Période appliquée en entreprise Lycée Albert Camus

Documents pareils
Fully Automated Nagios

Installation du SLIS 4.1

But de cette présentation

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

Eyes Of Network 4.0. Documentation d installation et de configuration

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Virtualisation de Windows dans Ubuntu Linux

Symantec Backup Exec Remote Media Agent for Linux Servers

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guide de démarrage rapide

Installation de Windows 2003 Serveur

FreeNAS Shere. Par THOREZ Nicolas

TAGREROUT Seyf Allah TMRIM

Aide d'active System Console

Mission TICE : Thierry CHASSAIN - Guy PICOU AIDAT du Lot : Hélène CREUSOT Pierre LAGREZE. Réseaux pédagogiques sous Windows 2003 Server 12/01/2011

Assistance à distance sous Windows

GUIDE D UTILISATION ADSL ASSISTANCE

[Serveur de déploiement FOG]

Installation de Windows 2000 Serveur

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

Serveur d application WebDev

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

TrendMicro Smart Protection Server

Microsoft Windows NT Server

Maintenance de son PC

Artica. La déduplication. Révision Du 08 Février 2011 version

Eléments techniques tome I Installation Serveur Windows 2012

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI


Retrospect 7.7 Addendum au Guide d'utilisation

Installer une imprimante réseau.

Documentation : Réseau

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

NetCrunch 6. Superviser

STATISTICA Version 12 : Instructions d'installation

Situation professionnelle n X

OpenMediaVault installation

WINDOWS 2000 SERVEUR

MANUEL D INSTALLATION

NACIRI Mehdi. Rapport de stage : Mise en place d un moyen pour anticiper les pannes des serveurs de l IUT. Promotion BTS SIO Option SISR

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Printer Administration Utility 4.2

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

JetClouding Installation

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Projet serveur OwnCloud

Documentation FOG. Déploiement d images de systèmes d exploitation à travers le réseau.

Dispositions relatives à l'installation :

Manuel d installation Version Evolution réseau Ciel Compta Ciel Gestion commerciale Ciel Associations

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

Formation SCRIBE EAD

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Projet Semestre2-1SISR

Activité : TP Durée : 6H00. Un PC d assemblage de marque NEC Un casque avec micro Une clé USB. Un CD de Windows XP professionnel

Tsoft et Groupe Eyrolles, 2005, ISBN :

Maintenir Debian GNU/Linux à jour

Guide d'utilisation du Serveur USB

Nagios 3 pour la supervision et la métrologie

LAB : Schéma. Compagnie C / /24 NETASQ

cc.region.beaujeu@wanadoo.fr Site Internet Actuellement nous trouvons ce schéma réseau :

Installation d'un FreeNAS (v0.684b du 30/03/2007) pour sauvegarder les données d'un ZEServer

Manuel d Administration

[Serveur de déploiement FOG]

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

ETI/Domo. Français. ETI-Domo Config FR

Edutab. gestion centralisée de tablettes Android

How To? Sécurité des réseaux sans fils

Installation de la messagerie EMWAC IMS Sur Windows NT4 serveur ou Windows 2000 serveur

Le Ro le Hyper V Premie re Partie Configuration et Prise en main du gestionnaire Hyper-V

Monitoring & Surveillance SLIM CHAKROUN (ENSI) EMNA BEN HADJ YAHIA (RT3) SAFA GALLAH (RT3)

SQL Server Installation Center et SQL Server Management Studio

Spécifications détaillées

Gestion d'un parc informatique avec OCS INVENTORY et GLPI

DOCUMENTATION VISUALISATION UNIT

Symantec Backup Exec Guide d'installation rapide

VMWare. Vmware: machine virtuelle Un véritable pc avec : VmWare

Sauvegarde et restauration d'un système d'exploitation Clonezilla

Windows Internet Name Service (WINS)

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Le meilleur de l'open source dans votre cyber cafe

Installation d un serveur AmonEcole

Cahier des charges pour la mise en place de l infrastructure informatique

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Spécifications Techniques Générales. Techno Pole Internet. Lycée Djignabo / Ziguinchor

SDIS 84 PROJET INFOGERANCE PROCEDURE. Procédure

Présentation du SC101

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Préconisations Techniques & Installation de Gestimum ERP

Administration Centrale : Opérations

Mise en route d'une infrastructure Microsoft VDI

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

BARREAU PACK Routeur Sécurisé Avocat MANUEL D INSTALLATION

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

Transcription:

Période appliquée en entreprise Lycée Albert Camus du 24/11/2008 au 23/01/2009 7

Remerciements Je tiens à remercier tout particulièrement pour leur accueil et leur soutien, M. Michel Cocotier, proviseur du lycée, M. Pascal Legrand, chef des travaux, ainsi que M. Yoann Pichard, administrateur réseau et tuteur de la P.A.E. Merci également à l'ensemble du personnel qui a su faciliter mon intégration, me permettant de travailler dans les meilleures conditions. 2

Table des matières INTRODUCTION...5 1 PRESENTATION DU LYCEE ALBERT CAMUS...7 1.1 - Informations sur le lycée...7 1.2 - Réseau informatique du lycée...7 1.2.1 - Plateforme réseau...7 1.2.1.1 - Architecture logique...8 Schéma...8 Les VLANs...10 Routage...12 1.2.1.2 - Architecture physique...13 1.2.2 Plateforme de communication internet...15 1.2.2.1 - Routeur/Firewall/VPN AMON...15 1.2.2.2 Serveurs de communicationslis...15 1.2.3 - Plateforme système...15 1.2.2.1 Les serveurs...15 1.2.2.2 Les postes de travail...16 2 CAHIER DES CHARGES...17 2.1 - Contexte et missions...17 2.2 - Contraintes...18 2.3 - Planning...18 2.4 Livrables...18 3 MISE EN PLACE D'UN SERVEUR NAGIOS...19 3.1 Présentation de Nagios...19 3.2 - Le choix de FAN 1.0 (Full Automated Nagios)...22 3.3 Installation de FAN...23 3.3.1 Configuration de l'interface réseau...25 3.3.2 Sauvegarder/restaurer la configuration réseau...25 3.3.3 Le DNS...26 3.4 Nagios sur l'interface web...26 3.5 Configuration de Centreon...28 3.5.1 Création d'un groupe d'utilisateurs...29 3.5.2 Création d'un utilisateur...30 3.5.3 - Création d un groupe de machines...31 3.5.4 - Ajout des machines...32 3.6 - Ajout du service SNMP...33 3.6.1 Windows XP server 2003...33 3.6.2 Switchs Cisco 2960 et 3750...37 3.6.2.1 Hyperterminal...37 3.6.2.2 Interface graphique CNA...37 3.6.3 Bornes WIFI Cisco Aironet 1130AG...39 3.6.4 Les périphériques d'impression...40 3.6.5 Les onduleurs...40 3.7 Installation de services supplémentaires...41 3.7.1 NS Client ++...41 3.7.2 Services pour serveurs HP et Dell...45 3.8 Ajout des plugins...45 3

3.8.1 - Généralités...45 3.8.2 Les plugins dans Centreon...47 3.8.4 Test des plugins...50 3.8.3 Liste des services installés...51 3.9 Supervision et analyse des résultats...52 3.9.1 Centreon...52 3.9.1.1 Les graphiques...52 3.9.1.2 Le reporting...54 3.9.1.3 Le monitoring...55 3.9.2 Nagvis...56 3.9.3 Notification par email...59 3.10 Backup et restauration de Nagios...62 3.10.1 Backup...62 3.10.2 Automatisation du backup...63 3.10.3 Restauration...64 3.11 Migration de FAN 1 vers la version 1.1...65 4 GHOST D'UNE MACHINE...66 4.1 Installation du client distant...67 4.2 Configuration de la machine à ghoster...69 4.3 - Reconstruction de la machine...70 5 INTEGRATION D'UN SWITCH CISCO A UNE BAIE DE BRASSAGE...74 5.1 Switch Cisco 2960...74 5.2 Configuration du maître de pile...75 6 INTEGRATION DE NOUVEAUX ELEVES DANS ACTIVE DIRECTORY...75 7 CREATION D'UNE DMZ POUR LE SERVEUR 4AC44100...78 7.1 Le Switch...79 7.2 Le SLIS...80 7.3 Le routeur...81 7.4 Le serveur 4AC44100...81 8 BILAN...82 CONCLUSION...83 ANNEXES 4

