OCS Inventory

Configuration d’OCS côté serveur

Nous commençons par installer le paquet OCS-Inventory.
Ensuite, nous allons commencer par faire une mise à jour des paquets :
apt-get update && upgrade
Maintenant nous allons installer les librairies nécessaire à l’installation de OCS Inventory :
apt-get install make apache2 mysql-server php5 libapache2-mod-php5 php5-mysql php5-gd php5-curl perl libapache2-mod-perl2 libxml-simple-perl libio-compress-perl libdbi-perl libapache-dbi-perl libdbd-mysql-perl libnet-ip-perl libsoap-lite-perl libxml-libxml-perl libarchive-zip-perl
Maintenant, indiquons à CPAN ( archive de logiciels, de bibliothèques de fonctions écrits en langage Perl et de documentation concernant ce langage) de se configurer automatiquement :
cpan –i XML ::ENTITIES
Maintenant, installons mysql et phpmyadmin afin d’avoir une interface web conviviale pour gérer nos bases de données :
apt-get install –y mysql-server php5-mysql phpmyadmin
Afin d’accéder à l’interface web de phpmyadmin il vous suffira de taper l’URL suivante :
http://localhost/phpyadmin/
Sur phpmyadmin ajoutez un utilisateur nommée “ocs” et donnez lui tous les privilèges .
Redémarrer le service apache : service apache2 restart
Extraire l’archive puis se mettre dans le répertoire résultant de la décompression :
tar -xzvf ​OCSNG_UNIX_SERVER-2.3.tar.gz && cd OCSNG_UNIX_SERVER-2.3
Lancer l’installation de OCS :
./setup.sh
Nous allons créer les liens symboliques :
ln -s /etc/apache2/conf-available/ocsinventory-reports.conf /etc/apache2/sites-enabled/
ln -s /etc/apache2/conf-available/z-ocsinventory-server.conf /etc/apache2/sites-enabled/
Changez le propriétaire du fichier suivant :
chown www-data:www-data -R /var/lib/ocsinventory-reports
Redémarrer le service apache :
service apache2 restart
LINUX serveur :
Allez sur​ ​http://Votre_IP/ocsreports
Mysql Login : ​root
Mysql password : ​“mot de passe renseigné lors de l’installation de mysql “
Name of Database : ​ocsweb “par défaut c’est ocsweb mais si toutefois vous voulez le changez : ​vi /etc/apache2/conf-enabled/z-ocsinventory-server.conf ​“
Mysql hostname :​ localhost
Il vous affiche normalement une alerte concernant le fichier d’installation pour se débarrasser de cette notification vous avez juste à utiliser la commande suivante :
rm /usr/share/ocsinventory-reports/ocsreports/install.php

Configuration d’OCS côté client

Allez sur des machines clientes et installer vos agents ocs avec la commande suivante :
apt-get install ocsinventory-agent
Démarrer vos agent :
LINUX :
Installez le paquet : apt-get install ocsinventory-agent

Puis forcer le lancement de l’agent avec la commande : ocsinventory-agent -f
WINDOWS :

Télecharger le paquet puis lancer l’installation .
Ensuite cliquez sur l’exécutable afin de démarrer l’agent .
QUESTIONS :
Quel est la version d’OCS Inventory qui a été installé ?
C’est la version 2.3 qui a été installé .
Dans quel fichier est indiqué le nom de la base de donnée d’OCS ainsi que le nom de
l’administateur OCS ?
Il est indiqué dans le fichier /etc/apache2/conf-enabled/z-ocsinventory-server.conf .
Comment se connecter à OCSINVENTORY ?
Tapez l’URL suivante : http://localhost/ocsreports
Ensuite utiisez les coordonnées suivants afin de vous y connecter :
ID : admin
MDP : admin
Quelles informations avez-vous récupéré ?
La date et l’heure de la dernière synchronisation faite par l’agent sur le serveur
Le nom de l’utilisateur
Le nom de l’ordinateur
Le système d’exploitation
La RAM
Le CPU ( processeur )
Sur quel port écoute mysql ?
C’est le ​port 3306
OCS inventory c’est quoi ?
C’est une application permettant de réaliser un inventaire sur la configuration matérielle
des machines du réseau ainsi que les logiciels qui y sont installés
Quels sont les prérequis ainsi que les composants ?
Les prérequis ainsi que les composants de OCS sont les suivants :
● MySQL
● Apache 2
● Php 5

SI7 – GLPI

GLPI (Gestion Libre de Parc Informatique) est un gestionnaire de parc informatique libre. Il permet de centraliser des outils liés à l’administration d’une structure informatique d’une entreprise. La fonctionnalité qui est en majeure partie utilisée par les services informatiques est la gestion de tickets d’incidents.

