Services utilisateurs Projet POLYLED 2012-2013. Chef de projet : BRISACIER Clément



Documents pareils
TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Préparation à l installation d Active Directory

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Licence professionnelle Réseaux et Sécurité Projets tutorés

Chapitre 02. Configuration et Installation

Stratégie de groupe dans Active Directory

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

Installation du point d'accès Wi-Fi au réseau

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Service WEB, BDD MySQL, PHP et réplication Heartbeat. Conditions requises : Dans ce TP, il est nécessaire d'avoir une machine Debian sous ProxMox

1. La plate-forme LAMP

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Compte rendu d'activité PTI n 2

Mettre en place un accès sécurisé à travers Internet

Installation des outils OCS et GLPI

WIFI sécurisé en entreprise (sur un Active Directory 2008)

BTS SIO Dossier BTS. PURCHLA Romain

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Mise en place Active Directory / DHCP / DNS

TAGREROUT Seyf Allah TMRIM

IPS-Firewalls NETASQ SPNEGO

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Chapitre 1 Labo 1 : Les rôles de base du contrôleur de domaine Windows 2008 Server R2

Formateur : Franck DUBOIS

Espace de travail collaboratif

1. Présentation du TP

Formateur : Jackie DAÖN

Tutoriel compte-rendu Mission 1

TP PLACO. Journées Mathrice d'amiens Mars 2010

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Windows serveur 2012 : Active Directory

GUIDE DE L UTILISATEUR

Windows Server 2012 R2 Administration

Installation et configuration de Vulture Lundi 2 février 2009

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Note : Ce tutoriel a été réalisé sur GNU/Linux (Ubuntu) avec un serveur LAMP installé en local.

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

Ocs Inventory et GLPI s appuie sur un serveur LAMP. Je vais donc commencer par installer les paquets nécessaires.

Configuration d'un annuaire LDAP

PPE GESTION PARC INFORMATIQUE

Cloud public d Ikoula Documentation de prise en main 2.0

Manuel d utilisation du Guichet électronique V2

Installation d'une galerie photos Piwigo sous Microsoft Windows.

Espace numérique de travail collaboratif

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Installation et configuration de base de l active Directory

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

AFTEC SIO 2. Christophe BOUTHIER Page 1

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Spécialiste Systèmes et Réseaux

Présentation, mise en place, et administration d'ocs Inventory et de GLPI

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

Espace numérique de travail

Documentation Honolulu 14 (1)

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

LAB : Schéma. Compagnie C / /24 NETASQ

Joomla! Création et administration d'un site web - Version numérique

INSTALLATION DES SERVICES DE DOMAINE ACTIVE DIRECTORY Windows Server 2008 R2

FileMaker Server 14. Aide FileMaker Server

FreeNAS Shere. Par THOREZ Nicolas

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Utiliser le portail d accès distant Pour les personnels de l université LYON1

SERVEUR DE MESSAGERIE

AD FS avec Office 365 Guide d'installation e tape par e tape

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/ bits, Windows 2008 R2 et Windows bits

Créer et partager des fichiers

But de cette présentation

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

MIGRATION ANNEXE SAINT YVES. 1 : L existant. Pourquoi cette migration Schéma et adressage IP. 2 : Le projet. Schéma et adressage IP.

Configuration Wi-Fi pour l'utilisation d'eduroam

Table des matières Page 1

Contrôle de la DreamBox à travers un canal SSH

Découvrez notre solution Alternative Citrix / TSE

Catalogue & Programme des formations 2015

Procédure d'installation complète de Click&Decide sur un serveur

Guide utilisateur XPAccess. Version Manuel de référence 1/34

MANUEL D INSTALLATION D UN PROXY

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Introduction aux services Active Directory

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Installation d'un serveur DHCP sous Windows 2000 Serveur

Tutoriel XBNE Connexion à un environnement XBMC distant

Annexe 1. DIDACTICIEL Installation OCS 2.0RC2 /GLPI pour WINDOWS

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

PROJET PERSONNALISÉ ENCADRÉ : N 6

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Gestion d'un parc informatique avec OCS INVENTORY et GLPI

Système Principal (hôte) 2008 Enterprise x64

Transcription:

Services utilisateurs Projet POLYLED 2012-2013 Chef de projet : BRISACIER Clément Collaborateurs : POULLENNEC Jean-Mikaël THEBAULT Axel THOUAYE Maxime Tuteur : GUIMBRETIÈRE Hervé

Table des matières I. Introduction... 1 II. Utilisateurs et serveurs associés... 2 1. Active Directory... 2 2. Radius sous Windows Server : NPS... 5 3. Cas des utilisateurs Linux... 6 III. Services déployés... 10 1. Stockage de fichiers en ligne : Cloud... 10 2. Messagerie Instantanée... 12 3. Travail Collaboratif... 14 IV. Conclusion... 16 V. Répartition du travail... 17 VI. Bibliographie et Webographie... 18 VII. Glossaire... 19 VIII. Annexes... 20 1. Compléments sur Active Directory... 20 2. Configuration d un serveur NPS... 22 3. Configuration de SADMS... 26 4. Installation d OwnCloud... 30 5. Installation d un serveur OpenFire... 31 6. Installation d Agora-Project sur Debian SQUEEZE... 36

Remerciements Merci à M. Guimbretière, pour son soutien et ses conseils avisés tout au long du projet. Merci à M. Corbière et M. Fargeas, pour nous avoir accordé un entretien concernant les technologies déployées à l IUT en matière d authentification ainsi que de stockage des fichiers. Merci à M. Fougeray, pour nous avoir fourni des serveurs performants sans quoi la partie Active Directory et Radius aurait été bien plus fastidieuse. Merci à M. Toutain, pour avoir assuré l organisation du projet, nous rappelant en permanence durant ses différentes phases les impératifs, les éléments à structurer et les dates importantes. Merci à M. Patin et M. Zimmerman, pour leur point de vue professionnel très riche, pour leurs conseils en matière d organisation dans la phase de test, et surtout pour tout l intérêt qu ils ont porté envers ce projet. Merci à Matthieu Bisson, pour s être investi pendant plusieurs mois dans le projet malgré qu il sache qu il devait retourner au 2 ème semestre au milieu de celui-ci. Une majeure partie du projet (utilisateurs sous Linux) n aurait pas été réalisée sans son aide. Merci à Francis Ngendahayo et Jean-Baptiste Dumay pour s être occupés de la coordination entre les différents groupes, ainsi qu à Pierre-Alain Aubier, pour sa contribution dans la mise en forme du rapport. Et enfin merci à Rémi Boulle, professeur de mathématiques et responsable de la distribution et de l évolution du logiciel libre SADMS, pour nous avoir largement aidé dans l utilisation de ce logiciel en répondant rapidement, de manière simple et concise à toutes nos questions par mail.