INTRODUCTION Ce document représente la synthèse de 2 mois de Période Appliquée en Entreprise, concrétisation d'une année de formation à l'afpa d'angers en. Ce stage est à la fois le moyen de mettre en œuvre les connaissances acquises au cours de l'année mais aussi une façon de côtoyer concrètement le monde de l'entreprise, saisir les tenants et les aboutissants de notre métier. Ainsi nous sommes confrontés quotidiennement aux aléas d'un réseau informatique et sommes amenés à prendre les décisions adéquats pour un fonctionnement optimal de celui-ci. Il faut envisager le réseau dans sa globalité pour se prémunir des dysfonctionnements éventuels et assurer la meilleure communication possible entre les utilisateurs. Toute la difficulté de notre tâche réside dans ce «travail de l'ombre», qui veut que chaque utilisateur puisse utiliser de façon transparente le réseau. Le choix de mon stage s'est porté sur le Lycée Albert Camus à Nantes, pour plusieurs raisons, à commencer par le fait que l'education Nationale ne m'est pas un milieu inconnu, y ayant travailler 4 années en tant qu'assistant d'éducation. De plus les enjeux informatiques y sont de plus en plus prégnants, la communication interne entre les services administratifs mais aussi entre les professeurs et le élèves, relève de façon croissante du réseau informatique. Cette évolution récente représente un défi de taille pour les techniciens informatiques, car la sollicitation est chaque jour un peu plus forte pour que, par exemple, les supports de cours passent par l'informatique. Les salles sont majoritairement équipées de postes informatiques et les les cours sont orientés vers le multimédia. A moyen terme, les différentes ressources, devront être accessibles de n'importe où, l'apprentissage dépassant les simples frontières du lycée. La Région Pays de la Loire a fortement axé sa politique d''éducation sur un déploiement massif de matériel au sein des lycées et une remise en cause des topologies existantes. Cette volonté politique s'appuie sur la mise en place de matériel neuf bien sûr1 mais aussi sur l'installation généralisée de la fibre optique (100 Mégabits/seconde) SDSL. En marge de ces innovations technologiques, des outils de gestion de parc (GLPI) sont installés pour un meilleur suivi du matériel, et des serveurs Nagios seront déployés à très court terme pour superviser les problèmes en tant réel. Cette optique évolutive et en phase avec les innovations technologiques m'ont fortement motivé pour postuler dans un lycée. L'objectif principal était de monter un serveur de supervision Nagios. Afin d'y parvenir, il a fallu un gros travail en amont pour définir quels étaient les besoins du lycée. Dans un premier temps il était nécessaire de réaliser un audit du matériel disponible et de le hiérarchiser. La présentation du réseau informatique nous donne déjà une idée un peu 1 A ce propos, chaque ordinateur a une durée de vie de 5 ans maximum, après quoi il est recyclé dans les collèges par exemple. 5

plus précise du matériel à disposition et nous permet de savoir quels équipements nécessitent une surveillance accrue. Le cahier des charges définira avec précision le travail demandé et quels étaient les objectifs de la supervision. En parallèle de ce projet d'envergure, d'autres missions ponctuelles m'ont été confiées, souvent en collaboration avec mon tuteur qui a pu m'apporter toutes ses compétences. Il a fallu notamment intégrer un nouveau switch Cisco à une pile dans une baie de brassage. Nous en verrons les différentes étapes dans le chapitre 5. Une DMZ permettant l'accès depuis l'extérieur aux ressources de la filière tertiaire (chapitre 7) a également été mise en place en fin de stage. D'autres tâches plus «mineures» mais non moins essentielles ont ponctué ce stage, notamment en ce qui concerne le dépannage des utilisateurs, l'intégration de nouvelles machines au réseau et le ghost (chapitre 4) de celles-ci. Pour comprendre les enjeux du stage, le premier chapitre sera consacré à la description de la topologie logique et physique du lycée. Enfin, après avoir détaillé chacun des travaux, un chapitre synthétique viendra récapituler l'ensemble de ces activités et fera le point sur leur réalisation. 6

1 PRESENTATION DU LYCEE ALBERT CAMUS 1.1 - Informations sur le lycée Le lycée Albert camus a été construit en 1967, sur le parc du château de La Musse. Il compte 750 élèves, 90 enseignants, et 20 agents. Des enseignements aussi bien généraux que technologiques y sont dispensés. Il faut cependant noter que l'informatique y joue un rôle prépondérant au travers de l'option Informatique de gestion et de communication qui propose aux élèves de seconde de maîtriser les nouvelles technologies en rapport avec le réseau. Les filières BTS immobilière, comptabilité et commerce complètent les enseignements proposés. Avant 2006, il n y avait que des réseaux indépendants non communicants entre eux (administration, CDI, Bâtiment technique). Le projet d intégration informatique global démarre en 1999, mais il faudra attendre 2005 pour que la réalisation débute. En effet, c est en 2005 que commence dans un premier temps le câblage électrique et l'installation des prises réseaux. Et c est durant l été 2006 que le parc informatique du lycée Albert camus est activé, 500 postes et une dizaine de serveurs sont alors déployés. 3 personnes composent l'équipe informatique : Pascal Legrand, chef des travaux Yoann Pichard, administrateur du réseau Guy Dreux, professeur de mathématiques chargé du site internet 1.2 - Réseau informatique du lycée 1.2.1 - Plateforme réseau Quelques chiffres : 11 serveurs 6 baies de brassage reliées par fibre optique 22 switchs 7

460 postes de travail Salles : 40 salles sur 50 sont équipées de vidéo-projecteur chaque salle dispose d au moins un ordinateur pour l enseignant toutes les salles devraient être équipées d ici la fin de l année scolaire de vidéoprojecteurs Salles informatiques (de 8 à 24 postes) dédiées : 2 salles dédiées pour les langues vivantes (20 postes) 1 salle dédiée pour les mathématiques (20 postes) 6 salles dédiées pour l enseignement technologique (18-24 postes) 2 salles dédiées Histoire-Géographie (8 postes) 2 salles dédiées Physique Chimie (18-8 postes) 1 salle EXAO SVT(12 postes) 2 salles en accès libre pour les élèves (8-4 postes) 1.2.1.1 - Architecture logique Schéma 9 VLANs constituent le réseau du lycée 8

Les VLANs Vlan Management : ID: Nom: @IP: Gateway : 1 Mngt 10.201.xxx.xxx /24 10.201.xxx.xxx Équipements actifs du réseau et onduleurs. Vlan Elèves : ID: Nom : @IP : Gateway : 10 Vlan-élèves 172.17.xxx.xxx/18 172.17.xxx.xxx Postes de travail élèves et CDI, ainsi que les imprimantes associées. Vlan Professeurs ID: Nom: @IP : Gateway : 30 Vlan-professeurs 172.17.xxx.xxx/22 172.17.xxx.xxx Postes de travail professeurs et documentalistes ainsi que les imprimantes associées. Vlan Administratif ID: Nom: @IP: Gateway: 40 Vlan-Administratif 10.44.xxx.xxx/24 10.44.xxx.xxx Postes de travail de l administratif les serveurs et les imprimantes associées (secrétariat, intendant, proviseur, cuisine entretien...). Le matériel du réseau administratif est installé par le CRID 44 (Centre de Ressources Informatiques Départemental de Loire Atlantique). Vlan Serveurs ID : Nom: @IP : 50 Vlan-Serveurs 172.17.xxx.xxx /22 10

Gateway : 172.17.xxx.xxx Serveurs hors serveurs MRPET (enseignement technologique tertiaire) et administratif. Vlan Proxy ID : Nom: @IP : Gateway : 60 Vlan-proxy 172.17.xxx.xxx/24 172.17.xxx.xxx Serveurs de communication SLIS (Serveur Linux pour l Internet Scolaire). Vlan Interco ID : Nom : @IP : Gateway : 80 Vlan-interco Permet une DMZ pour l interconnexion des serveurs SLIS et AMON. Pas d adresse IP pour ce vlan pour des raisons de sécurité. (Pas de routage et pas d ACL vers les autres VLAN). Vlan MRPET ID : Nom: @IP: Gateway: 70 Vlan-Mrpet 172.31.xxx.xxx/16 172.31.xxx.xxx Ensemble des ressources de la section MRPET (Modèle de réseau pour l Enseignement technologique) Vlan INVITE ID : Nom: @IP : Gateway : 90 Vlan-invite 172.31.xxx.xxx /24 172.17.xxx.xxx Ce VLAN permet aux intervenants extérieurs du lycée d avoir un accès à internet. Les postes de travail de ce vlan auront accès uniquement au Vlan PROXY. 11