Installation des services GLPI

Pour commencer nous allons installer trois modules incontournables dans la réalisation du projet : Apache, PHP, MySQL Premièrement, installons le serveur web Apache. Comme GLPI est programmé en PHP, il est nécessaire d’installer le module permettant à apache d’interpréter du PHP. En « root», saisissez les commandes suivantes (nous considérons que toutes les lignes de commandes seront saisies en root):

~# apt-get install apache2 php5 libapache2-mod-php5

Une série de questions sont posées auxquelles nous répondons par «O» si vous voulez poursuivre l’installation.

Option:​ Si vous souhaitez utiliser une méthode d’authentification externe comme IMAP, LDAP ou un serveur CAS, il faudra ajouter un de ces packages (ce n’est pas le cas dans notre projet):

~# apt-get install php5-imap php5-ldap php5-curl

Glpi fonctionne également avec une base de données MySQL, c’est pourquoi nous avons besoin d’installer «mysql-server» et les librairies PHP:

~# apt-get install mysql-server php5-mysql

Définissons à présent le mot de passe MySQL: Btssisr Pour des raisons de sécurité, maintenant nous devons saisir un mot de passe pour le compte administrateur de MySQL “Btssisr”. Redémarrer les services Apache et MySQL:

~# /etc/init.d/apache2 restart 4 ~# /etc/init.d/mysql restart

Les services nécessaires au fonctionnement de GLPI sont présents, cependant quelques étapes sont encore à faire pour l’utiliser. Nous allons créer la base de données «glpidb» qui sera utilisée par GLPI.

~# mysql -u root -p enter password : azerty

mysql> create database glpidb;

Nous allons également créer l’utilisateur «GLPI» (avec son mot de passe: azerty) et lui donner les privilèges nécessaires pour qu’il puisse tout faire dans cette base:

mysql> grant all privileges on glpidb.* to GLPI@localhost identified by ‘azerty’’; mysql> quit

Téléchargement et installation de GLPI

Il faut désormais récupérer la dernière version de GLPI sur l’intranet puis l’extraire :

~# tar xzf glpi-9.2.1.tar.gz

Copier le dossier “glpi” dans “ /var/www/”:

~# cp glpi /var/www/

Donner les droits au dossier “glpi” :

~#​ chmod -R 777 /var/www/glpi

Activation du site: Créer un fichier dans /etc/apache2/sites-available​ :

~# vi /etc/apache2/sites-available/glpi.conf

Avec le contenu suivant :

ServerName 172.16.77.35

DocumentRoot /var/www/

AllowOverride All

Order allow,deny

Options Indexes

Allow from all

Puis activer ce site : a2ensite glpi

Redémarrer apache: service apache2 restart

Configuration de GLPI

Maintenant il faut configurer GLPI depuis le navigateur web. Il faut accéder à l’URL http://localhost/glpi

PPE2 – Mission clé/DHCP/NTP

Clé

SSH :

Créer la clé DSA :                                                                                                                1- repertoire personnel

2- ssh-keygen -t nom_clé

3- Entrer nom_du_fichier ou mettre la clé

4- Entrer passphrase

5- Re-entrer passphrase

DSA ——> cat ~/.ssh id_dsa

RSA ——> cat ~/.ssh id_rsa

Vérification que la clé est bien créer à l’aide de la commande suivante :                          ls -alR .ssh cat ~/.ssh/id_dsa

Modifier passphrase :                                                                                                          ssh-keygen -p -f ~/.ssh/le_fichier_de_la_cle

rm /etc/ssh/ssh_host_*

dpkg-reconfigure openssh-server

 

DHCP

Tout d’abord on installe le paquet donc on mets à jour puis on installe :                            apt-get update                                                                                                                apt-get install isc-dhcp-server

Pour pouvoir configurer le dhcp il faut aller dans le fichier de configuration dhcpd.conf

nano /etc/dhcp/dhcpd.conf

subnet 192.168.1.0 netmask {                                                                                            range 192.168.1.205 192.168.1.230;                                                                                  option domain-name-servers 192.168.1.5, 88.178.189.254;                                              option domain-name « src-bn.lan »;                                                                                      option routers 192.168.1.1;                                                                                                  option broadcast-address 192.168.1.255;                                                                          option ntp-servers 192.168.1.4, 88.178.189.254;                                                      default-lease-time 600;                                                                                                      max-lease-time 7200;                                                                                                          }

Puis on relance le service dhcp :                                                                                            service isc-dhcp-server stop                                                                                                service isc-dhcp-server start

Ainsi pour l’instant le serveur va pouvoir donné jusqu’à 25 adresses dynamiquement.

