Administration d un Parc Informatique Projet Evolution te
Table des matières I. Cahier des charges... 3 II. Rappel (image)... 4 III. Proposition :La Virtualisation de server... 5 A. Choix d une solution... 5 B. Schémas réseau... 1 C. Explication... 1 D. Convention de nommage et adressage... 2 1) SOUS RESEAU Servers : 172.16.1.... 2 2) Le sous réseau DMZ : 10.0.0.... 2 3) Le ROUTER... 2 4) PC clients :... 2 IV. Rôles des Serveurs Windows 2008 R 2... 3 A. Active Directory (AD)... 3 B. Rôle de Serveur DNS... 6 C. Serveur DHCP (Dynamic Host Configuration Protocol)... 7 D. Serveur de fichier ou Mise en place du DFS et quotas... 8 E. Serveur d impression... 10 F. Politique de sécurité... 12 G. Script powershell... 19 H. Audits et journaux d évènement... 22 V. Les serveurs Linux... 24 A. Identification des besoins... 24 B. Nos solutions... 24 C. Tableau récapitulatif des serveurs... 25 1) Intranet et Gestion de Parc... 26 D. Pages de connexion et de déconnexion... 28 1) Formulaire de connexion... 28 2) Explication du contenu de la page... 28 3) Exemple de Vue... 30 1
Pour voir plus d interactions sur le Gestionnaire de Parc veuillez suivre le lien suivant :... 30 4) LINMESERV2... 31 E. Le serveur FTP anonyme... 31 1) Présentation... 31 2) Mise en place... 31 F. SAMBA Client... 33 1) Présentation SAMBA... 33 2) Mise en place... 33 G. Le Serveur FTP Sécurisé... 35 1) Le SFTP, Qu est-ce que c est?... 35 2) Mise en place... 35 VI. Solution de Sauvegarde et Stockage :... 38 H. Solutions explorées :... 38 I. Solution choisie :... 38 1) Sauvegarde de Windows :... 38 2) Sauvegarde des Services Linux :... 39 3) Tolérance aux pannes :... 41 Annexe... 43 2
I. Cahier des charges.les techniciens sont confrontés à de nombreux problèmes organisationnels : Ils ont des difficultés à identifier les différents composants du parc et à localiser les utilisateurs. Il n y a aucune solution centralisée de gestion des droits utilisateurs, ni des partages. En outre, le siège social aurait besoins d un serveur FTP. Par ailleurs, l attribution d adresses ip statiques s avère difficile à gérer en termes d administration. L ensemble de cette problématique nous a permis de définir le cahier des charges : Le besoin clairement identifier est de stocker et centraliser les informations du parc (outil de gestion de parc).il s agit de mettre en place un ensemble d outils d administration de parc tout en implantant des solutions de sécurité et de tolérance aux pannes Windows server 2008 R2 : Il nous est également demandé : D installer un contrôleur de domaine pour la société qualigraphe avec fonctions serveur DNS, Active directory, De mettre en place un serveur DHCP pour la gestion des adresses, ainsi qu un serveur d impression. Un serveur de fichier devra également être mis en place. Des scripts permettront de faciliter l administration et de personnaliser l environnement utilisateurs Serveur Debian : Nous devons implémenter un serveur web, une base de données accessible depuis ce site, qui nous permettra d instaurer un outil de gestion de parc. Il faudra également un serveur FTP, permettant de mettre à disposition et de stocker des fichiers. Prévoir dans cette nouvelle architecture une solution de tolérance aux pannes 3
II. Rappel (image) Des switchs performants de l ordre du giga, reliés pour la plupart via de la fibre. Un NAS ISCSI capable de jouer le rôle d un SAN. Donc une infrastructure capable d accueillir de nombreuses évolutions. 4
III. Proposition :La Virtualisation de server A. Choix d une solution La virtualisation est ensemble d outils techniques permettant de faire tourner plusieurs systèmes d exploitation sur une machine Physique. Ces machines virtuelles sont gérées par des hyperviseurs. Pourquoi une telle proposition : La virtualisation est une solution de plus en plus présente en entreprise, en effet elle présente de nombreux avantages : -Une économie en termes de matériel, on fera l achat de deux serveurs au lieu de trois -Une économie d énergie 30% de moins en électricité (alimentation et climatisation) Spécification Serveur d'entreprise physique Serveur standard physique Serveur Virtuel Coût 12 000,00 1300,00 à 1600,00 0,00 Unité de rack 