I. Introduction La réalisation d un réseau d entreprise est extrêmement complexe : il faut étudier l étendue des bâtiments où l on souhaite le déployer, faire des choix techniques quant à l architecture retenue, déployer le réseau sur le plan physique, configurer les équipements et serveurs, tester le bon fonctionnement, etc. Dans le cadre de ce projet de 2 ème année de DUT, notre promotion devait mettre en œuvre l ensemble du réseau informatique et des services associés pour l entreprise fictive Polyled, spécialisée dans l éclairage à base de semi-conducteurs. Cette complexité de réalisation se retrouve dans l organisation de la compagnie : basée sur plusieurs sites (Caen, Lyon, Brest et Cherbourg), elle désire disposer d un réseau performant et fiable, offrant tous les moyens de travail et de communication nécessaires à ses employés. Chaque grande partie du projet a été répartie à des groupes ainsi spécialisés dans un domaine particulier, avec pour objectif final de mettre en commun tout le travail réalisé pour le compte de l opérateur Krypcom que nous représentons. Notre groupe avait pour charge de déployer les services des utilisateurs : il s agit de tous les logiciels que les employés de Polyled vont utiliser quotidiennement pour coordonner leurs actions, stocker et partager leurs fichiers, planifier des rendez-vous, Dans un premier temps, nous nous intéresserons à l ensemble des serveurs nécessaires pour créer les utilisateurs, les stocker et les identifier. Ensuite, nous verrons l ensemble des services qui ont été déployés pour la communication en interne et avec l extérieur, ainsi que pour le stockage des fichiers. Pour finir, nous conclurons sur les résultats du projet par rapport à ce qui était demandé dans le cahier des charges et ce qui a été finalement réalisé. Tous les serveurs déployés se situent dans la DMZ (zone démilitarisée) du site de Caen : 1/42

II. Utilisateurs et serveurs associés 1. Active Directory i. De quoi s agit-il? Active Directory (AD) est l implémentation du service d annuaire LDAP depuis Windows Server 2000. Il contient toutes les informations sur les ressources d un domaine AD (utilisateurs, machines, groupes, OU ), ce qui permet une gestion centralisée d un ou plusieurs domaines. Il peut prendre en charge une forêt de domaines ainsi un AD est un contrôleur de domaine qui peut être principal ou secondaire s il y en a plusieurs sur le même domaine. Etant un service d annuaire basé sur LDAP, il est donc hiérarchique (sous forme d arborescence) et contient des objets ayant des paires d attributs/valeurs qui répondent à un schéma fixé. Un schéma une «règle» qui définit les attributs qui peuvent (attributs optionnels) ou doivent (attributs obligatoires) être renseigné pour créer une instance dans l AD. Par exemple le schéma qui s applique à la créateur des utilisateurs définit comme attributs obligatoires le nom, prénom et mot de passe et comme attributs optionnels le numéro de téléphone, l adresse etc L un des principaux avantages d Active Directory est l utilisation d Unité Organisationnelle (OU), c est un conteneur d objet qui permet de hiérarchiser un domaine. Par exemple, dans l entreprise PolyLed, on pourrait créer, l OU «administration» et lui appliqué des droits spécifiques via des stratégies de groupe (GPO). Cela permet de, manière logique, structurer un AD. Notre Active Directory est le point central de notre projet pour l authentification des utilisateurs sur le domaine. Nous l avons choisi car le site de Caen est en «Full-Microsoft» et AD utilise la méthode d authentification Kerberos, de plus pour les autres sites qui sont mixtes (Windows-Linux), nous avons trouvé une solution s interfaçant avec l AD : SADMS, qui sera présenté après. ii. Mise en place Après avoir installé notre Windows Server 2008 R2, nous avons ajouté le rôle Active Directory (dcpromo) après avoir rentré les paramètres de notre domaine polyled.test. Nous sommes maintenant Contrôleur du Domaine Principal (PDC) de polyled.test pour que l ensemble de l AD fonctionne, il faut que le serveur DNS contienne une entrée, correspondant à notre serveur. Nous avons peuplé notre ADS avec quelques utilisateurs pour effectuer nos tests de connexion. Comme dans toutes entreprises, il fallait qu après chaque connexion les utilisateurs puissent récupérer leurs documents personnels, pour cela nous avons établi des profils itinérants. (Voir ANNEXE 1) 2/42

Nous avons choisi, pour des questions de sécurité, de stocker le répertoire personnel de chaque utilisateur sur un espace extérieur à celui du Windows Server car en cas de panne, nous ne perdons pas l accès aux données. Le groupe Infrastructure nous a fourni un espace de stockage sur leur serveur NAS et cela nous permet de séparer les données système des données utilisateurs. win-serv Serveur NAS win-second De plus, nous avons choisi de faire de la réplication entre AD, nous avons donc ajouté un 2 ième serveur dans le domaine (BDC : Backup Domain Controller). La réplication sert à «dupliquer» l arborescence de l AD principal sur le BDC. Le deuxième serveur nous servira de backup en cas de panne du premier (Failover Clustering), il sera une copie du serveur maître et passe automatiquement Contrôleur de Domaine Principal en cas de défaillances. Les deux serveurs forment un cluster, se partage une adresse IP «virtuelle» et s envoient régulièrement des paquets de «heartbeat» pour vérifier la présence et l activité de l autre serveur, à la manière du protocole VRRP pour les routeurs Cisco. Cela nous permet de paramétrer une seule adresse IP sur les machines clientes et en cas de panne, tout reste transparent pour l utilisateur. Nous voulions de la redondance parce que dans tout système, il faut des solutions de secours et dans notre cas, il était indispensable que l entreprise puisse avoir accès à ses ressources sans interruptions en cas de panne. Mais, nous n avons pas pu mettre en place le failover clustering car celui-ci et assez complexe à paramétrer, de plus nous avons orienté nos priorités vers nos services au moment de le configurer. iii. Tests Pour nos tests, nous avons besoin de : - Un contrôleur de domaine AD principal (win-serv.polyled.test) - Un contrôleur de domaine AD secondaire (win-second.polyled.test) - Des stations Windows XP ou Seven pro intégrées au domaine polyled.test - Des utilisateurs contenus dans l AD 3/42

iv. Profils itinérants Pour vérifier la présence de profils itinérants, il faut : - Se connecter avec un utilisateur avec une station A. - Effectuer des modifications (création de fichiers, changement d arrière-plan, etc ) - Se déconnecter car c est à la déconnexion que les changements s effectuent. Nous pourrions se reconnecter sur avec la même station mais il est plus pertinent dans utiliser une autre. - Se connecter avec le même utilisateur et vérifier la présence des changements. v. Stockage NAS Comme nous l avons dit précédemment, nous stockons les données personnelles des utilisateurs sur le serveur NAS du groupe Infrastructure. Après la déconnexion, les fichiers modifiés et/ou créer s enregistre sur le NAS sous un dossier ayant le nom de son propriétaire. L utilisateur étant propriétaire de ses fichiers, nous changeons les droits d accès pour explorer son contenu et nous remarquons la présence de ses dossiers personnels. vi. Réplication La réplication est l un des rôles de notre AD, cela nous permet d avoir une sauvegarde permanente des utilisateurs, des groupes et des OU que l on créé. Pour mettre en place, la réplication des schémas et des objets, il faut : - Intégrer un 2 ième AD dans le domaine en tant que Contrôleur de domaine secondaire - Ajouter cet AD, sur le lien de réplication lors de l intégration, par défaut (DEFAULTIPSITELINK) - Dans l outil d administration «sites et services Active Directory», on remarque que nos serveurs sont sur le même lien. On peut régler la fréquence des réplications dans les propriétés du lien ou manuellement en cliquant sur «NTDS Site Setting». 4/42