Routage Le réseau est équipé de 2 switchs 3750 de niveau 3, dans 2 locaux séparés. Le protocole HSRP en place permet une redondance du routage. Route par défaut sur les switchs 3750 : 0.0.0.0 172.17.254.252 Pour les stations du VLAN MRPET la route par défaut est le SLIS Tertiaire : 172.17.0.0 255.255.0.0 172.31.0.253 Matrice de routage (*Mngt = managment) : Nom VLAN dest. Admin Profs Élèves Serveur Invités Tertiaire Proxy Mngt* Admin - x x o x x x x Profs x - o o x o o x Élèves x x - o x o o x Serveur o o o - x o o o Invités x x x x - x o x Tertiaire x x o o x - o x Proxy x o o o o o - o Mngt* x x x o x x x - Nom VLAN source 12

1.2.1.2 - Architecture physique L architecture repose sur une étoile optique gigabit inter connectant en simple ou en double attachement (en fonction de la densité de ports) les locaux techniques secondaires (LT1 du Bât A0, LT2 du Bât B1, LT3 du Bât B2, LT4 du Bât D0, LT5 du Bât C1 et LT6 du Bât G0) au local technique principal (RG-LT1 du Bât A0). L ensemble des postes de travail est connecté sur des commutateurs de niveau 2 ou des piles de commutateurs de niveau 2 répartis sur les différents locaux techniques. Un premier commutateur de niveau 3 situé au local technique principal RG-LT1, concentre l ensemble des artères fédératrices en gigabit optique, connecte en gigabit cuivre les serveurs (Pédagogique, Personnel et Administratif) et permet une double connexion sur le pare-feu. Un deuxième commutateur de niveau 3 situé au local technique RG-LT5, concentre la pile de commutateurs de niveau du Bât C1, se connecte en double attachement sur le local technique principal RG-LT1 et connecte en gigabit cuivre les serveurs (Tertiaire principal et secondaire ainsi que CGO). Chaque commutateur de niveau 3 est secouru par un onduleur garantissant 10 minutes d autonomie en cas de panne de secteur. 13

1.2.2 Plateforme de communication internet 1.2.2.1 - Routeur/Firewall/VPN AMON Il permet d'offrir : Un accès sécurisé aux services du rectorat Un accès sécurisé à internet Les fonctionnalités minimum de routage Le serveur AMON proposé est de type IBM eserver xseries 226 type 8648. 1.2.2.2 Serveurs de communicationslis Les serveur SLIS PEDA et TERTIAIRE assurent les fonctions de filtrage d URL,de proxy et d'intranet pour le lycée. Le serveur SLIS proposé est de type IBM eserver xseries 226 type 8648. 1.2.3 - Plateforme système 1.2.2.1 Les serveurs Il y a en tout 11 serveurs : Serveur Pédagogique R2D2, Serveur professeur C6PO Serveur administratif Serveur 1AC44100 (Serveur principal Tertiaire) Serveur 2AC44100 (Serveur secondaire Tertiaire) Serveur 4AC44100 (Serveur dédié BTS MUC (SQL) Serveur 6AC44100 (Serveur d impression, antivirus et de sauvegarde) Serveur GLPI Serveur Nagios de supervision Serveur SLIS (Serveur de Communication) Serveur dédié BTS CGO Exemple du serveur pédagogique : Il assure les fonctions de serveur Active Directory, services réseau DNS et WINS, et enfin serveur IACA (base de données concernant les élèves inscrits). 15

Ses caractéristiques sont les suivantes : Châssis format Rack 2U - alimentation 735 watts (Redondante en option) Ventilateurs redondants en standard 3 connecteurs d'extension Pci (3xPCI-X 64 bits 2 à 133 MHz et 1à 100 MHz...) Processeur Intel Xeon à 3 Ghz FSB 800 Mhz- évolutif bi-processeur 2 Mo de cache de second niveau - Technologie EMT64 1 Go DDR SDRAM PC2-3200/400 MHz Advanced ECC extensible à 12 Go Contrôleur RAID SA-6i bicanal SCSI Ultra320 intégré Cage disque dur "Hot-Plug" (6 x 300 Go maxi) 2 x Contrôleurs réseaux 10/100/1000 RJ45 Wol intégré onorme 802.1Q VLANs owake on LAN Lecteur CD-ROM 48x IDE & lecteur de disquettes 1,44 Mo 1.2.2.2 Les postes de travail Les postes sont tous récents (ils ne dépassent quoi qu'il arrive jamais une durée de vie excédant 5 ans) et sont équipés d'un pentium 4 et de l'os Windows XP. Boitier CMT format Mini Tour Processeur Intel Pentium 4 650 à 3 GHz / FSB 800 MHz 1 Mo de cache de second niveau Carte mère Hewlett Packard à base de chipset Intel i945g Mémoire vive 512 Mo DDR2 533Mhz bi-canal ext. à 4 Go (2/4 slots) Disque dur 160 Go Serial ATA 300 Mo/s 7200trs/mn Lecteur de DVD-ROM 16x/48x - Lecteur de disquettes 3,5" 1,44 Mo Contrôleur graphique ATI Radeon RX300SE de 128 Mo DDR sur bus PCI-Express 16x o Pci-Express : Nouveau Bus plus rapide qui remplace l'agp o Sortie Dvi/VGA et S-Video - Résolution 1920x1200 à 100Hz o Prise en charge matérielle totale d'opengl o Prise en charge accélérée matériellement Microsoft DirectX 9.0 Contrôleur audio Intel haute définition avec haut parleur interne intégré 2 Slots PCI pleine hauteur disponibles - 1 slot PCI-E 1x disponible 8 ports USB 2.0 dont deux en façade, 1 port série, 1 port parallèle et 2 ports Ps/2 Contrôleur LAN 10/100/1000 Mbps WOL "Wake On Line" intégré Clavier Hewlett Packard standard 2004 Ps/2 - Souris Hewlett Packard optique USB Microsoft Windows XP Professionnel avec SP3 Moniteur 17" CRT Hewlett Packard S7540 p0,24mm (1024x768 à 85Hz - Conforme aux normes "Energy Star & TCO03") 16

2 CAHIER DES CHARGES 2.1 - Contexte et missions Afin de toujours mieux maitriser son réseau, le chef des travaux et l'administrateur réseau du Lycée Albert Camus, avaient pour projet de monter une station de supervision Nagios. Or, par manque de temps, ils repoussaient sans cesse cette tâche 2, me confiant pour le coup cette mission. D'autres projets se greffaient à ce travail. L'achat de nouveaux portables par l'établissement nécessitait une configuration complète. Des images de machines existantes ont permis de ghoster ces machines et faciliter le travail. Il a fallu également intégrer un nouveau switch dans une baie de brassage dans le LT5. Pour le reste, m'incombait l'observation et l'aide au travail quotidien d'administration. Pour résumer : Installation d'une plateforme de supervision Nagios Réflexion sur la meilleure solution de supervision : choix de FAN3 Paramétrage du serveur CentOS Audit du matériel à superviser Installation de l'agent SNMP sur le matériel manageable Inventaire du matériel, création administrateur Installation client NSCA sur serveurs Win XP Installation des plugins et réécriture Cartographie avec Nagvis Ghost Construction d'un master Réplication de l'image sur les autres portables Implémentation switch Cisco dans une pile du LT 5 Paramétrage du switch 2960 Paramétrage du switch 3750 Brassage 2 Notons que la Région prévoit d'ici quelques années l'implantation de Nagios dans tous les lycées. 3 Full Automated Nagios 17

2.2 - Contraintes Les deux principales contraintes si l'on évoque l'installation de Nagios, furent tout d'abord d'ordre temporel mais aussi dans une moindre mesure d'ordre technique. En effet, 2 mois s'avèrent un cours laps de temps si l'on veut développer une solution de supervision optimale, à savoir renseigner toutes les machines du réseau et en remonter des informations fiables et utiles. Relation de cause à effet, l'ajout de ces services - autrement appelés plugins demande une certaine maîtrise de la programmation souvent en perl, et l'on ne s'improvise programmeur en quelques semaines. Par conséquent il a fallu cibler les besoins du lycée avec des réponses efficientes, au détriment de services, certes utiles, mais trop difficiles à mettre en place. 2.3 - Planning Il serait superflu voire abscons d'éditer un diagramme de Gantt (par exemple) tant ma mission principale (Nagios) m'a occupé durant 2 mois et que les tâches subalternes ont «émaillé» le reste du stage. Effectivement, ces autres travaux n'étaient pas planifiés (dépendant aussi des occupations de l'administrateur réseau) et s'effectuaient souvent en réponse aux problèmes du réseau. 2.4 Livrables Au bout des 8 semaines : Un serveur de l'administrateur. supervision Nagios fonctionnel avec notification pour Une cartographie à plusieurs niveaux de lecture pour surveiller en tant réel l'état du réseau. Des portables en état de marche avec une image standard. L'ajout d'un nouveau switch dans une pile (Local Technique 5). 18