4U 1U 0 Puissance (watt) 1570 670 0 connexions réseaux 2 2 0 -Un meilleur emploi des ressources, un serveur utilise 10 à 15 % de son potentiel, l hyperviseur va attribuer de façon personnalisées ses propres ressources (partage des cpu de la ram et des disques) -Une réduction des DEEE (déchets équipements électriques et électroniques) -Centralisation de l administration -Tolérance aux pannes, avec la possibilité de cloner les serveurs virtuels, une indépendance vis-à-vis du matériel en effet la portabilité des machines virtuels offre une possibilité de restauration et de PRA (plan de reprise d activité)à moindre coût. -Rapidité de reprise d activité en cas de panne et une continuité de service. 5
Les différents types de virtualisations sont les suivants : La virtualisation complète avec un hyperviseur de type 1 L hyperviseur s installe directement sur la couche matérielle, c est le cas de hyper v standalone(gratuit) et de vsphere ou vmesx. Avantage : installé directement, il dialogue directement avec la couche matériel : c est la solution la plus performante. 6
La paravirtualisation ou hyperviseur de type 2 Il nécessite une couche logicielle et émule le matériel, cette solution est moins performante, c est le cas de Windows serveur entreprise R2 auquel on rajoute le rôle d hyperviseur Comparatifs de quelques solutions de virtualisation : Nous nous sommes intéressés plus particulièrement à 2 systèmes de virtualisation, Hyper v, pur produit Microsoft et ESX de Vmware solution largement implantée dans le monde de l informatique en entreprise Hyper-V ( microsoft ) : Cette solution est une solution avec version gratuite appelée " Hyper-V core " donc sans interface graphique sans besoin d'installer auparavant d'os hôte 7
Avantage : version gratuite disponible, idéal pour un parc informatique déjà équipé de Windows. console d'administration depuis un poste client Inconvénients : Pour monter un cluster nécessite un domaine Windows Console d'administration ne fonctionne qu'avec Windows 7 pro Technologie récente avec moins d option et de solution pour ce grapper à HYPERV - ESX et ESXi ( VMWare ): Cette solution est une solution payante de chez VMWare avec une version gratuite avantages : version gratuite ( ESXi ) La meilleure solution disponible sur le marché Console d'administration V-Sphère très complète inconvénients : Version gratuite avec peu d'options ESX coûte cher Console d'administration de tous ces hyperviseurs ESX, V-Sphère se paye en plus et coûte très cher Ces hyperviseurs peuvent bien entendu démarrer sur des disques locaux, mais aussi sur un volume SAN (Boot from SAN) ou encore sur iscsi, nous mettrons en place cette possibilité. Solution de virtualisation adoptée : Nous avons fait le choix du produit Vmware, car malgré le coût de cette solution, il s avère plus stable et plus facile à utiliser. La mise en place de serveur virtuels pour l ensemble de ces 4 machines avec deux machine physiques sur lesquels sont installés Vmware, les machines virtuels seront pilotées par Vcenter et seront stockées physiquement su la baie de disques NAS.Cette solution permet une redondance physique et une indépendance des machines virtuels vis-à-vis de leur support. La technologie de clonage à chaud (Vmotion) de la machine permet une reprise d activité relativement rapide sans interruption de service puisque le contrôleur de domaine sera secondé en cas d indisponibilité par le DC 2 comme serveur secondaire. Pour 4 serveurs nous n aurons à acheter que deux serveurs physiques. Quant à la répartition des rôles Windows, nous aurions dans l idéal et pour éviter une trop forte sollicitation de nos serveurs, grouper le rôle de serveur DHCP avec celui de server DNS, puis à part sur un autre système mettre en place l annuaire LDAP, et serveur de fichier. Cependant, compte tenu de la volumétrie de l entreprise, cela ne semble pas nécessaire. 1
