GUILLEMET Rémi GOMEZ Mickael Administration d un Parc Informatique FONGARO Laurent Compte rendu du Projet Start de la session GMSI 2010 2012 au CESI de PAU.
1er janvier 2011 Remerciements Nous voudrions tout d abord adresser nos remerciements les plus sincères à Jean-Christophe DUGALLEIX (responsable de la formation GMSI au CESI), Laurent DEVECIS (Directeur du CESI de Pau), Marie-Pierre HUBERT (chargée de recrutement) et Cindy PELETIER (Secrétaire) qui nous ont accueillis au sein de leur établissement nous permettent d évoluer dans le domaine professionnel et de faire évoluer notre projet personnel. Nous remercions également tous les autres intervenants du CESI, sans qui tout ceci serait possible et qui nous transmettent un savoir précieux. Nous remercions aussi particulièrement nos collègues de travail qui nous soutiennent depuis un an déjà et qui eux aussi nous transmettent beaucoup de choses et qui nous permettent d évoluer aussi bien dans le domaine professionnel et privé. 2
1er janvier 2011 INTRODUCTION 5 PRÉSENTATION 6 1.1 / Présentation de l entreprise 6 1.3 /Positionnement géographique 6 1.2 /Organigramme 7 1.4 /Présentation du site 8 1.5 /l équipe informatique 8 BESOINS 9 2.1 /Analyse de votre cahier des charges 9 2.2 /Formations 9 2.3 /Sécurité 10 PLANNING 13 VLAN 14 4.1 /Paramétrage d un VLAN 14 4.2 /Plan 16 TOPOLOGIE 17 LA VIRTUALISATION 18 6.1 /Le principe 18 6.2 /ESXi 19 Stockage Area Network (SAN) 21 7.1 /Principe 21 7.2 /RAID 10 (ou RAID 1+0) 22 7.3 /Schéma 23 CONTRÔLEUR DE DOMAINE 24 8.1 /Installation OS 24 8.2 /Installation AD 25 8.3 /Configuration DNS 26 3
1er janvier 2011 8.4 /Serveur d impression 28 8.5 /Service de Déploiement Windows 29 8.6 /Serveur de Licences (KMS) 31 Linux 34 9.1 /Samba 34 9.2 /NFS 35 9.3 /DHCP 36 9.4 /FTP 37 9.5 /APACHE, PHP, MySQL 39 INTRANET 40 10.1 /Accueil 40 10.2 /GLPI 41 10.3 /OCS INVENTORY 45 AUTOMATISATION 48 11.1 /Script SHELL (Linux) 48 ACRONIS BACKUP & RECOVERY 51 MATÉRIEL 52 13.1 /Rack & Serveurs 52 13.2 /Baie SAN 54 DEVIS 55 ADMINISTRATION À DISTANCE 56 15.1 /Serveurs 56 15.2 /Imprimantes 56 15.3 /Switchs 56 15.4 /Utilisateurs 56 CONCLUSION 57 4
1er janvier 2011 INTRODUCTION Nous voilà arrivés à notre second projet «Administration d un parc informatique». La direction ayant demandé les services d une société spécialisée, le modèle utilisé pour rédiger le rapport du premier «Projet Start» a été réutilisé pour celui-ci. Vous retrouverez donc les polices, couleurs personnalisées, photos et plans utilisés à cet effet. Après avoir installé tout le matériel physique permettant d acheminer les données { travers le réseau, cette entreprise (autant que le service informatique) a maintenant besoin d une évolution au niveau de l administration des droits, services, etc. Ce projet demande d installer sur le réseau existant une architecture serveur permettant l authentification des utilisateurs, la gestion de leurs droits, une automatisation des paramètres IP (plus facile et rapide lorsqu un nouvel utilisateur intègre les lieux), un outil permettant le transfert de fichiers par internet et bien d autres indispensables. Cette évolution devra permettre une meilleure gestion des accès, sécuriser davantage le réseau et automatiser certaines tâches. Objectifs de ce projet : Mettre en œuvre les outils d administration de Windows Server ; Mettre en œuvre les outils d administration LINUX/UNIX ; Être capable de sécuriser l accès aux réseaux et aux données de l entreprise ; Rédiger des rapports écrits adaptés au contexte professionnel ; Être capable de créer et gérer une base de données relationnelle ; Être capable d automatiser les tâches { l aide d un outil de programmation (VB Script) ; Pour ce projet, nous allons aborder plusieurs thèmes pour l intégration de différents serveurs. En suivant le cahier des charges pas à pas, nous répondrons aux besoins formulés par la direction. Nous passerons finalement à la réalisation détaillée (mise en place de VLAN, installation des serveurs, attribution des droits, présentation des solutions de sécurité ). 5
1er janvier 2011 PRÉSENTATION 1.1 / Présentation de l entreprise L entreprise SA. Zyrteck, créée en 1996 { Bordeaux, est une centrale d achat pour un regroupement de franchisés. Elle est chargée de négocier des produits électroménagers. RAPPEL DES PRODUITS : Micro-ondes Fours Machines à laver Suite { l aménagement du réseau lors de l installation dans les nouveaux locaux. 1.3 /Positionnement géographique Basée au centre de bordeaux entre le Centre Commercial Mériadeck et le Musée des Beaux Arts, la centrale est accessible du lundi au vendredi de 8 h à 18 h. Avec ses 200 places de parking (réservés à la clientèle), vous pourrez aisément accéder au site. 6
1er janvier 2011 1.2 /Organigramme Les employés travaillent à plusieurs dans des petits bureaux et de nouvelles embauches sont à prévoir. 90 salariés travaillent actuellement dans ces locaux et la gestion devient difficile. Directeur Général Assistante Responsable Produit 1 Responsable Produit 2 Responsable S.A.V Directeur Administratif et Financier Service Produit 1 40 personnes Service Produit 2 30 personnes Assistante Service Administratif 10 personnes Service Informatique 3 personnes 7
1.4 /Présentation du site 1er janvier 2011 Le site est composé de 3 bâtiments de 2 étages qui ont déjà été câblés sur le précédent projet. Un petit rappel des lieux s impose : Bâtiment PRINCIPAL (Direction & SAV) 1480 m² ; Bâtiment EST (Service administratif & informatique) 920 m² ; Bâtiment OUEST (Services produits) 920 m². Chaque bâtiment dispose de plusieurs switchs manageables, ce qui nous permettra de créer des VLAN pour les 4 grands points : Serveurs, Switchs, Utilisateurs, Imprimantes. stock stock AILE OUEST 23 mètres 40 métres 17 métres BATIMENT PRINCIPAL 20 métres 37 mètres AILE EST 23 métres 40 métres parking parking 40 métres gardien sortie entrée 1.5 /l équipe informatique Les trois jeunes techniciens ayant suivi la formation GMSI au CESI de PAU sont toujours en place et vont être mis { l épreuve pour cette étape décisive de l évolution du réseau Zyrteck. De nouveaux outils seront mis en place leur allégeant la tâche et permettant une meilleure efficacité d intervention. 8