3 MISE EN PLACE D'UN SERVEUR NAGIOS 3.1 Présentation de Nagios Un des besoins les plus exprimé en matière de gestion de réseau est la surveillance des services. En effet, il ne suffit pas qu'un serveur tourne pour assurer automatiquement que les services qu'il supporte sont actifs. C'est donc dans une démarche de qualité de service, et de manière à pouvoir réagir dans les plus brefs délais, que de nombreuses solutions de supervision de services ont vu le jour (HP Openview, Netview, Loriot pro...) La difficulté principale dans la surveillance des services est la grande disparité des protocoles sur lesquelles reposent les différents services, puisqu'il existe quasiment un protocole par service. Dans ces conditions, il devient très difficile de présenter un outil permettant d'en comprendre la totalité, surtout lorsque cette difficulté se rajoute aux problématiques de la supervision des entités réseaux. C'est dans cette optique que Nagios, système de supervision de services, a été développé pour fonctionner sur un système d'exploitation Linux ou éventuellement Unix avec un concept assez simple : les services de surveillance lancent par intermittence des contrôles de services et de stations que l'on peut préalablement définir grâce à des plugins externes (nommés pour l'occasion «greffon») et retournent l'information à Nagios. A tout moment, si un problème est rencontré, les services peuvent envoyer des avertissements aux administrateurs du réseau de différentes manières (courriers électroniques, messages instantanés, SMS, etc...). Une interface web permet de consulter très facilement de nombreuses informations telles que l'état courant du réseau, l'historique des événements ainsi que des comptes-rendus d'activité. Nagios possède de nombreuses fonctionnalités dont voici les principales : Surveillance des services réseaux (SMTP, POP3, http, NNTP, PING, etc). Surveillances des ressources des stations (serveurs, routeurs) comme la charge du processeur, des informations sur l'utilisation des disques durs, les processus en cours, les fichiers de log, etc... Surveillance des données environnementales comme par exemple la température. Possibilité de définir des groupes de contacts à joindre en cas d'apparition de problèmes via différents médiums (le courrier électronique, les messages instantanés). Sectorisation des groupes de contacts par rapport aux problèmes rencontrés et définition de procédures échelonnables. Définition de gestionnaires d'événements qui peuvent être exécutés afin d'automatiser la résolution de problèmes rencontrés. L'interface de commande externe permet des modifications à la volée du comportement de la surveillance et du retour d'informations à travers l'utilisation de gestionnaires d'évènements, d'une interface web et d'applications tierces. L'historique de l'état du réseau est conservé même après un redémarrage à froid. 19

Possibilité de planifier des périodes d'inactivité des contrôles pour correspondre à une période d'inactivité physique d'un serveur. Un schéma simple de gestion des autorisations permet de gérer facilement les droits de consultation des informations par les utilisateurs à travers un navigateur. Afin de simplifier l utilisation de Nagios, il existe un module de surveillance et de supervision réseau appelé Centreon, qui présente une interface web (cf. serveur web Apache) moins austère et plus ergonomique que celle de Nagios. D autres outils complètent l utilisation de Nagios : Nagvis pour réaliser une cartographie en temps réel et Nareto pour le reporting et la gestion de compte limité. Si l on résume cette introduction, on devine qu installer Nagios relève du parcours du combattant pour l utilisateur Linux lambda. L installation de cet outil de supervision comprend les pré-requis de la plate-forme que l on nomme LAMP (Linux, Apache, MySQL, PHP) avec les logiciels indispensables au lancement de l application, soit du pré-requis standard, et des librairies. Ci dessous, tous les éléments que contient Nagios : 20

Apache / httpd Serveur Web permettant l'affichage de l'interface de configuration Nagios MySQL 4.1.x / 5.x MySQL est un serveur de base de données permettant le stockage et l accès aux données. PHP 5.x PHP va permettre l affichage graphique des pages web. GD GD-devel RRDTool 1.2.x Net-SNMP GD est le nom d'une bibliothèque pour PHP servant à manipuler des images dynamiquement. RRDTool va créer et stocker les données permettant l affichage de graph (création de graph) Net-SNMP quant à lui permet de faire des requêtes SNMP aux différents agents que l on veut superviser. Make Gcc sudo Va permettre la compilation et l installation des programmes. Postfix Serveur de messagerie permettant la notification des alertes. Centreon Logiciel de supervision (Reporting, Monitoring, graph) Nagvis Plugin de cartographie Nareto Reporting et gestion de compte limité Pack de plugins Scripts permettant l'interrogation active des éléments 21

Un schéma qui nous montre l imbrication des différents logiciels (Nagios, Centreon autrefois appelé Oreon, et Nareto) dans le processus de supervision. 3.2 - Le choix de FAN 1.0 (Full Automated Nagios) Une équipe d informaticiens français développent un projet Nagios «simplifié» ou du moins qui évite les démarches fastidieuses d installation. Ce projet a pour nom FAN (Full automated Nagios). Son installation nécessite un serveur dédié, pour lequel on lance une installation globale avec tous les éléments précités (directement intégrés sur le cd d installation). Le serveur a pour système d exploitation CentOS. Nous avons opté pour cette solution qui a le mérite d éviter un trop grand nombre d erreurs dans la mise en place de Nagios. 22

FAN est gratuit et open source, un de ses avantages non négligeables. Le but de FAN est de fournir une installation incluant les outils les plus utilisés de la communauté Nagios. C'est un CDRom distribué au format ISO, donc très facile à installer. FAN est installé sur CentOS avec tous ses packages. Outils intégrés au projet : Nagios : coeur de la supervision Nagios plugins : plugins pour superviser différents équipements Centreon : interface web pour Nagios NagVis : cartographie avancée (géographique, fonctionnelle, par services...) NDOUtils : stocke les données Nagios dans une base MySQL NaReTo (Nagios Reporting Tools) : outil de reporting (rapport de disponibilité) On trouve l iso à cette adresse : http://fannagioscd.sourceforge.net NB : le processus de supervision est indissociable du protocole SNMP sur lequel il repose. Les détails quant au fonctionnement de ce protocole sont détaillés en annexes p... 3.3 Installation de FAN Son installation se fait automatiquement en bootant sur le cd. 23

Une fois CentOS et Nagios installés, le système redémarre. On nous propose de renseigner un certain nombre d informations, qu il ne faut pas négliger car très utiles pour la suite (notamment l authentification!) : 24

3.3.1 Configuration de l'interface réseau Se logger en tant que super utilisateur «root» #cd /etc/sysconfig/networking/devices #vi ifcfg-eth0 Désormais notre serveur est pourvu d'une adresse IP dans le VLAN Serveur. Afin d'activer cette nouvelle configuration, désactiver puis réactiver la carte réseau : #ifdown eth0 #ifup eth0 3.3.2 Sauvegarder/restaurer la configuration réseau Sauvegarde : # system-config-network-cmd -e > /tmp/network-config Restauration : # system-config-network-cmd -i -c -f /tmp/network-config 25

3.3.3 Le DNS Pour accéder à internet depuis notre serveur, il est indispensable de spécifier l adresse du serveur DNS. # vi /etc/resolv.conf nameserver 172.17.212.1 3.4 Nagios sur l'interface web Une fois toutes ces informations précisées, il est temps de voir à quoi ressemble notre interface web pour configurer plus facilement Nagios. Pour cela : http://172.17.213.10 (ip du serveur) sur n importe quel navigateur web. Cette interface nous laisse le choix d accéder soit à Nagios (le noyau), soit Centreon (Nagios ergonomique), Nagvis (cartographie) ou Nareto (outil de reporting). Par défaut le login et le mot de passe : «nagiosadmin». 26

Bien sûr dans un souci de sécurité, il faudra par la suite modifier ce critère en créant un (ou plusieurs) administrateurs Nagios. Interface d'accueil de Centreon Interface de Nareto 27