Pour le stockage de ces machines virtuels, ainsi que des données utilisateur et afin d avoir un système de sauvegarde, nous avons choisie de réutiliser nos 2 NAS Synology iscsi, avec une capacité de 2 TO configurée en RAID5. B. Schémas réseau C. Explication Le schéma ci-dessus a été pensé pour sécuriser les flux interne des flux externe. Il intègre un sous réseau pour les Servers DC et LINSERV1. Un sous réseau pour les postes clients, ceci permet de faire des filtres différents pour les postes clients par rapport aux serveurs. Et un sous réseau pour la DMZ, elle contient tous les protocoles et donné nécessitant un accès depuis l extérieur. Toute liaison interne nécessite la création de routes par le pare-feu. 1
D. Convention de nommage et adressage Serveurs Windows et postes 1) SOUS RESEAU Servers : 172.16.1. WINMEDC1 Adresse IP 172.16.1.1 /16 Rôle : Contrôleur de domaine, Serveur DNS, DHCP pour postes clients, Serveur de fichiers et d impression WINMEDC2 Adresse IP : 172.16.1.2/16 Rôle : Contrôleur de domaine secondaire, serveur DNS secondaire, Serveur DHCP pour postes clients, Serveur de fichier Serveurs Linux LINMESRV1 Adresse IP 172.16.1.3 Rôle : Serveur intranet hébergeant la Base de données 2) Le sous réseau DMZ : 10.0.0. LINMESRV2 Adresse IP 10.0.0.5 Rôle : serveur FTP sécurisé 3) Le ROUTER LINRout01 : Adresse IP : 172.16.1.254 Rôle : Firewall, Router. 4) PC clients : PCME01 172.16.2.20 2
IV. Rôles des Serveurs Windows 2008 R 2 Choix du système d exploitation : La version Entreprise La version entreprise, peut accueillir jusqu à 2500 utilisateurs, peut fonctionner avec 8 processeurs physiques, remplaçables à chaud, possède d autres fonctionnalités : -Comme le faillover clustering ou haute disponibilité, -la réplication croisée s(dfs-r) -L AD Fédération service qui permet une fédération des authentifications SSO Single Sign-On : SSO -L AD certificate services pour la gestion des certificats de clès publique -Le remote access service (pour les applications clientes ) -Et une racine DFS illimité (un nombre de zones DNS illimités, donc de domaines différents..) Choix du matériel : voir Annexes A. Active Directory (AD) C est la mise en œuvre de service annuaire LDAP, il offre une solution centralisée d authentification, d identification et de gestion de l ensemble des objets d un parc. On entend par objet, l ensemble des ressources (imprimantes, ordinateurs, dossier partagés), des services (serveur de messageries) et des utilisateurs du parc. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs. C est en quelque sorte une gestion organisée et réfléchie. Il fonctionne de manière hiérarchique. Pour se faire on utilise des OU. OU, unité organisationnelle, elle permet de regrouper un ensemble d objet (utilisateurs, groupes, ressources) et de leur attribuer des droits, une politique de sécurité GPO (group policy object) voir de déléguer des droits 3
Les groupes Ils sont employés généralement à établir une liste d utilisateurs et à leur attribuer des droits d accès ou des services. On distingue trois types de groupes : Le groupe global : il peut contenir des utilisateurs de tous les domaines mais ne peut être placé que sur des ressources de son domaine. Le groupe local : au sein d'un domaine, il est principalement utilisé pour affecter des droits à des ressources dans un domaine. Il peut comprendre des utilisateurs, des groupes globaux ou universels, issus du même domaine. Le groupe universel : disponible depuis la version 2000, permet d'inclure des groupes et utilisateurs d'autres domaines. 4
Nous avons créé en fonction des services, les groupes globaux GG+ NomDuService et locaux GDL + NomDuService ceci nous permettra dans le cadre de la création d un seconde forêt d administrer au choix les Groupes Globaux (Tous les domaines), ou bien le domaine GDL (Domain seul). Le serveur WINMEDC2 en tant que contrôleur de domaine secondaire permettra la haute disponibilité et la tolérance aux pannes. 5
B. Rôle de Serveur DNS Le service DNS (Domain Name System) va permettre d établir une correspondance entre un nom et une adresse IP. Ainsi il va attribuer automatiquement une adresse IP et inversement. En tant que serveur DNS secondaire, Winmedc2 accroît la disponibilité de ce service et la tolérance aux pannes. 6