1er janvier 2011 BESOINS 2.1 /Analyse de votre cahier des charges Après lecture de votre cahier des charges, voici les éléments que nous nous engageons à prendre en compte dans notre offre : Une solution de gestion de parc doit être déployée, permettant d affecter les biens { un utilisateur, service, lieu ; Les droits utilisateurs doivent être gérés par un serveur. Un contrôleur de domaine sera installé et fournira divers services expliqués au cours du projet ; Pour des besoins de transfert de fichiers, un serveur FTP sous Linux doit être mis en place ; Un compte rendu mensuel sera tenu pour information ; Un rapport d activité globale sera proposé concernant la faisabilité et les solutions mises en place suivant le cahier des charges, les procédures d installations, de déploiement, de prix ; La charte graphique devra être respectée ; Le projet devra être finalisé dans 6 mois ; Les éléments suivants ne seront pas à prendre en compte : Le câblage réseau est déjà présent et a été étudié pour accueillir une architecture serveur ; La partie WAN n est pas { traiter. 2.2 /Formations Comme pour le Projet Start, l entreprise doit s assurer que toutes les compétences nécessaires sont réunies afin de gagner du temps. Pour cela, les techniciens sont envoyés plusieurs jours par mois en formation technique avant de passer à la réalisation. Ils suivront donc différents modules : Communication écrite ; Operating System Server Microsoft ; Base de données relationnelle ; VBScript ; Operating system Server Linux ; Stéphane Hofman sur rendez-vous (environ 30 minutes par groupe) sera présent pour la compréhension de la Virtualisation ; 9
1er janvier 2011 2.3 /Sécurité La sécurité sera accrue durant ce projet, car nous allons mettre en place des serveurs qui ne devront en aucun cas subir de perte de données. Sur le projet précédent, s il y avait eu un problème technique sur un poste, cela n aurait affecté qu un utilisateur. Dans le cas des serveurs, tous les utilisateurs s authentifient dessus, vous voyez donc l importance de garder ces appareils en productivité. Concernant le Contrôleur de Domaine, il sera répliqué, ce qui permettra dans un premier cas d alléger la charge du principal, mais aussi d avoir un backup en cas de panne. Chaque serveur sera sauvegardé de deux manières (si la seconde proposée est acceptée). La première consiste à sauvegarder les fichiers disques des VMs avec un Script Shell sur linux et la seconde sauvegarde les fichiers via ACRONIS (option de catalogage qui permet une restauration de fichier à un jour donné, selon le délai de rétention). Le petit changement par rapport à la dernière méthode est que les utilisateurs disposeront maintenant d un espace disque sur le réseau : «Le collaboratif». Celui-ci sera sauvegardé, mais ils seront responsables (comme mentionné dans la charte visible sur la page intranet) des données présentes sur leur disque dur. MOT DE PASSE Les mots de passe respecteront les exigences de complexité [majuscule(s) & chiffre(s)]. De plus ils devront atteindre 8 caractères minimum au total. GESTION DE L ESPACE DISQUE PERSONNEL Ici le paramétrage sur le répertoire Utilisateurs (le répertoire qui contiendra tous les dossiers personnels des salariés et qui remonteront en Lecteur Réseau dans leur poste de travail) contient plusieurs paramètres : Libellé du Quota Limite à 5000Mb (5Gb) Message d alerte { 85% d utilisation de l espace «Attention, vous allez arriver à la limite de stockage de votre espace personnel. Veuillez supprimer les dossiers & fichiers inutilisés. Message d alerte { 100% «Impossible de copier ici, vous avez atteint la limite de stockage» 10
1er janvier 2011 PLANNIFICATION D AUDIT Une stratégie d audit peut être mise en place pour différentes raisons : Détecter les tentatives d intrusions sur un réseau Résoudre des problèmes de droits et de sécurité Par exemple, en auditant les échecs sur les ouvertures de session, nous pouvons déterminer si un pirate informatique tente de s introduire sur notre réseau en utilisant des méthodes de brute force. Dans ce cas, nous serons amené à verrouiller le compte si la personne a réussi à se loguer ou contacter le propriétaire du compte pour approfondir ce problème. Un autre exemple est d auditer l accès aux objets pour définir quels utilisateurs accèdent aux ressources et de restreindre l accès aux personnes n y ayant pas droit. On peut également permettre l accès { des utilisateurs qui en auraient besoin mais ne le pouvant pas. AUDIT D ACCÈS À UN RÉPERTOIRE : Nous allons voir comment auditez l accès aux objets. Commençons par créer un répertoire et partageons-le pour qu il soit accessible par le client. Nous appellerons ce répertoire «Dossier_Audit». Une fois le répertoire créé, il faut maintenant configurer l audit sur ce répertoire. En effet, nous avons seulement activé les paramètres d audit sur le client. Il faut configurer les répertoires à auditer. Pour cela, clic droit sur le répertoire dont vous voulez auditer les accès, puis «Propriétés». Dans l onglet «Sécurité», nous irons dans «Avancés». Nous devons maintenant configurer quelles permissions nous désirons auditer en réussite, en échec ou les 2. Dans notre cas, nous avons décidé d auditer la création de dossiers et de fichiers réussie, les modifications d attributs des fichiers échouées et la suppression et le changement de nom de fichiers et dossiers en réussite et en échec. Après avoir cliqué sur «Ajouter», il faut choisir quel groupe de sécurité Active Directory auditer. Nous pouvons sélectionner «Utilisateurs Authentifiés» pour tous les utilisateurs authentifiés ou seulement un groupe correspondant à un service (Produit A, Direction ) ou un groupe d utilisateurs créé. 11
1er janvier 2011 En effet, auditer la suppression et le changement de nom en succès permet de savoir quels utilisateurs a supprimé un fichier ou un dossier. Utile pour ne pas être accusé à la place de quelqu un d autre. Auditer la création de répertoire et de fichiers permet de savoir l évolution d un répertoire et ainsi augmenter l espace disque si nécessaire Auditer le changement d attributs échoués permet de résoudre des problèmes de droits dans les répertoires. Une fois les permissions paramétrées, nous obtenons un récapitulatif de nos choix. Maintenant, quand nous irons dans le l observateur d évènement pour observer les logs générés par Windows Server 2008, nous avons : Application : Contient des évènements générés par les applications installées sur le système Sécurité : Contient des événements générés par l audit (ouverture et fermeture de sessions, l accès aux ressources et modifications des stratégies) Système : Contient des évènements générés par les composants et les services Windows. Cependant, il faut commencer par définir la taille de chaque fichier de logs pour ne pas avoir des fichiers de logs très encombrant. Après avoir modifié la stratégie d audit sur le répertoire «Dossier_Audit», l observateur d évènement génère un évènement. CONCLUSION : Il faut bien choisir ce que l on veut auditer avant de mettre en place une stratégie parce que les fichiers de logs peuvent vite devenir très volumineux. Ceci aura pour conséquence, une baisse de performance sur notre serveur et une recherche difficile et non efficace. Il est possible de définir de stocker nos logs sur un système de fichier pour régler le problème de l espace disque. Une stratégie d audit doit être mûrement réfléchie pour être la plus efficace possible et facilement exploitable. 12
PLANNING ACTIONS RESSOURCES
