PPE 1 2014-2015 MAMBU JEAN- ROBERT BRUNE JEREMY

PPE 1 2014-2015 MAMBU JEAN- ROBERT BRUNE JEREMY

Contenu 1 - PRESENTATION DE L ENTREPRISE... 3 1.1 - Investissements de l entreprise... 3 2 - PRESENTATION DU PRESTATAIRE... 5 2.1- Le groupe Ozitem... 5 2.2 - Périmètre d Owentis... 6 3 - CAHIER DES CHARGES... 8 Mission 1 Infrastructure réseau... 8 Mission 2 - Système... 8 Mission 3 Administration distante... 10 Mission 4 - Services réseau... 10 Mission 5 Service de travail collaboratif... 10 Mission 6 - Déploiement des service de sécurité... 11 Mission 7 Gestion de l infrastructure... 11 Mission 8 Redondance des services... 12 Mission 9 Evolution IPv6... 12 4 SOLUTION... 14 4.1 - Projet... 16 4.1.1 - Objectifs... 16 7 - Annexes... 17 7.1 Procédure d installation des serveurs... 17 7.1.1 - Serveur DNS... 17 7.1.2- Contrôleur de domaine Active Directory... 25

1 - PRESENTATION DE L ENTREPRISE Butler Capital Partners est une société d'investissements française faisant partie des leaders indépendants en France du capital- investissement. Elle couvre une large gamme de types d investissement (capital développement, LBO et retournement). Son président- fondateur est Walter Butler. 1.1 - Investissements de l entreprise Un exemple d'opération de Butler Capital Partners est l acquisition en LBO auprès du groupe Pernod Ricard du groupe international ATYS (ex- Sias MPA), leader mondial des préparations aux fruits pour les yaourts, en mai 2002. Ce fonds n'a pas de secteur de prédilection. En douze ans, la société a investi dans France Champignons, César (déguisements), le transporteur routier Giraud, le groupe Flo ou la SSII Osiatis (Thomainfor, une ex- filiale de Thomson). Son fonds, créé en 1990, est enfin moins agressif que la concurrence, puisqu'il reste sept ans en moyenne au capital d'une entreprise avant de la revendre, contre trois à cinq ans pour le reste de la profession. En 2005-2006, il est le repreneur retenu, conjointement avec Veolia Transport, par l'état pour la privatisation de la SNCM. Une polémique éclata à propos des liens entre Walter Butler et le premier ministre Dominique de Villepin et le bas prix offert aux repreneurs (28 millions d'euros) compte tenu de l'estimation des actifs de la société (280 millions d'euros).

En juin 2006, Butler Capital Partners participe au rachat du Paris Saint- Germain Football Club à Canal+. Le 11 janvier 2008, il décide de vendre environ 28 des 33,3 % qu'il possède à l'un des autres actionnaires du club, Colony Capital, sans se désengager de l'administration du club1.

2 - PRESENTATION DU PRESTATAIRE 2.1- Le groupe Ozitem Le groupe Ozitem est une Société de Services en Ingénierie Informatique (SSII) possédant une véritable expertise en infrastructures sur des activités de centres de services, d infogérance et d assistance technique. Elle s occupe principalement de clients grands comptes et de grandes PME sur des secteurs d activités variés comme les banques, la finance et l industrie. Parmi ses clients notables, on peut citer : Air France, BNP, GDF Suez, Société Générale, En 2011, Owentis a intégré le groupe Ozitem pour en devenir une filiale à 100%. Cela a permis au Groupe, qui possédait déjà une expertise en Infrastructure Système, d ajouter des prestations d Infogérance, d Architecture Réseau et d Hébergement aux services proposés à ses clients. Les deux structures, bien qu appartenant au même groupe, ont gardé leurs propres domaines de compétences. A la tête du groupe se trouve M. Laurent SOULIE, Président Directeur Général et Directeur commercial. M. François ESPIEUX est le Directeur Associé Ozitem et gère la partie technique d Ozitem. M. Philippe REBRE est le Directeur Général Délégué Owentis. Le pôle technique Owentis regroupant la Direction Technique (DT) et le Centre des Opération (COP) est dirigé par M. Mathieu DOTTIN. Mon maître de stage M. Bruno ROUSSET est le responsable du COP.