C. Serveur DHCP (Dynamic Host Configuration Protocol) Il attribue une IP de manière dynamique aux postes qui le réclament et ceci pendant une durée déterminée, le Bail. Nous avons fractionné l étendue : C est-à-dire que nous avons partagé un pool d adresse de 172.16.2.20 à 172.16.2.250 entre WINMEDC1 et WINMEDC2.Ceci toujours pour privilégier la haute disponibilité et la tolérance aux pannes. Si l un des contrôleurs n est pas disponible, l autre prendra le relais DHCP WINMEDC1 DHCP WINMEDC2 7
D. Serveur de fichier ou Mise en place du DFS et quotas Les Quotas Compte tenu de l espace disque dont nous disposions, il a été décidé les quotas suivants : 8
DFS, pour distributed file system Ce service permet à partir d un unique point d entrée, espace de Stockage, l accès à plusieurs dossiers quel que soit leur localisation sur le réseau. Il permet l équilibrage des charges et la tolérance aux pannes si un serveur n est pas disponible, l autre prend le relais pour l accès au dossier. Pour se faire, on crée un groupe de serveurs de réplication, la réplication permettra la synchronisation entre chaque membre et toute modification sur un dossier sera immédiatement répercutée sur l autre. Afin d optimiser la réplication et la bande passante durant la journée, nous effectuerons une planification de réplication sur jour ouvrés de 21H30 à 00H00. 9
E. Serveur d impression Adressage et droits d impression sur ces imprimantes Les imprimantes ont été installées sur WINMEDC1, et partagées selon des droits spécifiques : Chaque service aura son imprimante nommée PrintCommunNomDuService, la direction et le service informatique pourront imprimer sur celle-ci, mais seul le service informatique aura un droit de gestion. PrintCommunService sera accessible à tous les services, et sera gérée par le service informatique. 10
Horaires de connexion 11
F. Politique de sécurité Les gpo : 2 gpo communes à tous : Environement_Users_Commun Supprimer l application ajouter ou supprimer des programmes paramétrage de l écran de veille à 10 min Empêcher l accès aux outils pouvant modifier la base de registre autoriser l accès à distance effacer l historique des programmes récemment ouvert Faire de www.google.fr, la page d accueil par défaut d internet explorer Mappage de l imprimante commune à tous Autoriser les scripts powershell à s exécuter sur les postes clients Redirection des dossiers utilisateur vers \\qualigraphe.loc\stockage\utilisateur Par exemple le dossier Mes documents utilisateur pointera aura 2 localisation, une en locale sur le poste et une sur le serveur dont la localisation dans l absolue sera \\qualigraphe.loc\stockage\utilisateur 12
En local, sur le poste cela donnera 2 emplacements : 13
Mappage d un répertoire U correspondant aux documents que l utilisateur souhaitera mettre sur le serveur La mise en cache des dossiers clients est activée en cas d indisponibilité des serveurs, l utilisateur pourra travailler plus longtemps sur ses fichiers hors connexion (voir Annexe) 14
Possibilité pour l utilisateur d accéder à la version précédente de son fichier 15
Gpo de sécurité Longueur du mot de passe 8 caractères minimum et devra respecter les critères de complexité Durée maximale du mot de passe 60 jours Durée minimale du mot de passe 30 jour Nombre de mots de passe gardés en mémoire 3 Gpo par service Service Produit A, B, et SAV : pas d accès aux supports amovibles Montage des lecteurs réseaux communs à chaque service (Gpo par script) 16
Mappage des imprimantes suivant les services 17
Par mesure de sécurité, les gpo sont sauvegardées une fois par mois: 18
G. Script powershell Création utilisateur par lots 19
Script de mappage de lecteur réseau et création du répertoire utilisateur avec des ACL spécifiques 20
Script batch création OU 21
H. Audits et journaux d évènement Audits 22
Configuration de trois journaux à 3 jours 23