Ensuite pour permettre d’avoir des adresses en static avec le dhcp, on est toujours dans le fichier dhcpd.conf a la suite de ce qu’on a écrit. Ont prendre l’adresse mac des postes puis ensuite on leurs attributs une adresses.

Par exemple :

host dev1 {                                                                                                              hardware ethernet  00:0c:29:c5:3c:a0;                                                                        fixed-address 192.168.1.101;                                                                                              }

NTP

Tout d’abord on va installer les paquets. Pour ce faire on mets à jour puis on installe.

apt-get update                                                                                                                apt-get install ntp

Puis on configure le serveur de temps dans /etc/ntp.conf

ligne : 3        driftfile /var/lib/ntp/ntp.drift                                                                              ligne : 8        statistics loopstats peerstats clockstats                                                    ligne : 9        filegen loopstats file loopstats type day enable                                          ligne : 10      filegen peerstats file peerstats type day enable                                        ligne : 11      filegen clockstats file clockstats type day enable

ligne : 25      server 88.178.189.254 prefer                                                                        ligne : 26      server 192.168.1.4

ligne : 48       restrict 127.0.0.1                                                                                          ligne : 49       restrict  ::1

ligne : 76       192.168.1.4

Puis on lance le service.

service ntp start

Enfin sur les stations client on mets à jour puis on installe ntpdate.

apt-get update                                                                                                                apt-get install ntpdate

Puis on va dans le fichier /etc/default/ntpdate.

NTPSERVERS= »192.168.1.4 , 88.178.189.254″

Et pour vérifier la synchronisation on vérifie à l’aide de la commande suivante :

ntpq -p

Mission 7 – Garantir la disponibilité d’un service

http://docs.sio.lla.fr/ppe3-4-sisr/Missions/2018%20-%20GSB%20-%20Mission%207%20-%20Garantir%20la%20disponibilite%cc%81%20d’un%20service.pdf

Mission 7 : Garantir la disponibilité d’un service

Mise en place d’une haute disponibilité du serveur web de l’entreprise

 

Solution choisie : LVS. On dispose de 2 serveurs directeurs.

 

https://www.guillaume-leduc.fr/lequilibrage-de-charge-sous-linux-avec-lvs-theorie.html

 

https://www.guillaume-leduc.fr/lequilibrage-de-charge-linux-avec-lvs-mise-en-pratique.html

 

Mission 6 – Supervision des serveurs

Mission 6: Supervision des serveurs

mise en place d’un système de supervision

Tableau synthétique des contraintes

Cartographie des serveurs (parents).
Chaque serveur doit être testé avec le protocole ICMP.
Certains services doivent être surveillés: Labnas : service WEB Bdlab : service SQL mutlab :temps de mise en fonctionnement (uptime)
mutlab : état des ventilateurs (fan status)
labannu : DNS interne, capacité disponible sur le disque du serveur.

Définition des besoins

Afin d’anticiper tout dysfonctionnement des serveurs, le DSI vous demande d’ajouter une application de supervision (par exemple Nagios, Centreon ou Shinken) sur le serveur intralab. Cette application doit fonctionner 24h/24h et doit superviser tous les hôtes de type serveur

Contraintes

Les contraintes suivantes sont définies par la DSI concernant la supervision de l’infrastructure:

• Une cartographie simple doit représenter l’ensemble des serveurs actifs
• Chaque serveur doit être testé (en tant qu’hôte)

• Certains services doivent être surveillés:
  • labannu: DNS interne, capacité disponible sur le disque du serveur
  • Labnas : service WEB
  • Bdlab : service SQL
  • mutlab : état des ventilateurs (fan status) et temps de mise en fonctionnement (uptime)

Installation de Nagios 4.2

Commande :

wget https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.2.4.tar.gz

tar xzvf nagios-4.2.4.tar.gz

cd nagios-4.2.4

./configure –with-nagios-group=nagios –with-command-group=nagcmd –with-httpd-conf=/etc/apache2/conf-available

make all

make install

make install-commandmode

make install-init

make install-config

/usr/bin/install -c -m 644 sample-config/httpd.conf /etc/apache2/sites-available/nagios.conf

usermod -G nagcmd www-data

ln -s /etc/init.d/nagios /etc/rcS.d/S99nagios

Vérification de l’installation

/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

Configuration d’apache2 et Virtual Host

sudo a2enmod rewrite && sudo a2enmod cgi

sudo cp sample-config/httpd.conf /etc/apache2/sites-available/nagios4.conf
sudo chmod 644 /etc/apache2/sites-available/nagios4.conf

sudo a2ensite nagios

On peut ensuite redémarrez apache

systemctl restart apache2

Installation Nagios Plugins

cd nagios-plugins-2.1.2/
make
make install

Démarrer Nagios

systemctl enable nagios

Configuration de Nagios

Ensuite une fois Nagios installé, nous allons devoir déclarer les hôtes dans le fichier suivant :  » /usr/local/nagios/etc/objects/gsb1.conf »

Capacité disponible labannu:

Pour surveiller la capacité du serveur labannu nous allons utilisé le check_nt :

Map Nagios :

Le labnas doit être redémarré de temps en temps car il crash régulièrement :

Mission 5 – Web Services

 

Mission 5: Web Services

Mise en place d’un serveur Web Services

 

Ce qu’il faut faire :

 

Vous devrez prendre connaissance auprès des développeurs de leur environnement de travail.