2. Radius sous Windows Server : NPS Un serveur d authentification Radius permet de centraliser les données de connexion et de sécuriser des authentifications selon la norme 802.1x définie par l IEEE. Dans le cadre de notre projet, son utilité est de sécuriser les liaisons VPN entre les différents sites, ainsi que les connexions sans-fil aux bornes Wi-Fi. Disposant déjà d un serveur Windows 2008 imposé par le cahier des charges, plutôt que d opter pour la solution FreeRadius sur Linux, nous avons décidé d exploiter le rôle NPS de ce serveur. En effet, si on dispose de ce serveur Windows, cela signifie que la licence nous est déjà acquise et ce rôle est déjà compris dans celui-ci. Il serait dommage de ne pas en profiter. NPS, pour Network Policy Server, offre une application simple et complète d un serveur Radius. L installation est simple en passant par l assistant d ajout de rôles Windows, on sélectionne «Services de stratégies et d accès réseau» Généralement, lorsqu on utilise FreeRadius, on peut créer les utilisateurs en interne ou aller les chercher sur un serveur LDAP externe. Dans notre cas, l avantage de NPS est qu il est très facile à lier à l Active Directory d un simple clic : En théorie, les tentatives de connexion Radius avec les utilisateurs définis dans le domaine seront fonctionnelles. Il faut néanmoins configurer plusieurs éléments : - Les clients Radius qui sont les équipements demandant un accès au réseau : dans notre cas, des bornes wifi et des routeurs initiant des tunnels VPN. - Les stratégies de demande de connexion, qui définissent qui va traiter les demandes. En effet, il est possible de configurer NPS en tant que proxy Radius afin qu il ne fasse que de la redirection de requêtes vers un autre serveur Radius. - Les stratégies réseau sont des prérequis et contraintes afin de définir si la demande de connexion sera traité ou rejetée directement. Ce sont par exemple des groupes d utilisateurs, le type de système d exploitation, le type d adresse IP, ou encore la méthode de chiffrement (EAP, PAP, MSCHAP) Pour plus d informations, veuillez vous référer à l ANNEXE 2. 5/42

3. Cas des utilisateurs Linux L'entreprise Polyled dispose d'une architecture informatique variée : si la plupart des utilisateurs travaille certainement sur Windows pour des raisons de simplicité pour les néophytes, le cahier des charges nous indique qu'ils ne sont pas tous dans ce cas et que certains vont utiliser une des nombreuses versions de Linux. Le problème posé par cette diversité de systèmes d'exploitation relève du stockage des utilisateurs et de leur authentification. En effet, nous disposons d'un serveur Windows 2008 qui a parmi un de ses rôles Active Directory, permettant la création d'utilisateurs et l'authentification sécurisée avec le système de chiffrement Kerberos. De plus, celui-ci permet de stocker les répertoires personnels de chaque utilisateur et de partager d autres fichiers et dossiers. Néanmoins, les systèmes Unix et particulièrement Ubuntu n'ont pas été conçus en premier lieu pour intégrer l authentification sur Active Directory ni accéder aux partages. i. Le problème de Kerberos et Samba L authentification sous Linux est généralement réalisée à l aide d un serveur Kerberos couplé à une base LDAP contenant les utilisateurs (réalisée sous OpenLDAP) L'architecture classique la plus commune et surtout la moins coûteuse pour gérer les partages sous Linux est la mise en place d un serveur Samba. Originellement créé pour le partage de fichiers et d imprimantes sous environnement Unix, ce serveur supporte dans ses dernières versions de nombreuses fonctionnalités telles que le support du protocole Kerberos, l implémentation de LDAP, ou la possibilité de joindre un domaine Active Directory. Ainsi, on utilise généralement en entreprise l architecture suivante : 6/42

Dans notre cas, cette solution semble inadaptée : On souhaite que les utilisateurs Windows soient les mêmes que les utilisateurs Linux, afin qu ils puissent passer d un système d exploitation à l autre avec les mêmes informations de connexion et retrouver leurs dossiers de travail. Si cela est possible en termes d authentification en synchronisant le serveur LDAP sur l arbre des utilisateurs d Active Directory, cela complique un peu le fonctionnement de l authentification : - Cela multiplie les échanges entre les différents serveurs et augmente le risque d interruption de service en cas de panne (plus on a d intermédiaires, plus ce risque est grand) - Cela complexifie l architecture, ce qui pose des problèmes de maintenance et surtout de mise en place (notre temps est précieux et doit être judicieusement utilisé) - L interopérabilité du partage des fichiers est relativement complexe entre les différents systèmes, notamment si on veut accéder aux profils des utilisateurs Windows sous Linux. Le serveur Windows 2008 intégrant Active Directory étant imposé par le cahier des charges, nous avons dû chercher une architecture plus simple et centralisée, quitte à abandonner certaines options étudiées dans le diagramme prévisionnel. ii. La solution : SADMS Sous Linux, il est possible d intégrer un poste à un domaine Active Directory en suivant une procédure assez complexe et longue à appliquer : il faut installer différents paquets (Kerberos, Winbind, Samba, NSS), les configurer en fonction des paramètres du serveur, synchroniser les horloges, et taper à la main une série de commandes complexes. Si le procédé est abordable une première fois, le répéter en boucle sur tous les postes que l on souhaite intégrer au domaine devient très lourd car la moindre erreur de configuration empêche le bon déroulement des opérations. SADMS (Samba as Active Directory Member Station) est la solution à ce problème. Ce logiciel libre propose d automatiser l installation et la configuration des différents fichiers ainsi que l envoi de requêtes au serveur AD afin de rejoindre le domaine. Le logiciel est très complet et facile d accès : on peut détecter la plupart des paramètres à indiquer automatiquement, certains étant tout de même à entrer à la main. L interface est intuitive et de nombreux outils de test permettent de trouver d où viennent les éventuels problèmes d installation. Une fois l intégration de la machine au domaine effectuée, on peut se loguer avec les différents comptes créés sur l Active Directory sur la machine Linux. Ainsi, on dispose des mêmes comptes de connexion et à l aide du module PAM-mount, on peut effectuer un point de montage pour disposer de son dossier personnel sur le système d exploitation Ubuntu! 7/42

iii. Installation et Tests Développé en premier lieu par des passionnés de réseau, SADMS est maintenant disponible dans les dépôts officiels Ubuntu. On peut ainsi utiliser l habituel gestionnaire de paquets pour l installer avec les commandes suivantes en mode super utilisateur : #apt-get update #apt-get install sadms Durant l installation, certains paramètres concernant l authentification Kerberos sont demandés. Ceux-ci sont optionnels car on pourra les reconfigurer plus tard. Si l installation s est déroulée normalement, il suffit juste de lancer le software par son nom : #sudo sadms L onglet «Home» indique l état des services et de l intégration au domaine. Pour le moment, la machine n appartient pas encore au domaine Pour configurer l intégration au domaine, il faut aller dans l onglet «Données». Il faut remplir les différents champs qui n ont pas été détectés et on peut demander au logiciel de les valider avec l option correspondante. Ensuite, il suffit de cliquer sur installer pour observer toutes les opérations à effectuer afin de joindre la machine au domaine. Une fois que cela est effectué, on peut se loguer avec les comptes de l Active Directory. Si l on souhaite qu un répertoire de travail soit monté, il faut aller dans le menu «Install PAM» Si tout a été correctement configuré, l installation se déroule sans accroc. Pour tester l efficacité du système, il suffit de se déconnecter du compte administrateur qu on utilisait, et de tenter de se connecter avec un des comptes du domaine. 8/42