V. Les serveurs Linux A. Identification des besoins Pour les besoins de notre société, nous avons opté pour une solution de deux serveurs pour la partie Linux. Après étude du cahier des charges, les fonctionnalités de nos serveurs Linux sont définies. Les utilisateurs de la société «QUALIGRAPHE» disposeront de partages DFS mis en place sur les serveurs Windows 2008 R2 qui seront accessibles par les ordinateurs Windows et Linux. Le siège social a besoin d un serveur FTP (anonyme) et SFTP (sécurisé) afin d échanger des fichiers et dossiers. Un site intranet et un outil de gestion de parc seront mis en place sur ces serveurs. B. Nos solutions Mise en place de SAMBA Le système SAMBA permet de faire communiquer des machines «Windows» et «Linux» ensembles afin de partager des fichiers/dossiers, tout ça de manière totalement transparente. Installation Serveur FTP Anonyme Le serveur FTP permet de transférer des fichiers entre un serveur et un client dans les deux sens. La fonction anonyme permettra aux utilisateurs de se connecter sans identifiants ni mot de passe. Etablissement d un Serveur intranet hébergeant la Base de données Le montage d un serveur intranet sert donner un accès aux actualités interne de l entreprise. La base de données fournit une liste complète du matériel existants dans le parc et de tous les utilisateurs de la société. 24
Agencement d un Serveur FTP Sécurisé Mise en place d un serveur FTP sécurisé «SFTP» avec une demande d authentification à chaque tentative de connexion de l utilisateur (Identifiant + mot de passe). Le protocole SSH sera utilisé pour crypté les données qui transitent sur le réseau afin de garantir une sécurité sur ce serveur d échange de fichiers optimale. C. Tableau récapitulatif des serveurs 25
1) Intranet et Gestion de Parc La page d accueil pour le site intranet de la société «QUALIGRAPHE» représente activement les couleurs de l entreprise avec le logo et des produits papetiers. Elle contient un formulaire d authentification avec une demande d identifiant et du mot de passe. Les utilisateurs du domaine n ont pas les mêmes droits d accès à la Base de données. Par exemple les utilisateurs standards ont un seulement un accès en lecture à celle-ci tandis que les administrateurs auront les droits de Lecture et d écriture. Pour connaitre au mieux les besoins exact de l application concernant la base de données, nous avons réalisé ce que l on appelle une interview, il s agit de recenser toutes les informations dont on a besoin et comment les objets vont interagir entre eux. Interview de la base de données : - Un poste peut être utilisé au minimum et au maximum par un utilisateur. - Un utilisateur utilise au minimum un poste, et au maximum un poste également. - Un poste n'est associé à aucun écran s'il est en stock, en réparation ou HS et au maximum à un écran. - Un écran n'est associé à aucun poste s'il est en stock, en réparation ou HS et au maximum à un poste. - Une imprimante a au minimum et au maximum une localisation. - Un utilisateur a au minimum et au maximum une localisation. - Un utilisateur utilise au minimum une imprimante et au maximum N imprimante. 26
A partir de cette interview nous avons pu réaliser un plan MCD pour créer notre base de donnée : 27
D. Pages de connexion et de déconnexion 1) Formulaire de connexion La page index.php permet à toute personne de l entreprise de se connecter avec son identifiant et son mot de passe. C est donc la première page de l application. 2) Explication du contenu de la page La première partie de la page sert à forcer la remise à 0 de la variable «session» «admin» afin de s assurer que la session précédente est bien déconnectée. Cette variable sert à se connecter en mode administrateur sur toutes les pages de ce mode. 28
Le fichier d entete Php : Il permet d intégrer le CSS de notre choix et d éditer le <head> de chaque pages rapidement : Afin de pouvoir insérer ces pages dans toutes les pages de l application, il faut insérer : à chaque début de pages. La page function : Pour faciliter la création de script php nous avons créé un fichier function contenant toutes les fonctions php utiles au projet. 29
3) Exemple de Vue Ces informations sont extraites d une vue nommée v_ordi qui regroupe les données suivantes : 1* Venant de la table «ordinateur» Pour voir plus d interactions sur le Gestionnaire de Parc veuillez suivre le lien suivant : Qualigraphe.com Id : lecteur pass : lecteur Ne pas lire au cesi ou avec VPN 30