1er janvier 2011 VLAN Nous aurions pu ne pas créer de VLAN, mais pour des raisons de performance, nous en avons décidé autrement. En effet, dans un réseau il y a une adresse qui est réservée au Broadcast. Il y a des multitudes de requêtes qui font appel à cela et qui transitent sur ce réseau, ce qui le pollue. Pour l éviter, nous allons le segmenter en 4 parties : 1. Serveurs 2. Utilisateurs 3. Switchs 4. Imprimantes Les serveurs se retrouveront donc dans un réseau épuré de tous ces «parasites» et nous nous servirons du switch de niveau 3 situé au cœur de réseau pour router ces sous-réseaux entre eux. SERVEURS : VLAN2 192.168.2.0/24 Il comprendra les serveurs ESXi (2 serveurs Linux + AD + répliquât). IMPRIMANTES : VLAN3 192.168.3.0/24 Il accueillera toutes les imprimantes du site. SWITCHS : VLAN4 192.168.4.0/24 Tous les switchs auront aussi un VLAN à part. UTILISATEURS : VLAN5 192.168.5.0/24 Il accueillera tous les utilisateurs du site. 4.1 /Paramétrage d un VLAN Nous allons maintenant expliquer comment créer un VLAN (ici le n 2) et comment l affecter { un sous réseau. Pour cela, nous allons prendre l exemple du relai entre le switch relié aux utilisateurs et celui du cœur de réseau. 14
1er janvier 2011 SWITCH DE NIVEAU 2 : Création de VLAN Switch enable Mise en route config Switch# config terminal Configuration terminal Switch(config)# Interface FastEthernet 0/1 Paramétrage interface FastEthernet 0/1 Switch(config-if)# switchport access vlan 2 Création VLAN 2 Switch(config-if)# switchport mode access Mode access (1 seul VLAN) * Switch(config)# interface FastEthernet 0/2 Interface utilisée. Switch(config-if)# switchport access VLAN 2 Le VLAN remonte. Attention à ne pas oublier de l affecter à une interface valide* reliée à un appareil du VLAN en question, sinon il ne sera pas UP et aussi d écrire la configuration pour éviter un effacement au reboot (switch# write) : SWITCH DE NIVEAU 3 (CŒUR) : Il ne reste plus qu à faire l interconnexion entre les switchs. Nous supposons que les VLAN sont créés et UP des deux côtés. Sur cet exemple avec celui de niveau 3, création des passerelles par défaut pour que les différents VLAN qui auront besoin d être routés sachent où se rendre. Nous leur affecterons donc ces IP comme passerelle par défaut, soit par IP fixe (Serveurs, Imprimantes, PC administrateurs, soit grâce au DHCP (PC Utilisateur) : COEUR(config-if)# switchport access vlan 2 COEUR(config-if)# switchport trunk allowed vlan 2-5 COEUR(config-if)# switchport trunk encapsulation dot1q COEUR(config-if)# switchport mode trunk COEUR(config) # interface Vlan2 COEUR(config-if)# ip address 192.168.2.1 255.255.255.0 Nos passerelles par défaut étant maintenant créées et les VLAN en mode TRUNK, le sous réseau 192.168.2.0/24 pourra communiquer avec les autres. Il faudra bien sûr faire cela pour tous les VLAN et activer le mode «routeur» (configure terminal/ip routing). Une dernière chose à ne pas oublier pour la suite est d activer le relai DHCP, sans quoi les requêtes des postes Utilisateur n aboutiraient pas. DHCP COEUR(config) # interface vlan 5 (VLAN user) COEUR(config-if)# ip helper-address 192.168.2.1 (IP DHCP) 15
4.2 /Plan
TOPOLOGIE
LA VIRTUALISATION 6.1 /Le principe La Virtualisation de systèmes d'exploitation est une technique consistant à faire fonctionner en même temps, sur un seul ordinateur, plusieurs systèmes d'exploitation comme s'ils fonctionnaient sur des ordinateurs distincts. Les particuliers et les PME/PMI seront généralement plus intéressés par la perspective de faire fonctionner deux systèmes d'exploitation différents en même temps, afin d'exécuter des logiciels qui sont compatibles avec l'un, mais pas avec l'autre. Les grandes entreprises, elles, ont de plus en plus recours à la Virtualisation afin de gagner de la place dans les salles de serveurs, faciliter les installations et les redémarrages après incidents, et développer et sécuriser les réseaux d'entreprises. La Virtualisation de systèmes d'exploitation a plusieurs intérêts : Utiliser un autre système d'exploitation sans redémarrer son ordinateur, afin d'utiliser des programmes ne fonctionnant pas nativement sur le principal ; Exploiter des périphériques ne fonctionnant que dans d'autres systèmes ; Tester des systèmes d'exploitation en cours de développement sans compromettre un environnement quotidien stable ; Tester des logiciels dans des environnements contrôlés, isolés et sécurisés ; Transporter ses systèmes d'exploitation d'un ordinateur à l'autre, une machine virtuelle fonctionnant sur n'importe quel ordinateur disposant d'un hyperviseur compatible. Nous allons utiliser cette technique pour notre projet d administration, ce qui coutera évidemment moins cher. Comme vu sur le plan précédent, nous aurons 2 serveurs au lieu de 4 (AD, AD Répliquât, Linux1, Linux2).
6.2 /ESXi ESXi est un système d exploitation. Une fois installé sur le Serveur Hôte, il nous offre la possibilité de nous y connecter avec un outil «VMSphère», un Hyperviseur permettant de gérer tous ses serveurs sur la même interface. INSTALLATION : L installation est très rapide et simple. Nous n avons qu à sélectionner la langue, le disque dur d installation, le mot de passe Admin et configurer le réseau. Une fois terminé, sur cet écran, nous pouvons débrancher l écran et le serveur est prêt { recevoir des machines virtuelles. Pour récupérer le client de connexion, il suffit d ouvrir une page web { l adresse du serveur (ici 192.168.2.2) et un lien lance le téléchargement. Il faudra par contre penser { activer le service SSH depuis l hyperviseur, ce qui nous permettra d accéder au serveur avec Putty de manière cryptée pour diverses opérations de maintenance (sauvegarde & restauration de VM par exemple). La formation aux scripts nous permettra ici d automatiser la sauvegarde des machines virtuelles le soir à partir de 22 h. Celui-ci permettra de vérifier si les machines sont éteintes (et les éteindra si cela est nécessaire) et les copiera vers un dossier de sauvegarde présent sur le SAN et sur le NAS.
INTERFACE : Depuis l interface, on peut accéder { toute l administration du serveur ESXi et des machines virtuelles. Elles sont rassemblées dans un menu à gauche et on passe de l une { l autre en un clic. Lorsqu on parcourt la «Datastore», on est comme dans le disque dur d une machine physique et on peut aisément transférer les images ou tout autre fichier du serveur virtuel vers un autre poste. Pour des raisons de sécurité, nos 2 serveurs ESXi auront les mêmes machines installées et accèderont aux mêmes fichiers de disque des VM, eux-mêmes placés sur le SAN. Sur l ESXi 1 seront lancées les WAD001 et CENT01 et sur l ESXi 2 nous aurons les WAD002 et CENT02 (pour des raisons de répartition de charge). Cette méthode nous permettra en plus de redémarrer les VM immédiatement au cas où un des deux ESXi tomberait en panne (le blocage durerait aux alentours des 10 minutes). Selon le budget disponible, il est à savoir qu une solution payante (ESX) est disponible et permet grâce aux clusters (miroirs) et aux agents VMotion + HA (High Availability) de faire la manipulation décrite dans le paragraphe précédent automatiquement. La bascule d un ESX { l autre se fait { chaud et elle est transparente pour l utilisateur.