Le module PAM-mount permet normalement à l utilisateur maintenant logué d accéder à son répertoire de travail personnel créé lorsqu on a défini des profils itinérants sur Windows : L utilisateur retrouve ses dossiers créés sous Windows sur sa station Linux Par manque de temps, nous n avons néanmoins pas pu tester l outil le plus attrayant de SADMS : le mode distant. En effet, s il faut installer et configurer le logiciel sur chaque machine, cela ne résout pas notre problème de difficulté d installation. Le mode distant permet d installer et configurer le software sur une autre machine en SSH. Pour plus d informations sur l installation, veuillez consulter l ANNEXE 3. 9/42

III. Services déployés 1. Stockage de fichiers en ligne : Cloud i. De quoi s agit-il? Le service de Cloud, nous avons mis en place est un mixte entre un webftp et un «cloud computing» proprement dit. C est-à-dire que les utilisateurs peuvent avoir accès à distance à leurs fichiers via interface web (sur notre propre serveur) depuis n importe où, ils peuvent les éditer mais non pas leur interface graphique Windows ou Linux, les éditeurs sont intégrés à notre logiciel. ii. Nos choix Il nous fallait un logiciel qui soit accessible par interface web car nous voulions centraliser les services sur une seule et même page en ne fournissant ses identifiants qu une seule fois. Et la deuxième condition était de pouvoir se connecter au service avec ses identifiants contenu dans l AD. Dans un 1 er temps, nous sommes partis sur une des solutions proposées dans le cahier des charges : Ajaxplorer. Cette solution nous paraissait la plus simple pour nous et la plus conviviale pour l utilisateur. Le déploiement de l application en elle-même n a pas posé de problèmes car elle repose sur un serveur web Apache. Nous arrivions à nous connecter mais uniquement avec des utilisateurs créés par le logiciel hors le but du projet étant de réaliser un SSO, la connexion avec notre AD se faisant par des fichiers de configuration spécifiques pour relier Ajaxplorer et notre AD, nous avons eu une série d erreurs et cette solution n a jamais fonctionné. Nous sommes donc partis sur la 2 ième solution que nous avions choisie au départ : OwnCloud. Ce software est homologue à Ajaxplorer, il nécessite aussi un serveur web Apache et propose quasiment toutes les fonctionnalités que proposait Ajaxplorer (Partage de fichiers entre utilisateurs, stockage et transaction cryptés, éditeur de fichiers en ligne, etc ). Ce logiciel se configure essentiellement en interface graphique grâce au compte admin interne à OwnCloud. La relation avec notre Active Directory s est faite grâce aux multiples fonctionnalités que l on peut paramétrer (plugins). 10/42

iii. Mise en place Pour que les utilisateurs puissent disposer de ce service, nous avons choisi d installer OwnCloud sur un Debian 6.0.5 pour notre serveur Apache. On a téléchargé les paquets d OwnCloud 4.5.6 sur le site officiel et nous l installons à la racine du serveur apache (/var/www/owncloud). Et nous accédons à l interface web : http://cloud-serv.polyled.test/owncloud Nous créerons un lien sur notre page SSO pour accéder directement à l application. Nous arrivons la page de connexion et nous nous connectons avec le compte admin. Puis nous allons dans l onglet «administration» et activons le plug-in Active Directory. Nous accédons à la page ayant les différents paramètres pour relier OwnCloud à notre AD. Après redémarrage du serveur web, nous pouvons maintenant nous connecter avec nos utilisateurs. L objectif final était de créer un point de montage distant sur le NAS sur OwnCloud afin que les utilisateurs qui se connectent sur ce service accèdent à leur répertoire de travail personnel (profil Windows et linux) Par manque de temps et freiné par la complexité de l opération, nous n avons malheureusement pas pu réaliser cette partie. Cependant, les utilisateurs étaient bien ceux de l Active Directory et le stockage de fichiers était effectif. Pour plus d informations sur l installation, voir l ANNEXE 4. 11/42

2. Messagerie Instantanée i. Présentation d Openfire La messagerie instantanée permet, comme son nom l'indique, aux utilisateurs de pouvoir communiquer en temps réel avec d autres utilisateurs. Lorsque plusieurs utilisateurs sont connectés en même temps, ils ont la possibilité de se joindre via la messagerie pour discuter en privé ou en groupe dans une salle de conférence J'ai décidé d'utiliser un principe utilisant le mode de fonctionnement Client Serveur. Il faut donc installer et configurer un serveur afin que l'utilisateur puisse se connecter et accéder au système de messagerie instantanée via le client présent sur sa machine. Le serveur utilisé fonctionnera sur le protocole XMPP (Extensible Messaging and Presence Protocol), ce qui est le plus répandu aujourd'hui dans ce domaine, basé sur le protocole Jabber utilisant le port 5222. Le serveur a besoin d'être lié à une base de données pour fonctionner que ce soit sa propre base de données ou un une autre base de données comme celle que l on utilise pour PolyLed (Active Directory) et un annuaire LDAP peut être lié pour la gestion des utilisateurs et groupes. Celui-ci se trouvera dans le réseau local de l'entreprise (DMZ sur Caen) et devra être accessible pour les utilisateurs en local. ii. Installation Il nous faut commencer par l installation du serveur. J'ai choisi d utiliser comme serveur Openfire (développé par Ignite Realtime) codé en Java. Une fois le serveur téléchargé et décompressé on va pouvoir commencer l installation (voir annexe). L un des premiers problèmes rencontré été que nous n avions pas les plugins Java d installer, nous avons donc juste mis à jour ces plugins et ainsi pu installer le serveur. Lors de l installation du serveur il y a possibilité de le lier à un annuaire LDAP, je l ai donc lié à notre Active Directory, le serveur va donc chercher automatiquement les utilisateurs sur l annuaire LDAP et les enregistrer sur sa base à lui. Cela permet de se connecter, via le client, avec les noms d utilisateurs et leur propre identifiants. Au niveau du client, le logiciel Spark a été choisi, car il est issu du travail des développeurs d Openfire afin de minimiser tout problème qui aurait pu arriver à cause de la compatibilité. Il existe une version Windows et Linux qu'il suffira d installer sur les machines pour s'authentifier et profiter pleinement du service. 12/42

Malheureusement nous n avons pas réussi à l installer sur Linux, mais cela fonctionne très bien sur Windows : Une fois l installation terminé on peut voir directement sur le serveur qu il est allé chercher lui-même les utilisateurs sur la base de données AD pour les enregistrer sur la sienne. Au niveau des améliorations possibles, on aurait pu mettre en place un client web pour l utiliser dans un web SSO. Vous trouverez un tutoriel d installation détaillé en ANNEXE 5. 13/42