Nagvis module de cartographie 3.5 Configuration de Centreon Plus ergonomique et lisible, il est à bien des égards le complément parfait de Nagios. Grâce à Centreon, nous allons configurer graphiquement le noyau Nagios. Il est possible de réaliser la configuration directement par le biais du shell Nagios. Les commandes seront expliquées dans les annexes. Attention toutes les manipulations ou configurations effectuées sous Centreon ne sont pas intégrées par défaut directement dans Nagios. Il faut bien s'assurer que les fichiers générés sous Centreon soient déplacés vers le dossier " /usr/etc/nagios/ " et que le service de Nagios soit bien redémarré. Pour se faire, il faut suivre la manipulation suivante à chaque modification sous Centreon: 28

Dans ce menu, il faudra nous assurer que les cases " Déplacer les fichiers" et " Recharger Nagios " sont cochées. C'est ce qui rend fonctionnel toutes les manipulations que nous effectuerons sous Centreon afin qu'elles fonctionnent sous Nagios. Pour ajouter des machines, il faut tout d'abord créer dans l'ordre, des groupes d'utilisateurs, puis des utilisateurs, des groupes de machine, et enfin des machines. En effet cet ordre est très important car les machines dépendent d'un groupe de machine, et d'un groupe d'utilisateur. De plus le groupe d'utilisateur doit disposer d'au moins un utilisateur. On verra donc dans cette partie comment ajouter des composantes réseau et les superviser proprement. 3.5.1 Création d'un groupe d'utilisateurs Il faut d'abord créer un groupe d'utilisateur qui accueillera des utilisateurs propres au groupe. Pour cela, dans l'onglet de configuration, cliquer sur le sous onglet " Utilisateurs ", pour enfin voir un menu sur la gauche nous indiquant ce que nous voulons faire. Fiche d'ajout d'un groupe d'utilisateur : 29

Les champs à renseigner pour créer un groupe d'utilisateurs sont peu nombreux; il nous suffit de donner un nom et une description du groupe. 3.5.2 Création d'un utilisateur Une fois notre groupe d'utilisateurs créé, il faut y ajouter des utilisateurs Chaque utilisateur créé est utilisable depuis Nagios, Centreon, et NaReTo, il convient donc de le créer une seule fois. Pour cela, la démarche est assez similaire à la création du groupe d'utilisateurs. Dans le même onglet que la création des " Groupes Utilisateurs " il faut sélectionner " Utilisateurs " dans le menu de gauche et là on choisit de créer et de modifier tous les utilisateurs du serveur de supervision. Voici comment se présente la fiche " Utilisateur " à remplir lorsque nous souhaitons en créer un ou en modifier un: 30

Il est essentiel pour un nouvel utilisateur de renseigner son nom, son alias, son adresse mail (pour la future notification), le groupe auquel il fait partie (ici, nous pouvons en spécifier un directement car nous avons pris soin de le créer avant), puis s'il possède le droit d'accéder à l'interface Web, son mot de passe, sa langue, le format du mail, s'il est considéré comme un administrateur et s'il souhaite s'authentifier uniquement en local ou pas. Pour finir il faut spécifier quels types de notifications l'utilisateur souhaite recevoir. Dans le cas du lycée Camus, seuls les notifications sur les services pour un seuil «warning» et «critical» ont été activées, et ce, dans le but d'éviter une profusion de mails. 3.5.3 - Création d un groupe de machines Afin de pouvoir rajouter une machine dans le serveur de supervision, il faut ajouter tout d'abord comme pour les utilisateurs, un groupe, en l'occurrence un groupe de machine ici. Dans l'onglet "Configuration " comme précédemment, on clique sur " Hosts" puis dans le menu de gauche, sur " HostGroups ". Tout comme un groupe d'utilisateur, les champs à spécifier lors de la création d'un groupement de machine requiert uniquement un nom, un alias, on peut également spécifier une communauté SNMP. Comme pour l'ajout des machines ou «host», la spécification de la communauté SNMP et de la version du protocole s'avère capitale. Pour une communication réussie entre Nagios et les appareils manageables, ces informations doivent être identiques. Ici la communauté se nomme «public» et la version SNMP utilisée est la 1. La communauté est la seule sécurité du protocole SNMP, «public» est son nom par défaut mais on peut lui en assigner un autre. Toutefois, et c'est là la faiblesse du protocole, il faut savoir que ce «mot de passe» transite en clair sur le réseau. Un défaut que la version 3 tente de corriger (version qui, malheureusement, n'est pas supportée par tous les appareils et qui n'est pas standardisée). 31

La création d'un groupe d'hôtes 3.5.4 - Ajout des machines Maintenant que les utilisateurs et les groupement de machine sont créés, il faut renseigner les «host», c'est à dire les machines que nous voulons superviser. La méthode est sensiblement similaire aux étapes précédentes, mais il est conseiller afin d'éviter du travail superflu, de créer «des templates», des modèles de machines qui renseignent à la fois la communauté SNMP, les vérifications et les notifications. 32

Adapté au contexte du Lycée Camus, cela donne 5 modèles : les serveurs, les périphériques d'impression, les switchs, les bornes WIFI et les onduleurs : 3.6 - Ajout du service SNMP4 Le protocole SNMP est le cœur du dispositif de supervision, c'est lui qui va nous permettre d'interroger nos machines. C'est pourquoi il est indispensable d'installer le service associé sur le matériel à superviser. 3.6.1 Windows XP server 2003 Première étape, les serveurs. Dans l ajout/suppression de programmes du panneau de configuration, on clique sur, «ajout de composant windows», «Outils de gestion et d analyse», «détails» et l on installe l agent SNMP. 4 Confère page 13 en annexes 33

Une fois installé, menu contextuel sur le poste de travail puis «gérer». Dans «Servivces», on s'aperçoit de l'ajout du service SNMP. 34

Configuration de l'agent SNMP : On clique sur l'onglet «Agent». Activer l'ensemble des «services» et renseigner selon la configuration les champs : «Contact» et «Emplacement». Cliquer sur l'onglet «Sécurité» Il est fortement conseiller de n'autoriser que certaines machines a réaliser des requêtes SNMP sur la machine Windows. Ainsi on coche l'option : «Accepter les paquets SNMP provenant de ces hôtes» en précisant les serveurs qui pourront réaliser les requêtes. 35

36

3.6.2 Switchs Cisco 2960 et 3750 3.6.2.1 Hyperterminal Pour accéder à l'interface des switchs Cisco, utiliser «Hyper Terminal». > enable # configure terminal # snmp-server community public RO # exit # copy run start # show running-config On précise bien la communauté qui doit être la même que sur le NMS (Network Manager System) Nagios. On rajoute «RO» soit «Read only» (on ne pourra que lire les informations remontées par le SNMP). On enregistre la nouvelle configuration et pour être sûr que les changements ont été pris en compte et on vérifie la nouvelle configuration. 3.6.2.2 Interface graphique CNA L'autre moyen d'installer le service SNMP sur les switch, consiste à utiliser l'interface graphique CNA (Cisco Network Assistant) qui dresse un listing complet des équipements Cisco et qui permet une configuration à distance. 37

Dans le menu de droite, on choisit «configurer», puis «snmp». On précise la chaîne de communauté (dont on a souligné l'importance). 38

3.6.3 Bornes WIFI Cisco Aironet 1130AG Les bornes WIFI se configurent par une interface web. Pour y accéder, on indique l'adresse IP dans la barre de navigation du navigateur. On précise bien «enable» et surtout le nom de la communauté : «public». 39

3.6.4 Les périphériques d'impression Le lycée disposant d'un parc hétéroclite de périphériques d'impression, intéressons nous au modèle majoritaire : la HP LaserJet 1320. On accède à l'interface de configuration par le web (adresse IP) en mentionnant un login et un mot de passe. Indiquer «enable» et le nom de la communauté. 3.6.5 Les onduleurs Le local technique 1 dispose de plusieurs onduleurs capables d'assurer une autonomie électrique de 10 minutes pour l'ensemble du réseau. A l'instar du reste du matériel, ils possèdent une adresse IP et le service SNMP est automatiquement démarré. Pour s'en assurer, il suffit de se rendre sur l'interface web d'une des machines. 40

3.7 Installation de services supplémentaires 3.7.1 NS Client ++ L'agent SNMP relève automatiquement quelques informations sur le matériel manageable. Pour s'en rendre compte, se rendre dans Centreon «fiches d'identité». Pour chaque machine répertoriée, une fiche d'identité qui comprend les informations relevées par le protocole SNMP. 41