Stockage Area Network (SAN) 7.1 /Principe Dans le cas du SAN, contrairement au NAS, les baies de stockage n'apparaissent pas comme des volumes partagés sur le réseau. Elles sont directement accessibles en mode bloc par le système de fichiers des serveurs. En clair, chaque serveur voit l'espace disque d'une baie SAN auquel il a accès comme son propre disque dur. L'administrateur doit donc définir très précisément les Logical Unit Number (LUN, unités logiques), le masking et le zoning, pour qu'un serveur Unix n'accède pas aux mêmes ressources qu'un serveur Windows utilisant un système de fichiers différent. Il y a 2 manières d attribuer ces unités logiques à des serveurs : la bonne & la mauvaise. La mauvaise consiste à affecter un port (du contrôleur) à une zone. Cela fonctionne jusqu'{ ce qu une modification de branchement survienne. En terme de gestion, cela n est pas correct. La bonne quant { elle est d affecter le WWN (World Wide Name) { une zone. Cette référence étant unique à chaque carte, le fait de changer les branchements ne posera pas de problème. L interface intuitive des outils de gestion SAN HP nous permet d avoir une vue globale sur toutes nos connections. En un coup d œil nous pouvons voir la face & l arrière de notre enclosure. Le port qui correspond au rack de notre serveur est en surbrillance donc pas d erreur possible.
7.2 /RAID 10 (ou RAID 1+0) Il permet d'obtenir un volume agrégé par bande fiable (puisqu'il est basé sur des grappes répliquées). Chaque grappe contenant au minimum 2 éléments et un minimum de 2 grappes étant nécessaire, il faut au minimum 4 unités de stockage pour créer un volume RAID10. Sa fiabilité est assez grande puisqu'il faut que tous les éléments d'une grappe soient défectueux pour entraîner un défaut global. La reconstruction est assez performante puisqu'elle ne mobilise que les disques d'une seule grappe et non la totalité. Le RAID 1+0, ou RAID 10, est très futé. Pour le même nombre de disques que les RAID 0+1, à savoir 4 disques au minimum et la même capacité utile (4 x la taille d'un disque, divisé par deux à cause du miroir, soit au total 2 x la taille d'un disque), on divise par deux le risque en cas de destruction simultanée de 2 disques durs. Mais voyons d'abord l'agencement du RAID 10. Tout d'abord il doit être créé dès le début, car il ne peut pas recevoir un miroir après coup. L'agencement consiste à faire un RAID 0 à partir de disques qui sont en miroir! Soit les disques A B C D. Le RAID 0 c'est un disque global qui écrit sur A-B en 2 colonnes. Le RAID 1 c'est un disque global qui écrit sur A=B les mêmes données. Le RAID 0+1 c'est (A-B)=(C-D), chaque miroir composé de 2 colonnes. Le RAID 1+0 c'est (A=B)-(C=D), 2 colonnes, chacune étant redondante. Si RAID 0+1 et RAID 1+0 sont protégés de la même manière lorsqu'un seul disque dur casse. En revanche, lorsque 2 disques sont détruits, voyons ce qu'il peut se passer : À & B -> On perd l'une des colonnes, donc tout le disque est DOWN A & C -> B est le miroir de A et D est le miroir de C, on est UP A & D -> B est le miroir de A et C est le miroir de D, on est UP B & C -> A est le miroir de B et D est le miroir de C, on est UP B & D -> A est le miroir de B et C est le miroir de D, on est UP C & D -> On perd l'une des colonnes, donc tout le disque est DOWN On voit que l'on survit ici 4 fois sur 6, donc 66 %!
7.3 /Schéma
CONTRÔLEUR DE DOMAINE Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. Si les administrateurs ont renseigné les attributs convenables, il sera possible d'interroger l'annuaire pour obtenir par exemple : «Toutes les imprimantes couleur à cet étage du bâtiment». 8.1 /Installation OS L installation en elle-même n est pas compliquée, il suffit de cliquer sur suivant jusqu'{ ce que la copie des fichiers soit finie. Lors de la première connexion au compte Administrateur, il sera demandé de changer le mot de passe. Il faudra bien le noter, car lors de la création du domaine, il sera utilisé comme compte d administrateur pour celui-ci. Après l activation du système auprès de Microsoft, il faut : Définir le fuseau horaire Affecter une adresse IP fixe au serveur (192.168.2.5 pour le CD1) Mettre à jour le serveur, car les mises à jour ne seront pas effectuées automatiquement sous peine de créer des problèmes sur le réseau. Changer le Netbios et créer l Active Directory (dcpromo).
8.2 /Installation AD Sur une machine physique, nous aurions créé des partitions pour les différents dossiers créés lors de cette manipulation (OS, JOURNAUX, ANNUAIRE, SYSVOL, SWAP), mais comme nous travaillons en virtuel, cela n est pas nécessaire. cocher les paramètres d installation avancée. Après le changement du Netbios et le paramétrage d une IP fixe (dans le sous réseau du VLAN2), nous allons maintenant créer une nouvelle forêt appelée «zyrteck.intra» qui servira à l authentification Windows et à centraliser les droits des utilisateurs. Nous allons pour cela Sélectionner l installation du DNS et cliquez sur suivant jusqu'à la demande de Niveau de Fonctionnalité (cette option est utile dans le cas où d autres serveurs du réseau fonctionnent sous Windows serveur 2003 par exemple et ne seraient pas compatibles). Dans notre cas, nous installons une nouvelle architecture serveur donc nous pouvons passer directement sur Windows Serveur 2008 R2, car tous les serveurs suivants fonctionneront sous ce même OS. Il sera ensuite demandé d entrer un mot de passe de restauration des services d annuaire. Nous allons mettre un mot de passe facilement mémorisable pour éviter les soucis (Restauration1 semble un bon choix. La dernière étape avant redémarrage consistera { exporter les paramètres de l AD vers un stockage externe, ce qui pourrait s avérer utile dans l avenir pour différentes opérations de maintenance. (Réinstallation d AD avant importation d annuaires par exemple). Notre domaine est maintenant créé. Pour installer le répliquât, il nous suffira de suivre les mêmes étapes, a l exception du choix de forêt. Il faudra changer le Netbios du second contrôleur de domaine, l adresse IP (fixe) et lui faire joindre «Zyrteck.intra». Choisir une forêt existante conduira à un menu qui nous permettra de choisir notre premier contrôleur de domaine et fera automatiquement un «clone» de celui-ci. L annuaire de l Active directory sera donc copié instantanément dessus, et ceci à chaque modification. Ceci ne pourra être fait qu après la configuration du DNS cidessous.