4) LINMESERV2 E. Le serveur FTP anonyme 1) Présentation Lors d échanges de fichiers dans une entreprise, le poids des fichiers est bien souvent supérieur aux limitations imposées par les adresses e-mail (environ 20-25Mo). Afin de palier à ce problème, nous mettons en place un serveur FTP (=File Transfer Protocol) Public qui va permettre les transferts des fichiers conséquents. Le port utilisé par défaut est le port 21. 2) Mise en place Installation du paquet proftpd : Configuration du serveur : Modification du nom du serveur FTP (1) par «LINMESERV02 FTP» et paramétrage de l emplacement d arrivée (2) quand un utilisateur se connecte. (1) (2) 31
Activation des authentifications Anonymes en décommentant la section «Anonymous» (3) Chaque utilisateur aura un accès complet sur le serveur FTP, Ils disposeront les droits de lecture et d écriture grâce à la modification de ces lignes (3) : «Limit WRITE READ» AllowAll Test de la connexion anonyme sur un poste Client Windows 7 grâce à l adresse suivante : «ftp://linmeserv2» Par l explorateur Windows : Par le navigateur internet : Chaque utilisateur se connecte librement au serveur FTP sur le dossier racine nommé «Public», il n y a pas besoin d un identifiant ni d un mot de passe (connexion anonyme). Le serveur est accessible à partir des postes «Windows» mais aussi par les postes dotés du système d exploitation «Linux». 32
F. SAMBA Client 1) Présentation SAMBA Samba est un groupe de services et protocoles qui permettent de connecter une machine Linux à d autres systèmes d exploitation tels que Windows par exemple. Il peut aussi exercer dans le sens inverse, c est-à-dire créer des partages sur Linux et les rendre accessibles pour Windows. Les répertoires et sous répertoires apparaissent pour les utilisateurs de Windows/Linux comme des dossiers classiques accessibles via le réseau. Les utilisateurs d'unix peuvent lire les partages Windows avec le «Samba client» et les utilisateurs Windows accèdent quant à eux aux partages Linux grâce à «Samba serveur». 2) Mise en place Installation du paquet «smbclient» Ouverture de session sur un poste Linux, accès aux partages Windows via SAMBA Client avec authentification de l utilisateur. 33
Test avec l utilisateur «vgaillard» qui appartient au Service «Produit A». Tentative d accès au partage commun du Service «Produit B» Etant donné que l utilisateur «vgaillard» ne fait pas parti du groupe «Produit B», cette personne ne dispose d aucun droit d accès à ce dossier. Elle ne pourra accéder qu au dossier de son service comme ci-dessous : 34
G. Le Serveur FTP Sécurisé 1) Le SFTP, Qu est-ce que c est? Le SFTP est le protocole FTP mais avec plus de sécurité. Le problème du «FTP», c'est qu'il n'est pas sécurisé. Le données que vous échangez passent «en clair» sur le réseau et peuvent être perceptibles par quelqu un de compétent. Mais pire que cela, les mots de passe passent en clair, et là c'est très mauvais pour la tranquillité. Mais une solution pour permettre une plus grande sécurité existe, le SFTP. Contrairement au serveur FTP, toute la connexion est chiffrée grâce à «SSH» les contenus qui transitent sont cryptées. 2) Mise en place Grâce à la liaison du serveur Linux «LINMESERV2» au domaine de la société (QUALIGRAPHE.LOC), l authentification des postes Linux interroge l Active Directory. Il en va de même pour l authentification ssh qui est utilisé comme protocole de transfert sécurisé (SFTP). Ainsi grâce à l authentification des utilisateurs de l ad sur Linux nous pouvons réutiliser les comptes et les groupes pour tous sortent de logiciel installé sur Linux. Les données transitant sur le réseau lors d un échange de fichier sur le serveur sécurisé seront cryptées grâce au protocole SSH. Le paquet «SSH» est installé, nous laissons les paramètres par défaut (utilisation du port 22) dans le fichier de configuration «sshd_config». 35
Du côté de Windows, le système d exploitation n arrive pas à interpréter le protocole SSH. Afin de résoudre ce problème, nous installons un utilitaire d utilisation nommé «WinSCP». Chaque utilisateur aura le logiciel «WinSCP» accessible sur le bureau. Il devra paramétrer sa connexion pour le serveur SFTP en renseignant informations suivantes : Le Protocole de fichier = SFTP Nom d hôte = 10.0.0.5 Numéro de port = 22 Son nom utilisateur Son mot de passe Exemple avec l utilisateur «Virginie Gaillard» qui utilisera le même identifiant et le même mot de passe que pour se connecter à son poste Windows 36