3. Travail Collaboratif i. De quoi s agit-il? Le service de Travail collaboratif consiste à regrouper sous une seule entité, plusieurs outils ou gadgets qui peuvent être utilisés par les utilisateurs. Cette entité est joignable à partir d'une interface Web et peut donc être atteint à l'extérieur de l'entreprise comme le domicile permettant de consulter son agenda ou continuer son travail chez soi. ii. Nos Choix Il nous fallait un logiciel qui soit complet, avec de nombreux outils et qu'il soit accessible pour tous et de toute part. Nous avons eu de nombreux choix à faire en ce qui concerne les logiciels de Travail Collaboratif parmi les suivants Zimbra, Agora-Project, egroupware ou OBM. Nous avons choisi celui qui semblait le plus facile à mettre en place et qui regroupait le plus d'outils que possible sans tomber dans l exagération, notre choix s'est donc fixé sur les logiciels Agora-Project et OBM. D'après le cahier des charges, il nous était imposé de mettre une solution de logiciel Microsoft sur un des sites, ce logiciel est Microsoft Lync. Mais pour des problèmes de cohabitation entre logiciel Open Source et Microsoft, les deux ne pouvaient communiquer entre eux. Il y a aussi un problème de redondance entre les deux logiciels. C'est pourquoi nous avons privilégié le logiciel Open-Source. Dans un premier temps, nous avions décidé d'installer OBM, nous devions simplement installer un serveur Web et les paquets nécessaires à l'installation mais encore un nouveau problème, la version Debian 6.0.5 Squeeze est incapable d'installer automatique et correctement OBM, il fallait installer les paquets manuellement et un par un, ce qui était quasi-impossible car l'installation serait fragmentée et incomplète. Ce qui fut le cas car une fois tout les paquets installés, il nous était impossible d'accéder à l'interface Web d'obm. 14/42

Nous avons finalement choisi d'installer Agora-Project. La version de ce dernier est la 2.16.1, il propose les outils suivants : - Messagerie instantanée de groupe : Lorsque plusieurs personnes sont connectées, il est possible de discuter avec les autres membres, le temps d'actualisation de la discussion est d'environ 10 secondes. - Agenda partagé : Il est possible d'organiser son temps, son travail par rapport à un calendrier, celui-ci pourra être partagé avec les membres de son groupe ou toutes les personnes avec qui il le souhaite. On peut ensuite l'imprimer. - Gestionnaire de fichiers : Il est possible de créer plusieurs dossiers contenant toutes sortes de formats comme des vidéos, documents texte ou images. Et ainsi les partager avec d'autres utilisateurs d'agora-project. - Forum : On peut discuter de plusieurs thèmes ou sujets différents, sans pour autant être forcément connecté. - Tâches : Même principe qu'un diagramme de Gantt, planification du travail suivant un budget, temps et personnes travaillant sur le projet. - Envoi de mail : Envoi de mail entre l'espace de travail et à l'extérieur. iii. Installation Pour l'installation d'agora-project, il faut avoir préalablement installé : - Un serveur web permettant la connexion à la page Agora-Project. Le meilleur étant Apache2 pour Linux et Wampserver pour Windows. - Une base de données MySQL nécessaire à la création des utilisateurs et au stockage de leurs données. - Un serveur de messagerie électronique qui utilise SMTP. Afin de donner une adresse mail à chaque client et de transmettre les messages entre les utilisateurs. L'installation d'agora-project est détaillée à l ANNEXE 6. Pour qu'agora-project contacte et récupère tous les utilisateurs et leurs données contenue dans le LDAP. Il faut aller télécharger les Pack de Modifications à ce site : http://www.agoraproject.net/discussion/viewtopic.php?f=5&t=2699 Télécharger le pack de modification allant avec votre version d'agora et copier tous les dossiers et fichiers dans chaque dossier situé dans les fichiers de configuration d'agora. La dernière étape consiste à aller chercher les utilisateurs dans la base LDAP de l Active Directory. 15/42

IV. Conclusion Au final, le déploiement des services utilisateurs s est déroulé dans sa globalité avec succès. Pour la partie utilisateurs, le stockage de ceux-ci et la gestion de leur authentification a été réalisée avec Active Directory sous Windows Server 2008. De plus, le rôle Network Policy Server a permis de profiter de ce serveur pour effectuer des authentifications Radius sécurisées pour les communications sans-fil et l établissement de tunnels VPN. Enfin, la découverte du logiciel SADMS a résolu le problème des utilisateurs sous Linux et simplifié l architecture réseau en permettant aux stations Linux de rejoindre le domaine «polyled.test». Ainsi, la mise en place d un serveur Samba demandé dans le cahier des charges a été avortée. Nous avons donc réussi à mettre en place un annuaire centralisé contenant tous les utilisateurs, ainsi qu un serveur d authentification centralisé et sécurisé. De cette manière, les employés de Polyled disposeront d un compte unique valable pour tous les logiciels qu ils utiliseront. Concernant les services déployés, il nous a fallu faire des choix concernant ce qui était demandé dans le cahier des charges et ce qui a été mis en œuvre : en effet, celui-ci demandait des services redondants entre eux (deux logiciels de travail collaboratif, un serveur mail alors que le travail collaboratif incorporait ce rôle, ) Nous avons donc choisi de mettre en œuvre trois principaux services : le stockage de fichiers en ligne avec OwnCloud qui était fonctionnel malgré l absence de point de montage distant sur le NAS, la messagerie instantanée avec OpenFire, et le travail collaboratif avec Agora Project. Les axes d amélioration ne sont pas nombreux mais ils sont tout de même à garder en considération. En premier lieu, nous n avons pas eu le temps de déployer une vraie architecture web SSO : actuellement, les utilisateurs doivent entrer leur identifiant et leur mot de passe pour accéder à chaque service, alors qu avec un Single Sign On, cette opération n aurait été à effectuer qu une seule fois pour accéder à tous les services. Ensuite, la liaison entre Agora-Project et les utilisateurs de l Active Directory ayant été difficile à réaliser, nous n avons pas eu le temps d installer le serveur de mail intégré à ce logiciel. Enfin, la sécurité du backbone n ayant pas été entièrement complétée au moment de la rédaction du rapport, nous n avons pas eu l occasion de tester l ensemble de nos services d un site à l autre. Néanmoins, nous sommes satisfaits de la production que nous avons réalisée et avançons avec certitude que cet exercice a été extrêmement bénéfique. En effet, la réalisation d un projet d une échelle aussi grande était une première, et au-delà de l application de nos acquis pendant ces 2 ans de DUT et du challenge technique, cela a été avant tout une aventure humaine, avec des hauts et des bas, un besoin constant de remise en question, de recherches, et de coordination avec les autres groupes : en soi, tout ce que l on réalisera dans notre futur milieu professionnel. 16/42

V. Répartition du travail Lors de la réalisation du projet, chaque membre du groupe était affecté à une tache particulière. Néanmoins, l abandon de certaines parties au profit d autres ont fait que la plupart du temps, certains éléments du groupe étaient à plusieurs sur une même tâche où essayaient d aider là où les problèmes étaient rencontrés. Ainsi, même si les postes étaient fixes au premier abord, dans les faits ce n était pas totalement le cas. Au niveau de la rédaction des parties du compte rendu, la répartition est la suivante : BRISACIER Clément POULLENNEC Jean-Mikaël THEBAULT Axel THOUAYE Maxime - Radius sous Windows : NPS - Cas des utilisateurs Linux - Annexe 2 : Configuration s un serveur NPS - Annexe 3 : Configuration de SADMS - Messagerie Instantanée - Annexe 5 : Installation d un serveur OpenFire - Active Directory - Stockage de fichier en ligne : Cloud - Annexe 1 : Compléments sur Active Directory - Annexe 4 : Installation d OwnCloud - Travail Collaboratif - Annexe 6 : Installation d Agora-Project Voici le planning qui a été respecté pour la réalisation des différentes tâches : 17/42