8.3 /Configuration DNS Pour cette configuration, nous devrons créer une «zone de recherche inversée» et définir une adresse de réseau (ici 192.168.. ) Une fois ceci fait, nous devrons créer un pointeur, afin que les PC ou contrôleurs de domaine souhaitant rejoindre «zyrteck. intra» trouvent le serveur de nom WAD001 Un pointeur (PTR) sera créé pour affecter l adresse IP de ce poste au nom WAD001 et un autre pour affecter l adresse IP du répliquât au nom WAD002. Les deux postes auront une modification à faire au niveau de la configuration IP (et plus précisément, config DNS) : Pour le WAD001 : DNS Primaire (192.168.2.5 sa propre IP) DNS Secondaire (192.168.2.10 le répliquât) Pour le WAD002 : DNS Primaire (192.168.2.10 sa propre IP) DNS Secondaire (192.168.2.5 Contrôleur 1) Maintenant que le DNS est configuré, nous pouvons créer les OU, les utilisateurs, les groupes, affecter des GPO Tous les droits seront centralisés ici et répliqués sur le second contrôleur. Nous pourrons observer les restrictions d accès demandés concernant Mme BEZIAT, ELLA, AYO et ACIEN sur la partie de droite (Utilisateurs) à la ligne «Produit 1», «Produit 2» et «Administratif».
8.4 /Serveur d impression INSTALLATION DU RÔLE Nos utilisateurs vont utiliser des imprimantes communes, partagées sur le réseau qui seront installées automatiquement selon l OU { laquelle ils appartiennent grâce à un script. Cette installation se fait simplement en activant un «Rôle» sur un des Contrôleurs de Domaine (nous utiliserons le WAD002. Après sélection du rôle, il faut activer le serveur d impression et cliquer sur suivant jusqu'à la fin. INSTALLATION DES IMPRIMANTES Une fois ceci installé, il nous reste à placer des imprimantes sur ce serveur et les partager. Pour cette opération, nous allons les ajouter en local et sélectionner le port TCP/IP (la suite à renseigner étant évidemment l adresse IP de l imprimante en question. La sélection de pilotes génériques nous permettra de choisir le bon un peu plus tard et de placer la version x86 & x64 pour permettre { d éventuels utilisateurs externes, disposant d une autre configuration que le parc, de les installer. Les noms de partage correspondront à la demande du cahier des charges, à savoir : «PrintNomDuService» Exemple : PrintProduit1 PARAMÉTRAGES SPÉCIFIQUES Des autorisations d accès sont définies au niveau des GPO permettant ou refusant l accès { ces périphériques selon l utilisateur, la date & heure
8.5 /Service de Déploiement Windows Jusqu'à présent, notre système de déploiement consistait à installer une image depuis un périphérique externe (Clé USB, disque dur externe, CD/DVD ) directement sur le poste. Ce chapitre a été regroupé dans la partie «Contrôleur de Domaine», mais ne pourra être fonctionnel que lorsque le serveur DHCP sous Linux sera installé et actif sur le réseau (lien : Partie 8.3). Un des rôles très intéressants pour un parc commençant à regrouper un certain nombre d utilisateurs est le «Service de Déploiement d Images». Il sert à faire la même chose que précédemment { la différence qu une simple connexion au LAN suffit. De plus, certaines options très utiles sont disponibles et notamment la Multidiffusion. Lors d une descente d image sur plusieurs postes, plutôt que de les faire un par un, nous avons désormais la possibilité de faire ceci sur plusieurs stations simultanément, et ce depuis le WAD002. INSTALLATION WAIK (WINDOWS AUTOMATED INSTALLATION KIT) Microsoft met à disposition un outil, WAIK (Windows Automated Installation Kit), qui comme son nom l indique, sert { réaliser des déploiements de l OS automatiquement. Un fichier ISO (à graver) est à disposition gratuitement sur leur site internet. Une fois cet outil installé, nous allons pouvoir personnaliser nos installations de Windows. Nous aurons la possibilité de créer «Unattend.xml» qui est un fichier de réponse à placer sur notre serveur WDS et permettra d automatiser les dépôts d image (passer la configuration du premier démarrage de Windows, configurer les paramètres IP, créer un compte Administrateur local ) sur les PC cibles une fois Sysprep exécuté (lors de la création du MASTER). INSTALLATION DU RÔLE Comme le chapitre précédent, ceci est un «Rôle». Nous allons donc l ajouter, sélectionner «serveur de déploiement» + «serveur multi transport» et cliquer sur suivant jusqu'à la fin.
CONFIGURATION DU SERVEUR Le serveur «WAD002.zyrteck.intra» apparaît désormais dans la partie Rôle > Services de déploiement Windows. En faisant clic droit dessus, nous pouvons accéder à la configuration de celui-ci et nous spécifierons ceci : L emplacement du répertoire des images Le serveur DHCP est différent du WAD002 (et donc le WDS écoutera sur le port 67) L option 60 n est pas { activer (nous paramétrerons cela sur le DHCP Linux) Pas de filtre : répondre à tous les clients. Une fois le serveur configuré, il ne nous reste plus qu à créer les images nécessaires au bon fonctionnement de tout ceci. Un fichier important est disponible sur le CD de Windows 7 : boot.wim. 1. La première { créer est l image de démarrage, qui servira { lancer l installation et sélectionner l image d installation depuis le réseau grâce au fichier récupéré sur le CD. 2. La seconde est l image de capture qui nous permettra de déposer notre MASTER sur le WDS. 3. La troisième est donc notre Windows personnalisé. ACCÈS DEPUIS UN POSTE CLIENT Lorsqu on démarrera depuis le LAN, le client enverra une requête DHCP sur le port 68 et se verra attribuer une adresse IP, un masque, une passerelle par défaut (ici 192.168.5.6/24 & 192.168.5.1) et sera informé de l adresse du serveur WDS. Il sera alors proposé d appuyer sur la touche F12 pour lancer l installation et commencer à charger le fichier de démarrage : boot.wim.
8.6 /Serveur de Licences (KMS) La plupart du temps dans une entreprise, il est nécessaire d utiliser un système appelé Key Management Service (KMS ou Service gestionnaire de clés). Ce système permet l activation des clients sans qu ils aient besoin de contacter Microsoft. L entreprise n a besoin que d une seule clé (licence en volume) pour l ensemble des postes de son parc. Cette clé sera installée sur un seul hôte KMS, qui communiquera avec les serveurs d activation de Microsoft la première fois. Cet hôte n aura donc plus besoin de contacter Microsoft par la suite. Par défaut, les ordinateurs disposant de Windows 7 et Windows Server 2008 R2 (les clients KMS) tenteront automatiquement de s activer auprès d un serveur KMS toutes les deux heures. Une fois activé, le client devra se réactiver périodiquement tous les 180 jours ou 210 en comptant la période de grâce). Les clients activés réessayeront donc de contacter le serveur KMS tous les 7 jours. Si l activation réussit, la période de 180 jours sera renouvelée. Si l activation échoue et que la période des 180 jours est dépassée, le client passera en mode de fonctionnalités réduites. La méthode que nous utiliserons pour trouver le KMS est l autodécouverte. Le client utilise un enregistrement DNS de type SRV (Service) afin de contacter le serveur KMS. Cette méthode nécessite donc l utilisation d un serveur DNS. Le client va donc contacter le serveur DNS afin de connaître l enregistrement : named _vlmcs._tcp pointant sur le serveur KMS. Notez que le serveur KMS tentera automatiquement de créer cet enregistrement SRV en utilisant la méthode d enregistrement automatique DNS. Il nous suffira d installer le rôle par le gestionnaire de serveur en suivant les indications par défaut. INSTALLATION 1. Ouvrir une invite de commande (s assurer d être dans le dossier C:\Windows\system32). L utilitaire slmgr.vbs permet d exécuter des fonctions d activations. Commençons par voir les options disponibles.