Après avoir renseigné toutes les informations demandées, l utilisateur peut sauvegarder sa session. C est-à-dire que lors de sa prochaine reconnexion au poste Windows, il n aura pas besoin de remettre les informations de connexion à part son mot de passe qui lui sera demandé. L utilisateur accède maintenant au serveur SFTP Dans le chemin «/Home/QUALIGRAPHE/nomUtilisateur/Bureau A l avenir, nous lui donnerons accès au dossier commun de son service 37
VI. Solution de Sauvegarde et Stockage : La solution de sauvegarde doit intégrer le standard de sécurité et permettre de récupérer les données avec un maximum de granularité. Nous possédons à l heure actuelle deux NAS SYNOLOGY, qui hébergeaient les données utilisateurs des postes client et effectué des sauvegardes planifier de Nas 1 vers Nas 2. H. Solutions explorées : Nous avons exploré plusieurs solutions notamment sur les serveurs : 1. La première vise à installer un server esx contenant Les serveurs Linux (FTP, SFTP, Intranet) ainsi que un serveur Windows contenant les rôles DHCP, AD, DNS, Server d impression. Nous aurions donc besoin de doubler au moins le Server Windows, pour assurer une tolérance aux pannes rapides. Cette solution été intéressante au niveau des couts matériels, s avère tout de même risquée pour les Services hébergés sur les Linux. 2. Notre deuxième choix assure une tolérance aux pannes sur tous les services de l entreprise, elle consiste à créer deux Servers VMWARE ESX répliqué entre eux chaque nuit. Le tout étant stocké sur le NAS 1 en RAID5. Le NAS 1 serait effectuerait des sauvegardes planifiées sur le NAS 2 chaque nuit en incrémentielle, le Week end une en différentiel et une sauvegarde complète une fois par mois. I. Solution choisie : 1) Sauvegarde de Windows : Nous sauvegarderons La base AD et les dossiers Utilisateur de WINMEDC1 et 2 sur LINMESERV1 à l aide du service WindowsBackup pour permettre un rétablissement rapide des données. De plus, pour pouvoir rétablir les données du DFS rapidement en cas d erreur utilisateur, nous avons créé une tâche planifiée qui sauvegarde le DFS sur \\LINMESERV1\Sauvegardes$\dfs à l aide de l opérateur de sauvegarde «backup». 38
ROBOCOPY "\\qualigraphe.loc\stockage" "\\LINMESERV1\Sauvegardes$\dfs" /XO /E /R:1 /V /Z /XD *.ini *Adobe *.rdp *.dat *Logiciel > "G:\JOURNAUX\backupdfs.log" exit Le reste des données seront sauvegardé du NAS 1 vers le NAS2 comme décrit dans le Schéma. 2) Sauvegarde des Services Linux : Nous avons mis en place une solution de sauvegarde pour le service sftp de LINSERV2 ainsi qu une sauvegarde de la base de données et du site web sur LINSERV1. 39
Le script se décompose de la manière suivante pour le SQL : Le script utilise l utilisateur Backup créé pour agir sur le dossier de Sauvegarde de WINMEDC1. #!/bin/bash # on declare la variable date date=$(date +'%F') # On monte le lecteur réseau mount -t cifs //172.16.1.1/LinuxBackup /media/samba/ -o username=backup,password=gmsi34$ #archive var/www tar cvzf /media/samba/${date}.php.tar.gz /var/www > /media/samba/${date}- php.journal #Sauvegarde de SQL mysqldump -u root -pgmsi34$ Films > /media/samba/${date}.films.sql # On demonte le lecteur réseaux umount /media/samba Pour définir à quel moment le script créée ci-dessus se lancera, nous devons modifier le fichier crontab qui gère la planification. On utilise crontab e. Le fichier se présente de manière à ce qu on indique d abord les minutes, puis l heure, le jour du mois (une étoile pour dire tous), le mois (pour dire tous), le jour de la semaine (on met 1-7 pour qu il le fasse tous les jours de la semaine) puis le chemin du script. 40
La même chose est ainsi faite sur LINMESERV2 pour sauvegarder le dossier SFTP des utilisateurs et Services : #!/bin/bash # on declare la variable date date=$(date +'%F') # On monte le lecteur réseau mount -t cifs //172.16.1.1/LinuxBackup /media/samba/ -o username=backup,password=gmsi34$ #archive var/www tar cvzf /media/samba/${date}.sftp.tar.gz /home/qualigraphe/ > /media/samba/${date}- SFTP.journal umount /media/samba ~ ~ ~ 3) Tolérance aux pannes : D abord, assurée par le doublement des rôles DHCP DNS AD DFS pour les serveurs Windows, ainsi, il n y aura aucune interruption de service RAID 1 sur les serveur Disques DATA de nos systèmes d'exploitation localisés sur un NAS en RAID 5 qui fait SAN, avec la possibilité de cloner nos machines virtuelle en cas de panne de celle-çi le remplacement se fera de manière transparente.. 41