Pour aller plus loin et obtenir des graphiques des états, l'installation sur les erveurs Windows de NSClient ++ s 'avére indispensable. Tout comme NRPE pour Linux, NS Client offre plusieurs services (sous l appellation Check_NT) : charge du CPU, espace disque, trafic, RAM disponible. Pour vérifier s il est bien installé, par le shell : #cd /usr/lib/nagios/plugins #ls check_nt #check_nt 42

Fonctionnement schématique de NSClient ++ L'agent sur le serveur Windows remonte alors les informations demandées dans le fichier service.cfg (l'utilisation de cet agent se fait de manière similaire sur Nagios pur ou sur Centreon). Dans un premier temps, on télécharge le service : http://sourceforge.net/projects/nscplus Ensuite il faut: Dézipper le client dans le répertoire c:\nsclient Ouvrir une commande DOS (cmd.exe) Puis entrer les commandes suivantes: cd \nsclient nsclient++ /install Ouvrir le gestionnaire des services et vérifier que le service est autorisé à Interagir avec le bureau : Editer le fichier c:\nsclient\nsc.ini (cf. annexes p.21) La dernière étape consiste à vérifier que NS Client ++ est bien installé sur Windows, pour que nous puissions démarrer les services associés : #cd /usr/lib/nagios/plugins #./check_nt H 172.12.213.10 p12489 v CLIENTVERSION s None #NSClient++ 0.3.5.2 Notons au passage qu il faut impérativement préciser le port qui s'adresse à NS Client (ici 12489), sinon Nagios indique une connexion refusée. Tout est désormais installé pour profiter des services de Nagios. 43

Dans le menu contextuel du poste de travail, «gérer», on liste les services pour s 'apercevoir de la présence de NSClient ++. Il suffit ensuite de le démarrer : 44

3.7.2 Services pour serveurs HP et Dell Pour pousser l'analyse et la supervision du parc, les machines HP et Dell proposent l'installation d'agents : Insight Managment agent pour HP et Open Manager pour HP. Ces derniers permettent au NMS de connaître les différentes températures des composants, notamment. Des plugins leur sont associés, c'est le de «Check SNMP CPQ Health» pour HP. Après discussion avec mon tuteur, la décision a été prise de ne pas installer ces agents puisque leur installation nécessitait entre autre un reboot du serveur, et que les informations remontées n'étaient pas de la plus haute importance. 3.8 Ajout des plugins 3.8.1 - Généralités Les services, condition sine qua non du bon fonctionnement de Nagios, sont le cœur de la supervision. Ces scripts interrogent de façon active les matériels où l'on a préalablement installé l'agent snmp.5 De façon régulière le serveur Nagios va recevoir les informations demandées. 5 Voir annexes pour une explication plus approfondie sur les traps SNMP p.13 45

Fonctionnement schématique d'un plugin Étant des scripts (perl, C ou autres langages), les plugins6 sont d'une grande malléabilité, ils permettent de gérer les seuils d'alerte pour les notifications à l'administrateur. FAN dispose d'un package standard de plugins les plus utilisés : espace disque, RAM, CPU, trafic... Néanmoins pour plus de données, il est indispensable de rajouter manuellement des plugins créés par des utilisateurs (à moins de les écrire). Chemin du répertoire de plugins : # cd /usr/share/lib/nagios/plugins Grâce à l'éditeur VI (et accessoirement Putty pour le copier/coller), on créée les nouveaux plugins, puis on le rend exécutable en modifiant les droits : # chmod 777 «nom_du_plugin» 6 Greffons en Français 46

Répertoire contenant les plugins dans Nagios 3.8.2 Les plugins dans Centreon Une fois nos nouveaux services intégrés à Nagios, nous les retrouvons sur l'interface de Centreon. Comme pour les machines, les services s'ajoutent en cliquant sur «Configuration» et sur le sous onglet " Services ". La fiche descriptive d'un service se présente sous la forme suivante: 47

Plusieurs choses importantes : l ajout du service, les niveaux d alerte, et les machines auxquelles on assigne ce service (le nom des hosts ou des groupes). «Configuration», «Services», «Ajouter» puis «relations». Une fois ajoutées, et ceci est valable pour toutes les modifications sur Centreon, il faut exporter les nouvelles données sur Nagios et redémarrer. 48

Pour autant, il faut adapter les plugins en y renseignant un certain nombre d'arguments. L'ajout d'un service («Commande de check» dans «Ajout de service») ne se fait pas automatiquement. La saisie des scripts se fait dans «Configuration» sous onglet «Commandes» : En cliquant sur un de ces services, on accède au script. Pour faciliter la procédure, Nagios utilise des alias (par exemple $USER1$ correspond au chemin des plugins «cd /usr/lib/nagios/plugins/» et $HOSTADDRESS$ s 'associe aux adresses IP rentrées lors de la création des Hôtes). 49

3.8.4 Test des plugins Pour connaître les différents arguments à rentrer pour une commande, il est conseiller de se logger sur Nagios en tant qu'utilisateur et d'utiliser l'argument «-h» synonyme de fichier d'aide. Précisons d'emblée qu'il faut tester ces plugins en tant qu'user lambda car une telle manœuvre sous root peut entraîner un dysfonctionnement de Nagios (la commande exécutée se place dans les fichiers temporaires cd /temp, rendant son exécution ultérieure impossible, l'utilisateur de Centreon ne disposant pas des droits pour exécuter un fichier «.tmp»). Exemple : On passe en utilisateur Nagios et l'on précise «-h» à la fin de la commande. Toute la syntaxe s'affiche alors. 50

Ensuite on peut l'exécuter sous Nagios afin d'être sûr de son efficacité. Une fois ces conditions et précautions remplies, on insère le script exact dans Centréon pour un résultat graphique. 3.8.3 Liste des services installés. Voici un tableau récapitulatif des services installés sur les différents groupes de machines : NOM MATERIEL SERVICES Switchs de niveau 2 (Cisco 2960) Ping Mémoire Température Environnement général Switchs de niveau 3 (Cisco 3750) Ping Mémoire Température Environnement général Trafic sur ports identifiés (Serveurs, SLIS, Amon, R2D2, Coruscant, C6PO, Endor, 4AC44100, Tatooine) Serveurs Dell et HP Ping Charge du CPU RAM Espace disque Service DNS Bornes Wifi Ping Trafic Mémoire Périphériques d'impression Ping Compteur Niveau du toner 51

Photocopieurs Ping Compteur Niveau du toner Statut d'impression Statut ethernet Statut IEEE 1284 Statut USB Statut fax Onduleurs Ping Charge électrique Plus d'informations dans les annexes p.... quant aux scripts utilisés et leur syntaxe. Deux services s'ajoutent aux précédents : un ping sur Internet (sur la base d'un traceroute, la deuxième adresse IP après le routeur Alcatel Gigalis) et sur le routeur Alcatel Gigalis7. 3.9 Supervision et analyse des résultats 3.9.1 Centreon Centreon propose des outils qui nous permettent de visualiser les informations. 3.9.1.1 Les graphiques Dans «Vues d oreon», on choisit un «host» qui graphe l évolution des caractéristiques observées (cpu, disque, traffic ). 7 Gigalis est une entreprise travaillant avec la Région, équipant entre autres les lycées et les Hôpitaux. Leurs routeurs utilisent les infrastructures Numéricâble qui reposent sur la fibre optique. 52

Cet outil analyse les résultats sur différentes échelles temporelles, quotidiennement, hebdomadairement, mensuellement et annuellement. 53

3.9.1.2 Le reporting Outre la possibilité de grapher nos résultats, Centreon propose un reporting de la machine au travers d'une vue globale de son évolution agrémentée de diagrammes. On le trouve dans le menu «Reporting». 54

3.9.1.3 Le monitoring Il précise l'état des différents services: Notons que le sous menu «Gestionnaire d'événements» dresse un listing de tous les logs. 55

3.9.2 Nagvis Nagvis est un plugin de cartographie basé sur le plugin NDO (Nagios Data Out) qui exporte les données dans la base de données Nagios. Ce plugin permet différents niveaux de lecture (possibilité de liens html) qui donne une vision synthétique de l'état du réseau. Loin d'avoir les fonctionnalités d'un logiciel de dessin du type Gimp ou Photoshop, il est préférable d'utiliser un logiciel tel que Microsoft Visio pour définir le fond des cartes. Ce fond défini, on l'importe dans Nagvis au format.png, avant dajouterles icônes symbolisant les hôtes ou les services. Exemple pour la réalisation d'une carte (menu "edit curent map"), on indique les coordonnées pour le placement de l'icône, la machine (et le service éventuellement), ainsi qu'un lien (vers une autre carte dans le cas présent). Pour ce faire, clic droit sur la page et "add object" "icône". Voici un exemple d'une carte réalisée avec Nagvis et Microsoft Visio : 56