Au cours de son histoire, le groupe Ozitem est devenu partenaire des plus grandes entreprises du domaine de l Informatique dont : Microsoft pour la partie Système VMware pour la virtualisation Fortinet pour la sécurité Citrix pour le Cloud Ces partenariats sont pour les clients des gages d efficacité et de qualité des services proposés par le groupe Ozitem. En 2012, le chiffre d affaire du groupe a atteint 20 millions d euros et le nombre de collaborateurs a dépassé 300. 2.2 - Périmètre d Owentis Créée en 1996, Owentis est une Société de Services en Ingénierie Informatique (SSII) française qui propose des prestations d expertise dans les domaines du Cloud, de l Infogérance et de l Architecture Réseau. Ses principaux clients sont Bayard Presse, Motul, BGFI Bank et Gide Loyrette Nouel. Depuis qu elle a intégré le groupe Ozitem, la société connait une croissance régulière et soutenue : son chiffre d affaire augmente d environ 20% par an. La société Owentis propose à ses clients des services orientés vers 3 axes. Les services managés permettant aux clients d externaliser le support, la supervision, l exploitation et

l administration de leurs plateformes et de leurs applications. Par ailleurs, une maintenance et une surveillance des équipements sont effectuées en continu : de 8h à 20h par le Centre des Opérations de Paris et de 20h à 8h par un prestataire. En cas de problème, il y a toujours un ingénieur d astreinte appartenant à la Direction Techniques disponible par téléphone et pouvant intervenir sur site de nuit. L infogérance est la gestion des plateformes opérées par les experts Owentis. La différence avec les services managés est qu ici, des prestations d hébergement, de PRA ou de Réseau sont proposées. En effet, grâce à un partenariat avec deux grands centres de données ou datacenters (Global Switch et Equinix), Owentis offre des possibilités d hébergement pour les infrastructures physiques ou virtuelles de ses clients. Les solutions SAAS (Software As A Service) sont des services proposant l usage d une application accessible à distance et sans installation via le Cloud. La maintenance de ces logiciel est assurée par Owentis ce qui permet aux clients de se concentrer sur leur métier. Les services proposés par Owentis dans ce domaine concernent principalement la sauvegarde de données en ligne et le partage de fichiers. De plus, des solutions d hébergement ou IAAS (Infrastructure As a Service) offrent la possibilité aux clients de louer des ressources informatiques suivant leurs besoins.

3 - CAHIER DES CHARGES Les différentes solutions retenues pour l étude du projet d un point de vue général d Owentis pourront faire l objet de documentations techniques suivant la complexité de la mise en œuvre. Mission 1 Infrastructure réseau Le réseau d Owentis doit comporter plusieurs périmètres de sécurité Adressage réseau et attribution de noms faciles à mettre à niveau : 172.20.0.0/21 Un système de cloisonnement du réseau devra être testé. Les commutateurs devront être facilement administrables afin de propager les configurations rapidement et aisément. Solution permettant l interconnexion des différents sites (stade, billetterie et magasin) Les différents commutateurs ainsi que le routeur doivent disposer de réglages de base homogènes. La solution doit se faire avec les équipements réseau CISCO. Mission 2 - Système