Avec l option/ipk, on peut entrer une clé KMS. Cette clé permet de configurer notre Windows Server comme hôte KMS. L option/dlv permet d afficher les informations d activation sur la machine. Vous pouvez voir que le serveur a la clé KMS d un serveur Windows Server 2008 R2. Ensuite, il faut activer l hôte KMS en utilisant l option/ato. Une demande d activation est envoyée { travers Internet sur les serveurs d activation Microsoft. (Si votre hôte KMS n a pas d accès { Internet, vous pouvez l activer par téléphone). Remarquez la différence, nous utilisons à nouveau l option/dlv. Maintenant la machine est un hôte KMS et ci-dessous sont affichées les informations qui nous intéressent. Le current count affiche combien de machines ont demandé une activation. Pour l instant 0, car nous devons ouvrir les ports KMS à travers le pare-feu.
5. Aller dans les options de votre pare-feu pour autoriser un programme. Puis autoriser le service Key Management Service à travers le pare-feu. J autorise le scope du domaine pour accepter seulement les activations des machines de mon domaine. Le port par défaut est le 1688. 6. Maintenant, passons sur un client Windows. Ce client a déjà la clé KMS préinstallée alors tentons une activation. À ce moment, Windows recherche sur le serveur DNS le nom serveur KMS. Puis envoie la demande d activation à ce serveur KMS. On obtient une erreur sur l image parce que le compteur est insuffisant. Retournons sur notre serveur KMS, voir de plus près ce qui se passe. Avec la commande/dlv on affiche les informations. On peut voir en bas que le serveur KMS a reçu une activation du client KMS. Quand le compteur passera à 25 alors les activations seront réussies.
Linux 9.1 /Samba Le logiciel Samba est un outil permettant de partager des dossiers et des imprimantes à travers un réseau local. Il permet de partager et d'accéder aux ressources d'autres ordinateurs fonctionnant avec des systèmes d'exploitation Microsoft Windows et Apple Mac OS X, ainsi que des systèmes GNU/Linux, *BSD et Solaris dans lesquels une implémentation de Samba est installée. INSTALLATION [root@centos ~]# yum y install samba [root@centos ~]# mkdir/home/partage [root@centos ~]# chmod 777 /home/share [root@centos ~]#vi/etc/samba/smb.conf # ligne 58 ajouter : unix charset = UTF-8 dos charset = CP932 # line 81 : enlever le # et ajouter les addresses IP autorisées hosts allow = 127. 192.168.5. # line 102 : changer security = share #A la fin du fichier nous allons maintenant paramétrer les partages [Share] Path =/home/partage writable = yes guest ok = yes guest only = yes create mode = 0777 directory mode = 0777 share modes = yes # nom du dossier créé au début de la procédure # Nom de partage # autoriser l écriture # guest OK # guest seulement # accès total # accès total # avertir si un user accède à un fichier root@centos ~]/etc/rc.d/init.d/smb start
9.2 /NFS NFS est l'abréviation de Network File System, c'est-à-dire système de fichiers réseau. Ce système de fichiers en réseau permet de partager des données principalement entre systèmes UNIX, mais des versions existent également pour Macintosh ou Microsoft Windows. NFS est compatible avec IPv6 sur la plupart des systèmes. Un PC assumant le rôle de serveur de fichiers est appelé serveur NFS. On dit qu'il exporte tout ou une partie de son système de fichier, en le partageant avec un ensemble de stations accessibles par réseau, en gérant toutefois des restrictions d'accès. Ici il nous servira entre autre { sauvegarder automatiquement les ressources de l autre serveur Linux. INSTALLATION [root@centos ~]# yum y install nfs-utils [root@centos ~]# vi /etc/idmapd.conf # ligne 5 : enlever # et mettre le nom de domaine Domain = zyrteck.intra [root@centos ~]# vi /etc/exports # entrer les infos suivantes /home/partage 192.168.5.0/24(rw,sync,no_root_squash,no_all_squash) Un peu plus d infos sur cette ligne : /home répertoire partagé 192.168.5.0/24 réseau autorisé rw writable sync synchronize no_root_squash enable root privilege no_all_squash enable users' authority [root@centos ~]# etc/rc.d/init.d/nfslock start [root@centos ~]# etc/rc.d/init.d/nfs start
9.3 /DHCP Après avoir installé DHCPD (yum install -y dhcpd), nous allons éditer le fichier de configuration/etc/dhcp/dhcpd.conf qui nous permettra de définir tout un tas de choses : Le nom de domaine à joindre (zyrteck.intra) L adresse du réseau (192.168.5.0) Les baux (durée pendant laquelle une adresse IP est réservée a une machine) Les pool d adresses IP avec masque, gateway, dns L adresse de broadcast L ip du serveur WDS (pour les boot PXE) CONFIG GÉNERALE DU SERVEUR # nom de domaine option domain-name "zyrteck.intra"; # serveur de nom option domain-name-servers wad001.zyrteck.intra; #durée de bail par défaut default-lease-time 600; # durée de bail maximum max-lease-time 7200; # déclarer ce serveur DHCP Valide authoritative; # déclarer le serveur WDS option tftp-server-name 192.168.1.3; CONFIG DES POOL DHCP # spécifier l adresse de réseau et le masque de sous réseau Subnet 192.168.5.0 Netmask 255.255.255.0 { # spécifier un pool d adresse IP range dynamic-bootp 192.168.5.2 192.168.5.254; # spécifier l adresse de broadcast option broadcast-address 192.168.5.255; # spécifier la passerelle par défaut option routers 192.168.5.1; } Une fois la configuration terminée, il ne nous reste qu { démarrer le service DHCP : [root@centos ~]#/etc/rc.d/dhcpd start
9.4 /FTP ProFTP est un serveur utilisant le protocole FTP (File Transfert Protocole = Protocole de Transfert de Fichiers) qui est l'un des plus connus sur internet avec HTTP. Il permet à plusieurs personnes de partager des fichiers. Une autre version plus sécurisée existe (Very Secure File Transfer Protocol Daemon, alias Vsftpd), mais est bien plus complexe à paramétrer et n est pas nécessaire pour cette structure. Nous allons ici mettre en place un serveur de fichiers avec gestion des droits d'accès sur un serveur Linux. Autrement dit, l'objectif est d'installer et configurer un serveur de fichier ProFTP afin de mettre { la disposition des utilisateurs un espace de stockage/transfert en utilisant un accès anonyme ou authentifié. Pour installer ce serveur, nous allons taper ceci : [root@centos ~]# yum install proftpd Nous créons le répertoire de partage : [root@centos ~]# mkdir/home/ftp Et nous modifierons le fichier/etc/proftpd.conf #================================================================ # ZyrteckFTP : service PROFTPD Linux #================================================================ #-------------------------------------------------------------------------------------------------------------------- #DIRECTIVE SYSTEME => OBLIGATOIRES! #-------------------------------------------------------------------------------------------------------------------- ServerType standalone DefaultServer on AllowStoreRestart on Port 21 User nobody Group nogroup #-------------------------------------------------------------------------------------------------------------------- #DIRECTIVE ADMINISTRATEUR => FACULTATIVES #-------------------------------------------------------------------------------------------------------------------- ServerName "ProFTPD - Société Zyrteck" LogFormat format_1 "[%{%d/%m/%y %H:%M:%S}t]-[IP=%a]- [LOGIN=%U(%u)]-[CDE_CLT=%r]-[REP_FTP=%s]-[DIR=%D]" LogFormat format_2 "[%{%d/%m/%y %H:%M:%S}t]-[IP=%a]-[LOGIN=%U]- [CDE_CLT=%r]-[REP_FTP=%s]-[FICHIERS=%f]-[NB_OCT=%b]" ExtendedLog /var/log/proftpd/log_principal_ftp.logauth,info,dirs format_1 ExtendedLog /var/log/proftpd/log_transfert_ftp.log READ,WRITE format_2 UseFtpUsers on AllowOverwrite on