VI. Bibliographie et Webographie Guillaume Pomente ; Installation et sécurisation d un serveur LAMP et Agora Project sur Debian 5 Lenny : http://www.guillaume-p.net/installation-securisation-serveur-lampagora-project-sur-debian-5-lenn/ Agora Project ; site officiel : http://www.agora-project.net/ Utilisateur «djedail» du forum Agora Project ; Pack de modifications pour l intégration au LDAP : http://www.agora-project.net/discussion/viewtopic.php?f=5&t=2699 Ilias Tsagklis ; Openfire server installation Infrastructure for Instant Messaging : http://www.javacodegeeks.com/2010/08/openfire-server-installation.html Yoann Leong-Sh ; Fonctionnement de la réplication Active Directory 2003 : http://www.labo-microsoft.org/articles/win/replication-ad/1/ Charles-Antoine Zeblita, Damien Rivet et Stéphane Charpentier ; Mise en place du Failover Clustering et du Network Load Balancing sous Windows Server 2008 R2 : http://www.labo-microsoft.org/articles/failover_clustering/2/ John Ok ; Script Externaliser les données utilisateur Owncloud : http://www.neoflow.fr/tutoriels.item.389/script-externaliser-les-donnees-utilisateursowncloud.html Site officiel d Owncloud : https://owncloud.org/ Jean Baptiste Marchand ; Protocoles et trafic réseau en environnement Active Directory : http://www.ossir.org/windows/supports/2004/2004-09-13/jbm-traficwindows.pdf Auteur inconnu, Network Policy Server : http://technet.microsoft.com/enus/library/cc732912%28v=ws.10%29.aspx Documentation officielle de SADMS en anglais : http://sadms.objectiflibre.com/doc/index.html 18/42

VII. Glossaire Active Directory : Mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Cloud computing : Accès à distance de ressources informatiques à distance via un réseau de télécommunications, étant le plus souvent Internet. Kerberos : Protocole d authentification reposant sur un système de clés secrètes et l utilisation de tickets à la place de mots de passe en clair, utilisé notamment avec Active Directory. LDAP : protocole et standard définissant la structure ainsi que les méthodes de consultation et de modification d un annuaire informatique. NPS : Network Policy Server, application sous Windows Server d un serveur d authentification sécurisé Radius. SADMS : Samba as Active Directory Member and Station, logiciel libre permettant d automatiser la procédure pour joindre une machine Linux à un domaine Active Directory SSO : Single Sign On, serveur permettant à un utilisateur de s authentifier de manière unique pour accéder à différents services. 19/42

VIII. Annexes 1. Compléments sur Active Directory i. Connexion des utilisateurs Après avoir préalablement créé des utilisateurs dans l outil Utilisateurs et intégrer des machines XP ou Seven sur le domaine polyled.test. Nous pouvons nous connecter avec des utilisateurs. Le Windows server 2008 étant situé dans la DMZ du site de Caen, il fallait, pour les besoins du groupe backbone et plus particulièrement pour la configuration du firewall à l entrée de la DMZ, déterminer le trafic qui circule pour la connexion des utilisateurs. Pour l authentification, le protocole Kerberos (port : 88) étant natif sur le système Windows, nous avons constaté l échange de ticket entre la machine cliente (172.16.100.155) et le serveur (172.16.100.10). L authentification se passe en 3 phases : 1) Obtention d un TGT (Ticket Granting Ticket) 1. Authentification de l utilisateur 2. Message AS-REQ / AS-REP 2) Distribution du ticket 1. TGS-REQ/TGS-REP 3) Utilisation des tickets 1. AP-REQ / AP-REP encapsulé dans le protocole SPNEGO (Simple Protected Negotiation Mechanism) Après avoir authentifié le client, le serveur monte les données de l utilisateur sur la machine grâce au protocole SMBv2 sous la forme de requête/réponse. 20/42

Pour avoir accès à son profil, on doit configurer pour chaque utilisateur, les champs «chemin du profil» et le chemin d accès local. La différence entre les deux est que : Le dossier profil est le dossier qui contient les données de l utilisateur alors que le chemin d accès local est l endroit de base où l utilisateur pourra naviguer. Par exemple, si l utilisateur tape cmd.exe dans un invite de commande, le prompt affichera le chemin spécifié dans ce champ. ii. Réplication Nous avons expliqué dans le compte-rendu hors annexes, comment on teste si la réplication fonctionne. Pour entrer dans les détails, nous avons effectué des captures à l aide de Wireshark pour comprendre le mécanisme de réplication. D après, la documentation trouvée sur Internet, nous avons pu distinguer 2 protocoles utilisés dans la réplication d annuaires : DCERPC (Distributed Computing Environment / Remote Procedure Call), ce premier protocole est celui qui transporte les données de réplication. Et le protocole DRSUAPI qui est un protocole qui permet aux AD de prévenir quand l un a des données à répliquer. DRSUAPI est un protocole sécurisé par une authentification Kerberos entre les AD et il crypte les données échangées. Il y a donc un échange régulier entre les serveurs qui permet qu en cas de crash d un des serveurs, de toujours disposé d une copie des schémas et des configurations. 21/42

2. Configuration d un serveur NPS L installation du serveur NPS sous Windows Server 2008 est relativement simple. Dans notre cas, il faut avoir installé Active Directory au préalable (et donc DNS par la même) et simplement ajouter le rôle «Services de stratégies et d accès réseau» Une fois l installation terminée et le serveur redémarré, il faut configurer trois éléments : i. Les clients Radius Les ordinateurs clients ne sont pas des clients Radius. En effet, les clients Radius sont des serveurs d'accès réseau (par exemple, des points d'accès sans fil, des commutateurs compatibles 802.1X, des serveurs de réseau privé virtuel (VPN) et des serveurs d'accès distant) parce qu'ils utilisent le protocole Radius pour communiquer avec des serveurs Radius, tels que les serveurs NPS dans notre cas. Pour les ajouter et les configurer, il faut lancer la console d administration de NPS, aller dans la section «Clients et Serveurs Radius» et faire un clic droit sur l élément «Clients Radius» afin d en créer un nouveau. Voici la fenêtre qui s ouvre lorsqu on crée un nouveau client : 22/42

Il faut configurer le nom que l on souhaite attribuer à ce client, son adresse IP ou son nom FQDN s il s agit d un serveur répertorié sur le DNS, ainsi qu un secret partagé. Ce dernier est une chaîne de caractères utilisée comme mot de passe entre les clients, les serveurs et autres proxys Radius. On peut l attribuer manuellement ou la générer automatiquement. Il faudra bien sûr renseigner le même secret partagé dans la configuration des clients (dans l exemple précédent, il s agit du portail captif PFsense) ii. Les stratégies de demande de connexion Lorsqu un client contacte un serveur Radius, la requête n est pas forcément destinée à ce serveur en particulier car elle peut être relayée à un autre serveur. Dans ce cas, on dit que le premier serveur Radius joue le rôle de proxy. Dans notre cas, nous n avons pas mis en place de proxy NPS par manque de temps et de matériel. La logique aurait voulu qu on installe un proxy NPS sur chaque site et que le site de Caen contienne le serveur NPS principal qui traite toutes les demandes. Les stratégies de demande de connexion permettent de définir qui va traiter la demande reçue : cela peut être le serveur en question ou un autre vers lequel on va rediriger la demande. Notons d ailleurs qu un serveur Radius peut jouer les 2 rôles en même temps en fonction de conditions différentes (ex : il va traiter les connexions filaires mais rediriger les sans-fils) Pour instaurer une nouvelle stratégie de demande de connexion, il suffit d aller dans la section Stratégies et de faire un clic droit sur la rubrique correspondante afin de la créer : On peut alors définir le nom de la stratégie et sa priorité. Cette option définit dans quel ordre elle est traitée. En reprenant le même exemple que précédemment, on peut créer une stratégie de priorité 1 pour les connexions sans-fil qui va rediriger les demandes et une autre de priorité 2 qui va traiter les demandes en connexion Ethernet. 23/42

