exe" goto end :install start \\172.16.7.254\NETLOGON\ocspackage.exe ping 127.0.0.1 -n 60 > NUL goto end :end cd "C:\Program Files\OCS Inventory Agent" start Ocs_contact.exe /S /FORCE Puis configurer une GPO pour l ouverture de session.
Quand le client se connectera, il exécutera le script et installera l agent OCS. Une nouvelle entrée dans l inventaire d OCS est créée. Nous pouvons maintenant passer à l installation de GLPI, il suffit simplement de dézipper le contenu de l archive à la racine du serveur WEB Il faut ensuite créer la table glpi CREATE DATABASE `glpi` ; Puis importer le fichier SQL pour remplir la BDD (C:\xampp\htdocs\glpi\install\mysql\ glpi-0.72.3- empty.sql) Enfin on créé l utilisateur glpi : CREATE USER glpi IDENTIFIED BY 'root'; Puis celle-ci afin de donner les droits sur la base ocsweb : GRANT ALL PRIVILEGES ON `glpi`.* TO 'glpi'@'%'; Il faut ensuite modifier le fichier (C:\xampp\htdocs\glpi\config\config_db.php) Puis de se connecter à l adresse http://localhost/glpi et saisir les informations demandées. Nous pouvons par la suite importer le contenu de l inventaire d OCS dans GLPI. Pour cela, il faut configurer le mode OCSNG de GLPI.
Puis saisir les informations de connexion à la base d OCS Une fois les informations saisies, nous pouvons importer les données depuis la base OCS Maintenant que notre infrastructure est mise en place, nous allons mettre en place un script de sauvegarde afin de sauvegarder les bases de données. Pour cela, créer un fichier Batch, puis y saisir : @echo off del C:\xampp\mysql\*.sql set filenameglpi=glpi_%date:~3,2%-%date:~0,2%-%date:~6,4%_%time:~0,2%h%time:~3,2%.sql set filenameocs=ocs_%date:~3,2%-%date:~0,2%-%date:~6,4%_%time:~0,2%h%time:~3,2%.sql set repdest=c:\xampp\mysql\bin "%repdest%\mysqldump.exe" -h localhost --user=root --password=root glpi > "C:\xampp\mysql\%filenameGLPI%" "%repdest%\mysqldump.exe" -h localhost --user=root --password=root ocsweb > "C:\xampp\mysql\%filenameOCS%" Ainsi, le script génèrera des fichiers SQL pouvant être sauvegardés ou réutiliser sur un autre serveur. Analyse des résultats obtenus Objectif atteint : L'administrateur connait les matériels et logiciels déployés sur le parc. Le Helpdesk permet une meilleure gestion et suivie des problèmes utilisateurs. Bilan de l activité : L'administrateur gère mieux son parc et les problèmes des utilisateurs.
Compte rendu d activité - Fiche n 5 Création d un SAN avec Starwind et sauvegarde avec Symantec BackUp exec Contexte : Actuellement, les utilisateurs enregistrent tous leurs fichiers sur un serveur de stockage. Afin d'améliorer la sécurité des données, l'administrateur met en place un SAN avec le logiciel Starwind en créant des bandes virtuelles (Virtual Tape). La sauvegarde des données se fera avec le logiciel Symantec Backup Exec. Objectifs : Sauvegarder des répertoires précis sur bande virtuelles. Compétences mises en œuvre pour la réalisation de cette activité C21 Installer et configurer un microordinateur C22 Installer et configurer un réseau C23 Installer et configurer un dispositif de sécurité C25 Installer un applicatif C27 Installer et configurer un «système» client-serveur C31 Assurer les fonctions de l administration d un réseau C32 Assurer les fonctions de l exploitation C35 Actualiser une solution informatique Matériels : Conditions de réalisations Logiciel : 3 Serveurs sous Windows Server 2008 1 client sous Windows XP Starwind Symantec Backup Exec Description de l'activité réalisée Situation initiale : Les sauvegardes sont effectuées sur bande et disque dur physique Situation finale : Les sauvegardes se font sur bande virtuelle, qui seront sauvegardés avec un robot de sauvegarde. Les sauvegardes sont placées sur un espace DFS pour assurer leur sécurité.
I. Présentation Le logiciel Starwind permet de créer un SAN (Storage Area Network) rapidement et simplement. Le principe de fonctionnement est le suivant : sur le serveur SRV-STARWIND, nous métrons en place des targets, ces mêmes targets seront active grâce aux protocoles iscsi sur le serveur SRV-BACKUP, ce même serveur ira cherché les données du serveur SRV-DATA pour les sauvegarder sur la target. La mise en place d un tel système permet d accroitre les performances en sauvegarde, en effet, les accès sur un disque dur sont meilleurs que sur une bande. Cependant, les sauvegardes définitive se feront sur bande (on sauvegardera les Virtual Tape), on parle alors de D2D2T (Disk to Disk to Tape ou "de disque à disque à bandes"). Schéma de fonctionnement: II. Mise en place Note : Le logiciel Starwind et BackUp Exec sont déjà installés. 1. Création et sécurisation des targets La création d une target se fait à partir de la console d administration en cliquant sur cette icone Saisir un nom pour la target, puis sélectionner son type :
La création étant terminée nous allons sécuriser leurs accès grâce au protocole CHAP (Challenge Handshake Authentication Protocol). 2. Connexion aux targets Pour se connecter aux targets, il suffit de saisir l adresse IP du serveur hébergeant les targets (SRV-STARWIND). Les targets sont visibles mais ne sont pas connectés, il faut saisir les informations CHAP. Cette procédure est à faire pour chaque target.
3. Sauvegardes d un répertoire Maintenant que nos targets sont connectés à notre serveur SRV-BACKUP, nous pouvons effectuer nos sauvegardes. Pour cela, nous utiliserons le logiciel Backup Exec installé sur SRV-BACKUP qui commandera un agent installé sur SRV-DATA. Nous effectuons une sauvegarde complète du dossier share se trouvant sur le serveur SRV-DATA. L avancement de la sauvegarde est visible dans le Moniteur des travaux.
4. Restauration d un fichier La restauration d un fichier se fait à partir de la console d administration de Backup Exec. Analyse des résultats obtenus Objectif atteint : Les données du serveur SRV-DATA sont sauvegardées de manière efficace et sécurisée en couplant les bandes virtuelles et bande physique. Bilan de l activité : La gestion des sauvegardes est améliorée, d une part pour une meilleure gestion de l espace disque et d autre part par une optimisation du stockage.