Solution permettant l authentification des utilisateurs. Les différents serveurs sont montés sur le VLAN administration, les serveurs seront sur Windows 2012 R2: Authentification à l'ouverture de session, chaque personne et chaque poste utilisant le réseau est authentifié auprès d'un serveur d'authentification basé sur un annuaire Active Directory. Pour intégrer les postes à l'annuaire un code administrateur provisoire sera fourni. Le domaine AD est " StadiumCompany.com". Il est commun à l'ensemble des utilisateurs de stade et des sites distants. Sur le domaine les profils utilisateurs sont itinérants. La résolution de noms, un serveur DNS répertoriant l'ensemble des noms du domaine "StadiumCompany.com" est accessible sur chaque réseau IP. Arès, qui servira de serveur DNS principal et aura l adresse 172.20.0.13, machine virtuelle sur Windows Server 2012 R2 entreprise Hermès, qui servira de contrôleur de domaine principal et aura l adresse 172.20.0.14, machine virtuelle sur Windows Server 2012 R2 entreprise Aphrodite, qui servira de contrôleur de domaine et DNS secondaire, il prendra le relai en cas de disfonctionnement ou surcharge sur Arès ou Hermès et aura comme adresse 172.20.15, machine virtuelle sur Windows Server 2012 R2 entreprise. Kratos, qui servira de serveur DHCP, il donnera un IP dynamique disponible dans une plage d adresse configurée aux utilisateurs. A court terme il lui sera rajouté un disque dur et il aura aussi le rôle de serveur web pour les sites distants ainsi que serveur ftp pour les configurations des équipements réseaux et aura comme

adresse 172.20.0.20, machine virtuelle sur Server 2012 R2 entreprise. Mission 3 Administration distante Solution permettant l administration à distance sécurisées La sécurité du système d information devra être renforcée entre les différents sites La solution retenue devra être administrable à distance via un accès sécurisé par SSH Mission 4 - Services réseau Solution permettant de mettre en place des services réseau plus mobiles et plus intégrés. Solution permettant l administration des accès utilisateurs locales mobiles Radius, qui servira de serveur d authentification wifi, 172.20.0.x, machine virtuelle sur Server 2012 R2 entreprise. Mission 5 Service de travail collaboratif Solution permettant le travail collaboratif. Héraclès, qui servira de serveur Exchange, il permettra aux utilisateurs de Owentis.com de communiquer avec une adresse qui leur sera créée à partir de ce serveur et aura comme adresse 172.20.0.16, machine virtuelle sur Windows Server 2012 R2 entreprise

Héphaïstos, qui servira de serveur Exchange secondaire, il prendra le relai en cas de Disfonctionnement ou surcharge sur Héraclès et aura comme adresse 172.20.17, machine virtuelle sur Windows Server 2012 R2 entreprise. Edge, serveur exchange 2013qui servira de Passerelle SMTP, il sera placé en DMZ 172.20.0.X, machine virtuelle sur Server 2012 R2 entreprise. Mission 6 - Déploiement des services de sécurité Solution permettant le déploiement des solutions techniques d accès mobile sécurisés. Athéna, qui servira de serveur Radius, il aura pour rôle d authentifier les machines et aura comme adresse 172.20.18, machine virtuelle sur Windows Server 2012 R2 entreprise. Hadès, qui servira de certificat, il aura pour rôle de générer des certificats, une fois ceux- ci générés il sera éteint et aura comme adresse 172.20.19, machine virtuelle sur Windows Server 2012 R2 entreprise. Mission 7 Gestion de l infrastructure Solution permettant la supervision et la gestion du patrimoine informatique. Les évènements importants doivent être journalisés et stockés afin de faciliter le travail de l administrateur Murdock1, qui servira de serveur FOG, il servira de serveur de déploiement (stockage) des images des postes clients est serveur 172.20.0.X, machine virtuelle sur Debian entreprise. Murdock2, qui servira de serveur OCS- GLPI, il servira de serveur de gestion du pack informatique et des incidents 172.20.0.X, machine virtuelle sur Debian ou Windows 2012 R2