Dans l onglet Conditions de la stratégie, on peut définir un ensemble de conditions à remplir pour que l action de la stratégie soit appliquée. Si un des paramètres ne rentre pas dans les conditions établies, on passe à la stratégie de priorité suivante (les priorités les plus basses sont traitées en premier) Dans notre cas, on impose une condition simple afin que toutes les demandes de connexion soient traitées : 24/42

iii. Stratégies réseau La dernière étape consiste à définir des stratégies réseau. Celles-ci sont appliquées si une des stratégies de demande de connexion a été acceptée (les conditions sont remplies) De la même manière, on peut définir différentes conditions et contraintes dans les stratégies réseau, à la différence qu ici elles peuvent aussi être de nature applicatives et pas seulement des couches basses du modèle OSI : On peut alors définir des contraintes sur les méthodes de chiffrement de l authentification. Si on en indique plusieurs, le serveur et le client vont effectuer une négociation pour choisir celle qui est définie en haut de liste en premier, puis après tester les autres en descendant. En résumé : - Le serveur NPS a défini les clients avec qui communiquer. - Si ceux-ci envoient des requêtes de connexion, le serveur les traitera, les relaiera vers d autres serveurs Radius ou les refusera en fonction des stratégies d accès réseau. - Si une stratégie d accès réseau a validé la demande de connexion au serveur, des paramètres d authentification seront négociés entre celui-ci et le client. Si cette négociation est réussie, la demande d authentification sera effectuée et le serveur répondra si le login et le mot de passe sont bons. 25/42

3. Configuration de SADMS i. Intégration au domaine Samba as Active Directory Member and Station est disponible via le gestionnaire de paquets Synaptics. Nous avons travaillé sur Ubuntu 11.10 mais le logiciel est aussi disponible pour la 12.10. Néanmoins, son intégration n est pas encore réalisée pour la distribution Debian. Pour installer SADMS, rien de plus simple : #apt-get install sadms Une fois l installation terminée, on lance le soft tout simplement avec la commande «sadms» Voici un aperçu de l interface qui s affiche : Sur l onglet Home, on aperçoit l état des différences services et l état de l intégration au domaine. Nous allons maintenant configurer cette intégration. On peut commencer par utiliser l outil «Détecter» qui va remplir certains champs automatiquement, surtout ceux relatifs à la machine avec laquelle on travaille. Cet outil nous envoie vers l onglet données, il faut remplir les informations manquantes à la main. 26/42

On renseigne les différents champs ainsi (pour certains, on peut mettre soit une adresse IP soit un nom DNS) : On peut ensuite demander au logiciel de confirmer les informations entrées pour vérifier qu il n y ait pas eu d erreur de syntaxe ou d oubli avec le bouton «Valider» Si tout se passe bien, tous les petits boutons gris en face de chaque champs deviennent verts. Si certains sont mal renseignés, ils seront rouges. Si vous n êtes pas sûrs de certains paramètres, il est très utilise d utiliser les outils de diagnostic afin de tester un par un les différents éléments à configurer (test DNS, test du LDAP Active Directory, etc.) Dans le menu «Utilitaires» on peut vérifier la synchronisation des horloges de la machine et du serveur, très importante lorsqu on utilise le protocole Kerberos : 27/42

Une fois que les différents paramètres ont été validés et testés, on peut lancer l intégration au domaine en cliquant sur «Installer» Si tout se passe bien, l écran suivant s affiche : On voit que l intégration au domaine est réalisée. Si cette opération ne se déroule pas correctement, il faut bien lire les messages d erreur qui s affichent dans la console en rouge. N hésitez pas à refaire les différents tests et revoir vos paramètres de connexion à l Active Directory. NB : Lorsque la jointure au domaine est impossible, il faut savoir que le mot de passe Administrateur doit avoir été réinitialisé au moins une fois depuis l installation de votre Windows Server! ii. Montage du répertoire distant A partir de là, la machine appartient bien au domaine. Vous pouvez tester si cela est effectif en vous déconnectant de votre session admin et en testant avec un utilisateur du domaine Active Directory. Maintenant, nous voulons que le répertoire de travail de l utilisateur soit monté à sa connexion, nous devons configurer le module PAM-Mount. On clique sur «Installer PAM» : 28/42

Dans le premier champ, il faut renseigner le nom DNS ou l adresse IP du serveur d où on désire créer un point de montage. Ici, il s agit de notre serveur Windows 2008 nommé «win-serv» Dans le deuxième champ, il faut indiquer le nom du partage auquel on souhaite accéder. Ici les profils sont stockés dans le dossier «profils2» et l étoile est un alias qui sera remplacé par le nom d utilisateur. Par exemple avec l utilisateur jeanguy, le répertoire profils2/jeanguy sera monté. Si tout se passe bien, on retourne sur la fenêtre d accueil avec tout fonctionnel : iii. Test de l interopérabilité On se logue sous Ubuntu avec l utilisateur Active Directory jeanguy. On constate dans son répertoire personnel la présence d un dossier monté, nommé «net-home». En l explorant, on retrouve le profil de l utilisateur. On crée alors un dossier dans son répertoire Bureau : On se déconnecte et se reconnecte sur Windows XP : Cela fonctionne! On retrouve bien notre répertoire d un système d exploitation à l autre. L installation s arrête ici. D autres fonctionnalités de SADMS sont encore à explorer, notamment l installation à distance qui fonctionne à l aide de SSH. 29/42

4. Installation d OwnCloud 1) Installer un serveur web Apache apt-get install apache2 Il faut changer le propriétaire du dossier owncloud chown -R www-data:www-data /var/owncloud 2) Puis on ajoute la source Linux pour installer owncloud echo 'deb http://download.opensuse.org/repositories/isv:owncloud:community/debian_6.0/ /' >> /etc/apt/sources.list.d/owncloud.list apt-get update apt-get install owncloud 3) Le dossier owncloud se trouve dans /var/www/owncloud 4) On se connecte avec un navigateur web à l adresse http://127.0.0.1/owncloud/ Et on se connecte pour la 1ere fois avec le compte admin (login : admin, passwd : admin) 5) Pour le lier avec le LDAP, il faut aller dans Paramètres -> Applications -> LDAP users and groups backend -> Activer 6) Un menu est apparu dans l onglet Paramètres -> Administration Il faut remplir les champs (voir l image de configuration dans le compte-rendu hors annexes) 7) Il n y a plus qu à se connecter avec un utilisateur du domaine à l adresse http://cloudserv.polyled.test/owncloud Nous n avons pas réussi à créer le point de montage avec l interface graphique pour que les utilisateurs puissent récupérer leurs fichiers personnels. Mais il existe une solution, en créant un fichier de configuration mount.php et passant les paramètres de montage entre le serveur de cloud et les stockages sur le NAS. 8) Après quelques tests, on a remarqué que tout le trafic de download/upload se faisait par le protocole http et non ftp. 30/42