Un clic sur un symbole amène à une autre carte, exemple pour le «Groupe Wifi» : Il suffit de choisir une des bornes pour qu'une autre carte nous renseigne sur ses services : 57

Enfin grâce à un autre lien html, chaque service renvoie au graphique associé : On peut visualiser le reste des cartes en annexes. 58

3.9.3 Notification par email Le serveur de messagerie Postfix, installé automatiquement, nous alerte des problèmes du réseau. Lors de la création des utilisateurs donc des administrateurs sur Centreon, on précise une adresse mail ainsi que les seuils d'alerte. Nagios demande un travail en amont important où l on doit s'interroger sur le degré de criticité entraînant la notification et du niveau d'importance des services. Ce travail s'effectue au fur et à mesure, en fonction du nombre de mail reçus. Si l'on demande des notifications pour tous les états (c'est à dire «warning», unknown», «critical», «recovery» et «flapping») à des intervales trop rapprochés, on sature rapidement la boîte mail et l'on ne distingue plus les problèmes importants de ceux plus bénins. En effet certains appareils sont plus indispensables que d'autres. Un serveur mérite une attention plus marquée qu'une imprimante. Il faut donc jauger en permanence pour trouver un bon équilibre. Ci-dessus, la spécification du mail pour l'administrateur lors de sa création. 59

L'administrateur peut être alerté par mail, sms... Il convient d'affiner les états d'alerte. Par défaut, Nagios dispose d'une boîte mail : # cd /var/spool/mail/root/ Après création d'une adresse pour l'administrateur Nagios (nagios.camus@gmail.com), un problème est survenu par rapport au protocole SMTP implémenté dans Postfix. Celui-ci se trouvait bloqué et il a fallu lui indiquer un relai, en modifiant le fichier de configuration de Postfix : # cd /etc/postfix/main.cfg/ # vi relayhost relayhost = 172.17.254.252 L'adresse IP correspond au SLIS à la fois Firewall et relai SMTP. Ce problème résolu, on a pu sans problème accéder à la boîte : 60

61

3.10 Backup et restauration de Nagios 3.10.1 Backup Pour sauvegarder les données du serveur Nagios, il faut pour ça écrire un script qui va à la fois prendre en compte les bases de données et aussi les fichiers de configuration. A la racine de Nagios, avec «vi» on créée ce fichier avec l'extension shell «.sh» puis on le rend exécutable : # chmod 777 backup.sh Le script backup.sh : 62

On a préalablement installé un fichier de partage sur le serveur c6po (172.17.212.2, nécessite aussi le login et mot de passe de connexion), il aura donc fallu monter une image («mount») sur le serveur Nagios et y déplacer le fichier de sauvegarde compressé : Pour accéder au partage réseau Windows on installe Samba : # yum install samba samba-common samba-client samba-swat Après avoir exécuté le script :./backup.sh, on retrouve l'archive sur le serveur : 3.10.2 Automatisation du backup Dans un souci de sécurité, il est très utile de définir une tâche planifiée pour la sauvegarde. Pour linux une commande les définit : «crontab». En entrant : # crontab -l On liste les tâches existantes. Pour en créer une : # crontab -e # 00 15 * * 6 /root/./backup.sh (mm hh jj MMM JJJ tâche > log) 63

3.10.3 Restauration La restauration se fera grâce à un script à exécuter à la racine de Nagios : echo "--transfert depuis le serveur de backup--" mkdir -p /mnt/windows mount -t cifs -o username=nagios,password=zocnitro //172.17.212.2/sauv_nagios /mnt/windows cp /mnt/windows/nagios_save.tar.gz./ # mkdir : création d'un répertoire, puis d'un point de montage (cf. backup) #on copie l'archive (cp) echo "--dezippe de l'archive avec les meme droits--" tar -p xvzf nagios_save.tar.gz umount /mnt/windows # -p = mêmes droits que précédemment echo "--Création des tables sql--" mysql -u root -e "create database centreon"; mysql -u root -e "create database mysql"; mysql -u root -e "create database centreon_cds"; mysql -u root -e "create database nagios"; mysql -u root -e "create database test"; mysql -u root -e "create database nareto"; echo "--Remplissage de la base--" mysql -u root mysql < mysql_bkp.sql mysql -u root centreon < centreon_bkp.sql mysql -u root centreon_cds < centreon_cds _bkp.sql mysql -u root nagios < nagios_bkp.sql mysql -u root nareto < nareto_bkp.sql mysql -u root test < test_bkp.sql echo "--Delete des fichiers temporaires--" rm./mysql_bkp.sql./centreon_bkp.sql./centreon_cds_bkp.sql./nareto_bkp.sql./nagios_bkp_sql./test_bkp_sql echo "--suppression de l'archive--" rm./nagios_save.tar.gz echo "--transfert vers serveur de backup--" 64

3.11 Migration de FAN 1 vers la version 1.1 Nagios est une communauté très active et, qui plus est, un projet français (documentation et forums abondants). FAN, lui aussi français, relève de l'initiative d'une petite équipe réunie autour de Cédric Temple. Sur son blog, on trouve les nouveautés inhérentes à FAN. Le 5 janvier 2009 était mis en ligne la version 1.1 de FAN en attendant une future version 2. Pour updater FAN 1 rien de plus simple qu'une ligne de commande : # yum update Il faut simplement modifier le fichier.ini de Nagvis pour que celui-ci fonctionne correctement : # /etc/nagios/nagvis.ini.php Aux lignes 105 et 107, décommenter : dbuser="root" dbpass="" Donc rien de plus à spécifier si ce n'est l'accès au dokuwiki : # yum install dokuwiki Cette nouvelle version corrige quelques bug et met surtout à jour la version de Nagvis vers la 1.3.2. L'interface de démarrage web change également : 65

4 GHOST D'UNE MACHINE La gestion du parc informatique nécessite un entretien permanent et cela passe par une mise à jour régulière des postes. Pour cela l'administrateur dispose de postes «Master» qu'il agrémente régulièrement de nouveaux logiciels (parfois à la demande des professeurs) et pour lesquels il effectue des mises à jour de Windows. Au lieu d'installer manuellement une copie de ce «Master» sur chaque machine, le logiciel «Ghost Symantec» permet la réplication à grande échelle des ghosts par l'intermédiaire du réseau local. Pour cela les machines doivent juste appartenir au domaine du lycée (ici «dcamus.local»). Voilà les principales étapes d'un ghost : 66

4.1 Installation du client distant Interface du logiciel : Pour que le ghost s'effectue normalement, la machine distante a besoin d'un client ghost. Avant cela, on a pris soin de rentrer la machine dans le domaine et de lui donner un nom. Pour notre exemple, il s'agit d'installer une image sur le poste C106A02, qui intégrera une armoire multimédia destinée aux intervenants extérieurs voulant profiter du WIFI. Dans «Outils», on choisit «installation du client distant» en précisant le nom de la machine et le login et mot de passe de l'administrateur: 67

Il n'y a plus qu'a cliquer sur le bouton «installer» 68

4.2 Configuration de la machine à ghoster Dans «Ressources de configuration» puis «configuration», on copie une machine existante (ex : la C106A01) puis on renseigne le nom de l'ordinateur et son appartenance au domaine «dcamus.local». Aucun autre champ n'est à renseigner (TCP/IP) car un serveur DHCP s 'occupe de l'adressage dynamique. 69

4.3 - Reconstruction de la machine On copie d'abord une tâche existante que l'on renomme ensuite : Dans les propriété, on coche «cloner», «configurer» et «exécuter»: 70

Dans «clôner», on choisit la partition de destination et surtout on indique l'utilisation du Ghostwalker qui va attribuer un SID à la machine distante, la différenciant des autres PC. Dans la configuration on associe la configuration précédemment créée à la tâche à effectuer (glisser/déposer). 71

Une fois le ghost terminé, s'exécutera ce script, il permettra d'installer l'antivirus automatiquement: Notre nouvelle tâche définie, il ne reste plus qu'à faire un clic-droit et l'exécuter : 72