Mission 8 Redondance des services Solution permettant la redondance des services et la tolérance de panne de systèmes serveurs et des éléments d interconnexions La durée de l interruption de service doit être minimale Solution permettant d améliorer la continuité de service des services existants en cas de panne du serveur, Commutateurs et liaisons d accès (FAI) Les différentes configurations doivent pouvoir être sauvegardées/ restaurées rapidement et facilement Des procédures permettant la sauvegarde / récupération des configurations, la mise à jour des IOS et la réinitialisation des mots de passe de commutateur et du routeur devront être rédigées et mises à disposition sur un serveur FTP Qualité de service (QOS) nécessaire pour la vidéo en continu et ultérieurement, l implémentation de la voix sur IP. Mission 9 Evolution IPv6 Solution permettant de préparer la migration vers l adressage IPv6. L étude de l évolution vers IPv6: Une maquette dissociée devra être réalisée afin de tester les difficultés éventuelles d un passage à IPv6. Cette maquette devra permettre de vérifier le fonctionnement : - De l adressage IPv6 sur les équipements réseaux - Du DHCP IPv6 - Du routage statique IPv6 et du routage dynamique utilisant RIPng

4 SOLUTION Avantages d'une architecture Active Directory Bonne évolutivité pour des environnements de grande taille regroupant de nombreux utilisateurs ; permet d'ajouter rapidement de nombreux comptes administrateur au groupe. Par exemple, si une société engage un nouvel employé en informatique et si le groupe d'id utilisateur a accédé au groupe, aucune opération supplémentaire n'est requise de la part de l'administrateur de groupe. Utile dans les environnements avec des groupes PS Series ; vous pouvez configurer tous les groupes pour utiliser le même serveur d'authentification LDAP, éliminant ainsi le besoin en entretien d'ensembles de comptes locaux parallèles. Si des utilisateurs sont supprimés du groupe Active Directory, vous n'avez pas besoin de mettre à jour la liste de matrice de comptes administrateur pour annuler leur l'accès au groupe. Adapté aux environnements de taille réduite, où peu de comptes Active Directory ou RADIUS sont ajoutés. Inconvénients Le contrôle des comptes d'utilisateur inclus dans le groupe est assuré par l'administrateur du groupe PS Séries. Bons pour les environnements possédant un petit nombre d'employés ou au cas où un petit nombre de comptes ad- hoc sont nécessaires. Le contrôle des comptes inclus dans le groupe est assuré par l'administrateur du groupe PS Series. Le contrôle des comptes d'utilisateur inclus dans le groupe est assuré par l'administrateur Active Directory et non par l'administrateur du groupe PS Series. Si le serveur Active Directory/LDAP est inaccessible, les comptes Active Directory ne peuvent pas être authentifiés et la connexion échoue. Si des utilisateurs sont supprimés du groupe Active Directory, leurs comptes restent dans le groupe PS Series, réduisant le nombre de comptes d'utilisateur qu'il est encore possible d'ajouter.

L administrateur du groupe doit retirer manuellement les comptes Active Directory et LDAP inutilisés. L'utilisation d'active Directory et de RADIUS fournit une évolutivité supérieure pour l'utilisation des comptes locaux. En cas de changements fréquents dans la liste de comptes administrateur, l'administrateur du groupe doit effectuer des mises à jour fréquentes. S'il existe de nombreux groupes PS Series dans l'environnement, des ensembles de comptes administrateur parallèles doivent être créés pour accorder aux administrateurs l'accès à tous les groupes. Avantages d'une architecture OpenLDAP La mise en place d'openldap et Samba a déjà fait ses preuves. L'architecture est évolutive : l intégration de services nécessitant une base de données d'authentification est optimisée grâce aux standards employés par les technologies. La gestion fine d'un intranet/extranet est par exemple supportée. L'administration du système se fait par une interface web (Gosa) avec une partie administrateur (tous les privilèges) et utilisateur (ne peut modifier que ses informations). La gestion des entrés de l'annuaire peut être assurée par du personnel ne possédant pas forcément les compétences d'un informaticien. OpenLdap offre une grande sécurité avec le chiffrement des connexions et une tolérance de panne avec la réplication. L'avantage d'utiliser des technologies ouvertes permet de bénéficier du support technique offert par la communauté du logiciel libre. Plusieurs sociétés de service proposent un support technique professionnel. Inconvénients La gestion des droits et groupes utilisateurs et plus particulièrement les stratégies de groupe, telles que proposées par Active Directory n'est plus possible. La mise en place de règles d'accès et de permissions de fichiers garantit cependant la sécurité. En cas de migration d'un réseau Active Directory, des problèmes de synchronisation peuvent apparaître (au niveau des mots de passe utilisateur).