5. Installation d un serveur OpenFire Pour commencer il faut tout d abord télécharger le logiciel ci-dessous que l on peut trouver sur le site du développeur Ignite RealTime à la page : http://www.igniterealtime.org/downloads/index.jsp Penser à mettre à jour Java! Sinon l interface web ne sera pas fonctionnelle. On peut lancer l installation (penser à lancer OpenFire Serveur en tant qu administrateur) : Faire start puis cliquer sur Launch admin. 31/42

Une page s ouvre automatiquement, choisissez le langage pour la configuration du serveur, pour nous cela sera bien sûr français : Il faut ensuite indiquer le domaine dans lequel vous voulez l intégrer, pour notre projet le domaine est polyled.test, les ports sont par défaut : Il faut choisir une installation par base de données embarquée, cela permet de se lier à la base de données Active Directory : 32/42

On choisit «Serveur LDAP» afin de pouvoir utiliser notre propre base de données AD, cela permet que seuls les utilisateurs de notre Active Directory puissent utiliser open-fire : Compléter comme tel : Type est la base de données utilisé (Active Directory), Hôte est l adresse IP du serveur AD avec son port (389 est le port par défaut) et la Base DN est le chemin absolu qui sert à atteindre la base de données des utilisateurs ; pour l authentification il faut ajouter le CN=Administrateur et utiliser le mot de passe admin de la base de données. 33/42

Les 2 prochaines étapes (2 et 3) ne nécessitent pas de modification, on les laisse telles quelles. On termine par l ajout du compte administrateur et l installation est finalisée. Celui-ci correspond bien à un compte de l Active Directory, il porte ici le même nom : 34/42

Sur le même lien que pour installer le serveur on trouve aussi de quoi l installateur du client Spark : Pour utiliser le client Spark il suffit simplement d utiliser ses identifiants et l adresse IP du serveur. 35/42

6. Installation d Agora-Project sur Debian SQUEEZE i. Installation & Configuration Serveur LAMP Lorsqu il est question d un serveur ''LAMP'', on décrit un serveur web faisant fonctionner, dans un environnement GNU/Linux, les logiciels de serveur web Apache, MySQL et PHP. On installe donc les paquets suivants : $ apt-get install apache2 apache2-doc mysql-server php5 libapache2-mod-php5 php5-mysql ii. Configuration PHP5 Il faut éditer le fichier php5.conf qui se trouve dans /etc/apache2/mods-enabled/ pour rajouter cette ligne. En pratique, on pourra donc utiliser cette commande pour ordonner à PHP de passer d'autres extensions de fichier, comme le php5 par exemple. Puis dans dir.conf situé dans /etc/apache2/mods-enabled/, on rajoute DirectoryIndex. Cette instruction permet de définir une liste de fichiers ressources à rechercher lorsqu'un client envoie une requête pour l'index d'un répertoire. ATTENTION : Il faut toujours faire un redémarrage du service Apache pour prendre en compte les modifications. $ /etc/init.d/apache2 restart Pendant l installation, le serveur Apache2 sera redémarré et vous allez sûrement rencontrer une erreur de ce genre : apache2: Could not reliably determine the server s fully qualified domain name, using 127.0.1.1 for ServerName Ceci n est absolument pas gênant et vous pouvez régler le problème en ajoutant la directive «ServerName» dans le fichier de configuration principal : /etc/apache2/apache2.conf $ nano /etc/apache2/apache2.conf Ajouter la ligne suivante : $ ServerName «votreserveur». 36/42

Nous vérifions le bon fonctionnement de PHP 5, nous allons donc créer le fichier PHP dans /var/www/ ce dossier sert pour le serveur web. C'est ici que vous pouvez créer de nouvelles pages HTML ou PHP pour mettre du contenu sur votre page web. Nous créons donc le fichier phpinfo.php : Une fois le fichier créé (et enregistré), il devrait apparaître sur la page d index de votre serveur. Cliquer alors dessus ou entrer directement l URL dans votre navigateur http://[votreserveur]/phpinfo.php. Cela doit vous donner toutes les infos concernant PHP de votre serveur, ceci doit apparaître : 37/42

iii. Installation et Configuration de PHPMyAdmin PHPMyAdmin est un outil pour administrer mysql via une interface web complète. $ apt-get install phpmyadmin Sélectionner Apache2 et appuyer sur [ESPACE] Configurer PHPMyAdmin avec dbconfig-common. Choisissez désormais votre ''login'' et ''mot de passe''. 38/42

Ajoutez maintenant PHPMyAdmin dans Apache, pour ce faire nous allons modifier le fichier /etc/apache2/sites-available/default et ajoutons ces lignes commis affichées dans la capture suivante. Nous allons entamer la plus grosse partie de cette annexe. C'est l'installation d'agora-project. iv. Installation AGORA-PROJECT Tout d'abord il est nécessaire de créer dans PHPMyAdmin, une base de données nommée ''agora''. Pour ce faire, connectez-vous sur la page Web et faites comme sur la capture. Une fois la base créée, allez dans /var/www et créer un dossier agora puis placez-vous dedans. Donnez à ce dossier tous les droits donc faîtes un chmod 777 : Une fois dans le dossier, il faut télécharger le paquet.zip d'agora. Vous avez 2 solutions, soit la télécharger en manuel en cliquant sur le lien et le dézipper dans le dossier ou faire un $wget http://www.agora-project.net/agora-project.zip puis $ unzip agora-project.zip 39/42

Une fois cela fait, allez dans votre navigateur web et taper l'adresse : http://[votreserveur]/agora/install/ Vous devriez tomber sur cette page : Vous devrez remplir tous les champs où il y a de l'écriture rouge. Vous avez désormais installé Agora- Project. Mais après cela vous supprimez le fichier ''install'' du répertoire et remettez les droits en 755. 40/42

v. Coupler Agora-Project et LDAP. Il faut récupérer sur ce site (http://www.agora-project.net/discussion/viewtopic.php?f=5&t=2699) le fichier ZIP correspondant à votre version d'agora. Et ensuite remplacer tous les fichiers dans le dossier ''agora'' par ceux du ZIP. Une fois cela fait, il faut remplir les champs du fichier ''../module_utilisateurs/configldap.inc.php'' dans le dossier agora. Et remplacer les valeurs par les votre pour contacter le LDAP. Puis sur agora, allez dans «paramétrage global» puis sur «connexion serveur LDAP» et mettez de nouveau vos coordonnées 41/42

Après cette modification, allez dans l'onglet ''Utilisateur'' puis sur votre gauche ''MAJ entrées LDAP'' pour avoir une fenêtre qui s'ouvre et voir les mises à jour. Enfin vous allez voir apparaître tous les utilisateurs inscrits dans votre LDAP. Vous avez désormais fini l'installation d'agora-project et la connexion avec LDAP. 42/42

Ce dossier fait office de compte rendu au sujet de la partie «Service Utilisateurs» du projet Polyled. Il permet la compréhension et l installation d un serveur de stockage et d authentification des utilisateurs, ainsi que le déploiement de différents services utilisés par ces derniers : Cloud-Computing, messagerie instantanée, et travail collaboratif This folder acts as a report about the User Services part of the Polyled project. It allows the comprehension and the installation of an user storage and authentication server, as the deployment of different services used by these last : Cloud-Computing, instant messaging, and collaborative work Mots clés : Windows Server, Active Directory, NPS, SADMS, OpenFire, Agora Project, OwnCloud