La tâche s'exécute et l'on peut voir son avancement sur le poste distant : 73

5 INTEGRATION D'UN SWITCH CISCO A UNE BAIE DE BRASSAGE Le but de l'opération consistait à intégrer un switch Cisco 2960 à la baie de brassage du local technique 5, offrant pour l'occasion de nouveaux ports. Tout d'abord, il fallait configurer le switch à intégrer. 5.1 Switch Cisco 2960 En liaison série, par le biais d'un hyper terminal en ssh : switch > en switch # conf t switch (config) # cluster-commander 0017.95eb.9d00 member 8 name LT5 vlan 1 La commande «cluster-commander» nous permet d'intégrer le nouveau switch. Ensuite, préciser l'adresse mac du maître de pile, le nom du nouveau membre,du cluster et le Vlan. switch (config) # interface gigabit Ethernet 0/1 switch (config-if) # switchport mode trunk switch (config-if) # spanning-tree link-type point to point On choisit l'interface à configurer qu'on passe en mode «trunk», c'est à dire qu'on autorise plusieurs Vlan sur le même port. Le protocole «spanning-tree» va quant à lui permettre la redondance des données. switch (config-if) # exit switch # conf t switch (config) # interface vlan 1 switch (config) # ipaddress 10.201.194.58 255.255.0.0 74

5.2 Configuration du maître de pile Une fois le switch configuré, il reste à informer le maître de pile de cet ajout. switch > en switch # show cluster candidates details 001d.a1df.2c80 switch # conf t switch (config) # cluster member 8 mac-adress 001d.a1df.2c80 switch (config) # exit switch # copy run start 6 INTEGRATION DE NOUVEAUX ELEVES DANS ACTIVE DIRECTORY Cette opération dépend non pas d'active Directory comme on pourrait le croire mais d'un logiciel appartenant à l'education Nationale : IACA. Ce logiciel contient la base de données du personnel des étudiants. Sur le serveur R2D2, il faut d'abord modifier la liste des élèves, pour y incorporer les 75

nouveaux. Dans un fichier.csv déjà existant on rajoute les noms. Puis avec «sconetmodif.exe» on importe ce fichier. On clique sur «rapprocher en fonction de la date de naissance pour voir apparaître nos 3 nouveaux élèves. On clique sur «Effectuer les changements dans le serveur» pour mettre à jour IACA. Le logiciel IACA est essentiel puisque c'est lui qui donne aux utilisateurs un login et un mot de passe pour accéder au réseau. Chaque compte créé se verra automatiquement exporté vers Active Directory. Puis dans IACA après la mise à jour, on importe les nouveaux profils : «fichier», «importer les utilisateurs». 76

L'élève est bien créé, il faut désormais lui imposer le profil par défaut qui se trouve dans le NETLOGON. Ainsi IACA créée le profil personnel sur le serveur R2D2 : «fichier», «mettre à jour». Les nouveaux utilisateurs ont bien été ajoutés dans Active Directory : 77

7 CREATION D'UNE DMZ POUR LE SERVEUR 4AC44100 Le serveur susnommé se trouvait jusqu'à présent dans le LAN du Lycée, joignable depuis l'extérieur pour que les professeurs puissent utiliser leurs ressources. Une faille de sécurité regrettable, dont la correction passait par la mise en place d'une DMZ, isolant le serveur du LAN. Le bâtiment tertiaire dispose à la fois de son modem et de son serveur SLIS (firewall et proxy du Rectorat). Voilà la topologie imaginée : 78

Quatre étapes de configuration : Le switch de niveau 3 Cisco 3750 du LT 5 Le SLIS Le routeur (rajouté pour l'occasion) Le serveur (adressage) 7.1 Le Switch Il se situe entre le réseau local et le serveur SLIS. 79

Avec CNA : Pour passer le SLIS on indique sa patte LAN (172.31.0.254) et l'adressage derrière (172.30.0.0). 7.2 Le SLIS 80

Le SLIS étant un serveur Linux, on utilise la commande : # route add -net @IP netmask @IP dev «interface» On indique la patte du modem 172.20.3.253 et l'adressage 10.0.0.0 7.3 Le routeur De la même façon on modifie la table de routage du routeur par son interface web,8 en lui précisant les pattes WAN 10.0.0.10 du SLIS et LAN du modem 172.20.3.253. 7.4 Le serveur 4AC44100 On lui applique une nouvelle adresse : 172.30.0.1 et la passerelle DMZ du routeur : 172.30.0.15. Malgré les règles de routage qui semblaient bonnes après vérification, il était impossible de pinger la patte WAN du SLIS. Le SLIS étant à la base une machine configurée par le Rectorat, l'explication est peut être là. Le chemin pour retrouver la configuration du Rectorat est inconnu. Ceci reste une hypothèse et la solution d'avenir consistera à réaliser de nouveau ce schéma mais cette fois sur l'autre modem GIGALIS. 8 L'opération ayant échoué, je n'ai plus accès à l'interface web de configuration... 81

8 BILAN Tâche Monter le serveur de supervision Nagios Etat de fonctionnement Remarques OK, informations principales Quelques ajustements à remontées (trafic, CPU, faire au niveau des RAM, Disque, Encre...) notifications, et possibilité de surveiller plus précisément les serveurs Dell et HP. Ghost des machines, mise à OK, les machines sont à jour Avec le projet de serveur jour du parc et les nouveaux portables virtuel et de clients légers, sont opérationnels cette procédure devrait se simplifier Ajout d'un Switch Cisco 2960 OK, de nouveaux ports sont RAS dans le LT5 disponibles Ajout de nouveaux élèves sur IACA/Active Directory OK, transfert de IACA à Active Diretory automatique RAS DMZ Échec Le routeur SLIS est configuré par le Rectorat et ne permet pas toutes les modifications. Par rapport aux objectifs de départ on peut dire qu'ils sont remplis hormis un projet en suspens : la sécurisation de la communication entre l'extérieur et le lycée (VPN?). En effet, le personnel et les étudiants pourront à terme consulter leur profil et les documents du lycée depuis n'importe où. Ce projet formulé au départ n'a pas été abordé par manque de temps. Pour le reste, le serveur Nagios est opérationnel avec une remontée d'informations et notification à l'administrateur effectives. La cartographie recouvre tous les équipements et services avec des niveaux de lecture différents. Cependant, à l'avenir il serait sans doute intéressant de pousser la supervision sur des détails concernant la température des composants des ressources. Il faudra sans doute installer les clients Dell et HP mentionnés précédemment et pourquoi pas écrire soimême les plugins pour une personnalisation de la supervision ( sue la base des OID et du MIB browser). Un des projets d'avenir intéressant pourrait consister à renseigner dans Nagios tous les postes de travail. Néanmoins l'entreprise s'avère à la fois risquée et fastidieuse dans la mesure où les postes sont amenés à bouger régulièrement (problème de cartographie) et que le parc, du fait de son hétérogénéité, est mis à jour ponctuellement par la Région. Enfin il faudrait prévoir une solution de déploiement de masse des agents SNMP et NSClient ++ puisque le parc représente tout de même plus de 500 machines. 82

CONCLUSION On peut dire qu'aujourd'hui, le serveur Nagios est en état de marche et qu'il remonte bien toutes les informations souhaitées par l'administrateur. Comme évoqué dans le bilan, le serveur Nagios n'est pas figé et doit s'adapter aux évolutions du lycée. Il faudra sans doute y rentrer de nouveaux hôtes, adapter plus finement les seuils critiques pour une notification adéquate. La cartographie risque elle aussi d'être remise en cause avec les mutations permanentes de matériel. Outre le projet «Nagios» (qui c'est vrai m'a beaucoup occupé ),j'ai, dans la mesure du possible, apporté mon aide à l'administrateur Yoann Pichard dans les interventions techniques auprès des utilisateurs et dans la mise à jour du parc. D'un point de vue personnel ce stage aura été l'occasion de découvrir de façon concrète le fonctionnement d'un réseau et de ses éléments, démythifiant quelque part l'aspect inabordable d'une structure de quelques 600 machines. Il m'a permis, et ce grâce à la confiance accordée, de me confronter en temps réel aux aléas du réseau et de pouvoir intervenir en tant voulu. Ce premier pas en entreprise me semble primordial pour envisager l'avenir puisque j'ai vraiment pris goût au travail dans ce lycée, et n'écarte pas la possibilité de travailler pour l'education Nationale un jour. En effet la diversité des tâches et le côté «touche à tout» qu'il implique est la garantie d'un travail enrichissant. 83

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back