4.1 - Projet 4.1.1 - Objectifs L objectifs de la mission consiste à mettre en place une architecture réseau qui sera harmoniser par rapport au cahier des charge c est à dire l authentification la résolution de noms Les différents serveurs sont montés sur le VLAN administration.

SERVEURS-STADUIMCOMPAGNY NOM DU SERVEUR ARES HERMES APHRODITE KRATOS Adresse IP 172.20.0.13 172.20.0.12 172.20.0.15 172.20.0.20 Passerelle 172.20.0.1 172.20.0.1 172.20 172.20.01 Masque /24 /24 /24 /24 DNS1 172.20.0.13 172.20.0.13 172.20.0.15 172.20.0.13 DNS2 127.20.0.15 127.20.0.15 127.20.0.13 127.20.0.15 Rôle DNS ACTIVE DIRECTORY DNS ET AD DHCP SECONAIRE Domaine Staduim.local Staduim.local Staduim.local Staduim.local Plage DHCP // // // [50-147] et [150- OS Windows Server 2012R2 Windows Server Windows Server 2012R2 2012R2 Architecture OS 64 bits 64 bits 64 bits 64 bits 170] Windows Server 2012R2 Comptes Administrateur Administrateur Administrateur Administrateur Mot de passe Server2014 Server2014 Server2014 Server2014 5- Annexes 5.1 Procédure d installation des serveurs 5.1.1 - Serveur DNS Prérequis à l installation du serveur DNS : - Serveur Windows 2012 - Adressage IP - 172.20.0.13 - Nommage du serveur en tant que «ARES» Installation du rôle DNS Lancez le «gestionnaire de serveur», cliquez sur «Gérez» puis sur «Ajouter des rôles et fonctionnalités»

La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. A la demande du «type d installation», sélectionnez «Installation basé sur un rôle ou une fonctionnalité», cliquez ensuite sur «suivant». La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier.

Sélectionnez ensuite le serveur sur lequel vous êtes actuellement, cliquez sur «suivant». La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Sélectionnez le rôle «DNS», cliquez sur «Suivant» La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Cliquez sur «Ajouter des fonctionnalités»

. La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier.

Confirmer les rôles à installer, cliquez sur «Installer» La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Configuration du serveur DNS Lancez le «Gestionnaire de Serveur», cliquez sur le rôle «DNS» à gauche de la fenêtre. Faites un clic droit sur le serveur DNS, puis cliquez sur «Gestionnaire DNS». La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Sélectionnez «Créer un zone de recherche directe», cliquez sur «Suivant».

La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Sélectionnez «Ce serveur assure la maintenance de la zone», cliquez sur «Suivant». La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Renseignez le nom de la zone (étant le nom de domaine, donc stadiumcompagny.com), cliquez sur «Suivant» La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Sélectionnez «Créer un nouveau fichier nommé», cliquez sur «Suivant».

La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier.

Pour la configuration initial (un seul DNS primaire), Sélectionnez «Non, il ne doit pas rediriger les requêtes», cliquez sur «Suivant». La partie de l'image avec l'id de relation rid11 n'a pas été trouvée dans le fichier. Le serveur DNS est installé et configuré.

5.1.2- Contrôleur de domaine Active Directory Prérequis à l installation du contrôleur de domaine - - - Serveur Windows server 2012 Adressage IP / 172.20.0.13 Nommage du serveur en tant que HERMES Installation et configuration du contrôleur de domaine.