#-------------------------------------------------------------------------------------------------------------------- #DIRECTIVES SECURITAIRES/RESTRICTIVES => FACULTATIVES #-------------------------------------------------------------------------------------------------------------------- DefaultRoot /home/ftp MaxClients 30 "Désolé (so sorry!). Nombre de connexions pour ce serveur FTP : '%m' " MaxInstances 30 #Nombre de processus maximum AccessDenyMsg "ATTENTION! Votre authentification est invalide!!" AccessGrantMsg "Bienvue \"%u\" sur le serveur FTP de la société ZYRTECK" TimeoutIdle 300 <Directory/home/ftp> <Limit WRITE> AllowUser admftp DenyAll </Limit> </Directory> <Limit LOGIN> Allow 192.168.5. 127.0.0.1 DenyAll </Limit> #-------------------------------------------------------------------------------------------------------------------- #DIRECTIVES ANONYMES => FACULTATIVES #-------------------------------------------------------------------------------------------------------------------- <Anonymous /home/ftp> User ftp Group ftp AnonRequirePassword on RequireValidShell off UserAlias anonymous ftp UserAlias personne ftp UserAlias anonyme ftp <Limit WRITE> DenyAll </Limit> </Anonymous> Démarrage du service : [root@centos ~]# service proftpd start
9.5 /APACHE, PHP, MySQL Dans un premier temps, nous installerons le serveur Apache et le langage PHP et dans un deuxième temps nous installerons le serveur MySQL. Pour l installation, nous taperons : [root@centos ~]# yum install httpd (nous sommes en root, pas besoin de sudo). Une fois installé, nous irons vérifier la partie «Document Root» dans le fichier httpd.conf qui nous indiquera le dossier par défaut où placer les fichiers web (intranet + glpi). Maintenant, intéressons nous au langage PHP (package php). Pour que GLPI puisse fonctionner, il requiert la présence du module PHP ainsi que celle qui permet d'interfacer PHP avec une base MySQL (package php-mysql). Nous allons donc installer les différents packages nécessaires : [root@centos ~]# yum install php php-mysql php-mbstring php-ldap (php-ldap est installé pour que GLPI puisse interagir avec l active Directory) Nous ajouterons la ligne suivante à la fin du fichier /etc/httpd/conf.d extension=ldap.so Et finalement installons le serveur de base de données MySQL et créons la base pour GLPI : [root@centos ~]# yum install mysql-server Le mot de passe d administration MySQL est à paramétrer. Création de base de données glpidb : [root@centos ~]# mysql -u root -p Password : (saisissez le mot de passe) >mysql create database glpidb; >mysql grant all privileges on glpidb.* to glpiuser@localhost identified by 'glpi'; La première commande crée la base et la deuxième donne les bons privilèges à glpiuser sur les tables de la base. Démarrons les services : [root@centos ~]#/etc/init.d/httpd start [root@centos ~]#/etc/init.d/mysqld start
INTRANET 10.1 /Accueil Voici la page Intranet qui sera disponible à l ouverture de l application Internet Explorer (portail.zyrteck.intra). Nous avons publié cette page sur le site www.xehon.fr pour des tests.
10.2 /GLPI GLPI est une solution open source (gratuite) de gestion de parc informatique et de ServiceDesk, une application Full Web pour gérer l ensemble des problématiques de gestion du parc informatique : de la gestion de l inventaire des composantes matérielles ou logicielles à la gestion de l assistance aux utilisateurs. La gestion est désormais de mise grâce à différents outils : Gestion et suivi des ressources informatiques Gestion et suivi des licences Gestion et suivi des consommables Base de connaissances Gestion des réservations ServiceDesk (helpdesk, SLA..) Inventaire automatisé Télédéploiement Les 2 dernières options ne fonctionneront que si OCS Inventory est installé. INSTALLATION GLPI a besoin d un serveur WEB pour fonctionner et nous venons d en installer un. Nous allons donc télécharger la dernière archive en date de GLPI sur le site officiel http://www.glpi-project.org et la décompresser dans le répertoire «/var/www/html». [root@centos ~]# tar -xvzf glpi-0.xx.tar.gz -C/var/www/html/ Une fois décompressée dans le bon répertoire, déplacez vous dans ce même répertoire : [root@centos ~]# cd/var/www/html La commande chown permet de changer le propriétaire des fichiers. Une fois la commande ci-dessous exécutée, les fichiers et les répertoires appartiendront à l'utilisateur apache. L'objectif est de permettre l'accès en écriture dans les répertoires config/, files/afin que GLPI puisse fonctionner correctement. [root@centos ~]# chown -R apache glpi Voilà, il ne nous reste plus qu'à saisir dans Internet Explorer cette adresse web http://localhost/glpi pour accéder à la dernière phase de l'installation de GLPI (choix de langue, sélection de base de donnée glpidb - précédemment créée).
INTERFACE (LOGIN) Après avoir cliqué sur le bouton «Assistance», nous arrivons sur la page d authentification de GLPI. Selon les utilisateurs (qu ils soient admin ou user) les menus et options de l interface seront différents. INTERFACE (LES MENUS) 1 2 3 4 5 1. Le menu «Inventaire» permet de gérer toute la partie inventaire du parc (affecter un poste + écran à un utilisateur, indiquer où il se trouve, etc.). Les utilisateurs normaux peuvent consulter cette partie, mais pas la modifier. 2. Le menu assistance est visible par tous les utilisateurs. De là, ils peuvent ouvrir un ticket d incident qui sera pris en charge par le support informatique. 3. La partie gestion est disponible pour certaines personnes «avec pouvoir». Les administrateurs, mais aussi les responsables de services, qui pourront consulter les budgets, contrats et documents en cours. 4. Cette partie sera surtout utilisée pour les Réservations. Les responsables de réunions pourront ici réserver une salle. 5. Ici, comme son nom l indique, seuls les administrateurs peuvent accéder { ce menu. Il nous servira à ajouter, modifier, supprimer des utilisateurs, groupes, entités, sauvegarder ou restaurer la base de données et consulter les journaux d incidents.