Schéma Solution Sauvegarde 42
Annexes Planning Devis 43
Voici le type de server choisit 44
45
46
47
48
49
50
51
52
53
54
Centre de Synchronisation Présentation Les utilisateurs de la société «QUALIGRAPHE» disposent de dossiers partagés tant que les ordinateurs sont liés au réseau. Il se peut que l utilisateur n ai plus accès aux partages si sa machine n est plus relié au réseau. Pour pallier à ce problème, il est possible de mettre les fichiers en mode hors connexion. Grâce aux fichiers hors connexion, vous pouvez accéder à des copies de vos fichiers réseau lorsque votre ordinateur est déconnecté de celui-ci. Nous mettons en place cette option que sur le partage «Utilisateurs», il serait trop risqué de l appliquer sur les dossiers «Commun» et «Public». S il y a plusieurs ordinateurs qui travaillent sur le même fichier en mode Hors ligne, lors de la mise en ligne de ce fichier, il y aura des collisions de fichiers. Cette option de Windows peut être lancée via une G.P.O. Mise en place Création d une nouvelle G.P.O. sous le nom de «Fichiers hors connexion» dans Configuration ordinateur => Stratégies => Modèles d administration => Réseau => Fichiers hors connexion. 55
Activation des options suivantes dans la G.P.O. Configurer la synchronisation en arrière-plan Activer la mise en cache transparente Synchroniser tous les fichiers hors connexion avant de terminer la session Définition des partages sur lequel la G.P.O. sera appliquée. Il faut accéder dans le menu «Gestionnaire serveur», cliquez sur «Rôles» puis dans la partie «Services de fichiers» et entrer dans «gestion des partages et du stockage». Nous sélectionnons uniquement le partage «Utilisateurs». 56
Modification des paramètres du partage dans l onglet «Partage», Option Avancé. Sélection de l onglet «Mise en cache». Ensuite, il suffit d activer l option qui va permettre de mettre automatiquement en cache les dossiers/fichiers ouverts par les utilisateurs depuis leur partage comme indiqué ci-dessous : Après validation des paramètres, la G.P.O. permettra aux utilisateurs d accéder au dossier partagé «Utilisateurs» d être accessible même en cas de problème réseau sur leur machine. 57
Glossaire A ACL Liste de contrôle d accès, les ACL permettent de créer des droits spécifiques sur les fichiers Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Audit Permet de faire un examen du serveur suivant des critères de recherche définis, les filtres Best practice Analyzer D DNS signifie Domain Name System (Système de noms de domaine). Le DNS est un système permettant d'associer une adresse IP à un nom de domaine. DHCP Dynamic Host Configuration Protocol (DHCP) est un protocole réseau dont le rôle est d assurer la configuration automatique des paramètres IP d une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau. DHCP peut aussi configurer l adresse de la passerelle par défaut, des serveurs de noms DNS F FTP File transfert Protocol Protocol qui permet le transfert de fichiers informatiques. En utilisant les rôles client et server. G Gpo Group polcy Object, ce sont un ensemble de règles que l on peut choisir d appliquer sur les OU Journaux d évènement Les journaux des événements sont des fichiers spéciaux qui enregistrent les événements significatifs sur votre ordinateur, tels que l ouverture d une session sur l ordinateur par un utilisateur ou lorsqu un programme rencontre une erreur. À chaque occurrence de ces types d événements, Windows enregistre l événement dans un journal des événements que vous pouvez consulter à l aide de l Observateur d événements. O OU Pour unité organisationnelle, Elle permet de classer un ensemble d objets de l active directory afin d y appliquer certaines règles(gpo) S SSH Secure shell Protocole qui permet les échanges sécurisés par le biais de clès de chiffrement pour l authentification et de chiffrement concernant les échanges 58