GLPI ET LES ANNUAIRES LDAP GLPI peut s'appuyer sur un ou plusieurs annuaires LDAP pour : authentifier les utilisateurs récupérer leurs informations personnelles (nom, mail, téléphone, etc.) Il est possible d'importer et de synchroniser les utilisateurs de 2 manières : Au fil de l'eau : à la première connexion, l'utilisateur est créé dans GLPI. À chaque login, ses informations personnelles sont synchronisées avec l'annuaire ; en masse : soit via l'interface web de GLPI, soit en utilisant des scripts GLPI fonctionne avec tout annuaire compatible LDAP v3. Donc, de ce fait, aussi avec Microsoft Active Directory. L'ensemble des configurations est accessible dans GLPI dans la partie «Configuration/Authentification» onglet LDAP : configuration de l'authentification LDAP De l{ nous pourrons importer les utilisateurs de l AD, paramétrer l authentification LDAP (les utilisateurs se connectent avec leurs identifiants Windows), ce qui va permettre une bonne automatisation des tâches et un énorme gain de temps.
OUVERTURE DE TICKET Les ouvertures de tickets seront possibles par tous les utilisateurs. Il leur suffira de se connecter sur le portail, aller dans l assistance et se connecter avec leurs identifiants Windows. Une fois sur la page d accueil, ils cliqueront sur le menu n 2 (Assistance) et dans le sous-menu «Tickets». Il suffira alors de cliquer sur le symbole + en haut de page pour arriver à ceci : Pour une prise en charge plus rapide des techniciens, les utilisateurs se devront de remplir rigoureusement tous les champs afin de l affecter au support et de détailler la nature du problème. Ils ont pour cela la possibilité de joindre un fichier (capture d écran contenant un message d erreur par exemple) ou d associer un élément au ticket (Ordinateur, Imprimante, Écran )
10.3 /OCS INVENTORY OCS Inventory est un utilitaire qui va nous permettre d importer et enregistrer le matériel présent sur le réseau (Imprimantes, Unités centrales, Écrans, etc.). GLPI viendra ensuite consulter et importer depuis cette base afin d afficher les utilisateurs, les incidents, le matériel sur la même interface. 1. Pour l installer, nous allons charger la dernière archive en date : [root@centos ~]# wget http://launchpad.net/ocsinventory-server/stable- 2.0/2.0.2/+download/OCSNG_UNIX_SERVER-2.0.2.tar.gz 2. L extraire : [root@centos ~]# tar xvzf OCSG_UNIX_SERVER-2.0.2.tar.gz 3. L installer : [root@centos ~]#./setup.sh Une fois l installation terminée (il suffit de suivre ce qui est demandé. S il manque des packages, l install d OCS les chargera automatiquement) nous arrivons à cet écran d accueil. Il est possible que certaines erreurs apparaissent en allant sur http://localhost/ocsreport. La première (en jaune) nous indique qu il manque un package nécessaire au bon fonctionnement. Nous allons donc l installer en tapant : [root@centos ~]# yum install y php5-gd La deuxième nous prévient d un mauvais paramétrage du fichier/etc/php/conf.d/php.ini La modification s effectuera avec vi : [root@centos ~]#/etc/php/conf.d/php.ini Nous modifierons ces deux lignes : post_max_size = 8MB post_max_size = 128MB upload_max_filesize = 8MB upload_max_filesize = 128MB Nous pouvons désormais finir l installation avec l identifiant «root», le mot de passe admin mysql, le nom de base prérempli et l hostname «localhost».
Lorsque tout ceci est terminé, nous pouvons désormais nous connecter sur l interface d OCSREPORTS avec les identifiants admin et mot de passe admin (pas très sécurisé et OCS va nous suggérer très discrètement de changer cela). Nous allons commencer par enlever le fichier install.php (qui représente une faille de sécurité très importante) : [root@centos ~]# mv/usr/share/ocsinventory-reports/ocsreports/root/index.php_backup Ensuite, retournons sur notre serveur web via putty et modifions le mot de passe MySQL pour l utilisateur ocs : [root@centos ~]# mysq u root p (mot de passé demandé) mysql> SET PASSWORD FOR 'ocs'@'localhost' = PASSWORD(' mot_de_passe'); Query OK, 0 rows affected (0.00 sec) Ce mot de passe étant nécessaire que pour avoir accès à la base par l interface web, il faudra modifier la ligne «define("pswd_base","mot_de_passe");» dans le fichier : [root@centos ~]# vi/usr/share/ocsinventory-reports/ocsreports/dbconfig.inc.php Pour le dernier mot de passe, cela se fait par l interface web :
DÉPLOIEMENT DE L AGENT SUR LES POSTES Pour que les postes communiquent leurs infos, nous allons déployer l agent par GPO sur les postes client. Pour cela, directement dans l OU racine des utilisateurs, nous paramètrerons un déploiement d un package personnalisé grâce à un outil spécial. Premièrement, nous allons télécharger localement la clé privée du serveur pour le déploiement OCS dans/etc/ssl/certs/ssl-cert-snakeoil.pem et le renommer en cacert.pem. Deuxièmement, il faut télécharger le OCSPackager sur le site officiel d OCS (il servira à préparer le package à déployer sur le domaine). Et enfin l OCSNG Windows Agent. Packager : Nous avons donc renseigné le fichier EXE de l Agent, le certificat pour la connection au serveur, un identifiant et mot de passe et des options d installation : /S : installation silencieuse /NP : pas de proxy /DEBUG : un log de l inventaire sera créé /SERVER : nom du serveur OCS (son IP sera trouvée grâce au DNS) /NOW : l inventaire se fait dès que l agent est installé. Il suffira de déployer l agent par GPO et il sera présent dans les Services Windows.
AUTOMATISATION 11.1 /Script SHELL (Linux) Étant donné que nous utilisons des serveurs virtuels (ESXi) nous n allons pas faire de sauvegarde directement sur les systèmes. Les disques durs de ces serveurs sont des fichiers (.vmdk) que nous pouvons tout simplement copier ce qui est très simple, mais il faut savoir que lorsqu on essaye de copier une machine virtuelle d un hôte vers un autre sans l éteindre, cela affiche une erreur. Pourquoi? Car lorsqu une VM est allumée, les vmdk ou fichier de disques virtuels sont verrouillés. Comment faire alors? C est simple, pour enlever ce lock sur le vmdk il faut et il suffit de faire un snapshot (capture instantanée) de la VM. Un snapshot après tout c est quoi? C est un fichier différentiel { partir d un instant T dans lequel esxi va écrire les modifications jusqu à la suppression ou la fusion de ce différentiel avec le vmdk. Dès lors que le snapshot est créé, le fichier du snapshot est bloqué et le verrouillage du vmdk initial relâché. Un outil très efficace pour cela est disponible gratuitement sur la VMWare Community. Le téléchargement se fait via ce forum et pour l installer rien de plus simple, nous allons décompresser l archive : [root@centos ~]# tar xvzf ghettovcb.tar.gz