Il faudra ensuite s’assurer que les différents Web services soient accessibles depuis Internet via le protocole http et que le routage applicatif soit opérationnel.

Le «serveur-web» devra communiquer avec le serveur «bdlab» qui hébergera les bases de données nécessaires. Seul l’utilisateur appli (mot de passe à définir) accèdera à ces bases de données. Il aura les permissions de lecture, d’insertion et de modification des données. Toute autre opération lui sera refusée.

 

Configuration du serveur web

 

Pour commencer, on ajoute une interface éthernet sur proxsilab (eth2) avec l’adresse 192.168.80.2 pour qu’il puisse être directement relié au serveur web interdit.

On ajoute ensuite le nouveau serveur web dans le vlan DMZ avec comme adresse IP 192.168.80.3.

Les deux serveurs peuvent désormais ping entre eux.

 

Configuration du serveur “bdlab”

 

On crée l’utilisateur “appli” sur le serveur MySQL qui va permettre d’accéder à toutes les bases de données des développeur.

Pour créer un utilisateur sur MySQL, il faut taper cette commande:

“CREATE USER appli IDENTIFIED BY ‘azerty;”

 

Pour vérifier que l’utilisateur a bien été créé, on peut taper la commande ci-dessous qui permet d’afficher tous les utilisateur MySQL:

“select user from mysql.user;”

 

L’utilisateur “appli” doit pouvoir lire, insérer et modifier des données dans les bases de données du serveur. Pour que cette utilisateur ai ces privilèges sur mysql, il faut taper la commande suivante :

“GRANT SELECT, INSERT, UPDATE ON *.* TO ‘appli’@’localhost’;”

 

Pour vérifier que les privilèges se sont biens ajoutés pour l’utilisateur “appli”, il faut taper cette commande :

 

Redirection de port et règle de pare-feu:

 

Pour le bien de la mission nous avons besoin que lorsqu’un client tape l’url “gsb1.com” dans son navigateur il tombe sur la page web du serveur local dont l’adresse est 192.168.80.3.

Pour ce faire nous allons faire de la redirection de port du RTROUT et ajouter un règle de pare-feu pour autoriser les requêtes HTTP à passer par le proxy.

Pour ce faire une utilise la commande suivante :

Cette commande rediriger les requète arrivant sur le port 80 de l’interface eth0 de rtrout vers le serveur web 192.168.80.3:80

Une fois cette ligne ajoute, on retourne sur proxsilab et dans le fichier pare-feu on ajoute la commande :

Cette commande permet d’autoriser les requête provenant du port 80 à accéder au serveur WEB et au réseaux internet.

Dans les besoin de la mission nous devons aussi autoriser certaine connexion.

Le serveur web doit pouvoir communiquer avec BDLAB.

Le serveur web doit pouvoir communiquer avec le réseau DEV.

Le réseau DSI doit pouvoir communiquer avec internet.

A l’aide des commandes suivantes:

 

Une fois tout cela fait, nous pouvons passer à la suite.

 

Importation de la base de données des développeurs

 

Pour importer la base de données des développeurs, on s’est connecté à un ordinateur d’un développeur en ssh.

Une fois connecté, on fait une sauvegarde de la base de donnée grâce à la commande suivante :

 

“mysqldump –user=mon_user –password=mon_password –all-databases > fichier_destination.sql”

 

La commande “mysqldump” crée un fichier de sauvegarde.

Donc, nous allons transférer ce fichier dans le serveur bdlab à l’aide d’une commande scp :

”scp bdd.sql 172.16.70.101:/etc”

 

Nous allons maintenant automatiser la procédure de sauvegarde de la base de données de développeurs ainsi que de leurs programmes . Voici les scripts:

 

ICI

 

Installation de Symfony 3.4.1

 

Pour installer symfony on passe d’abord notre serveur web en debian 8 car la version de php de debian 7 n’est pas assez récente.

 

“Comment passer en debian 8”

 

Détailler installation symfony

http://docs.sio.lla.fr/slam4/SYMFONY/S_13_NOV_2017/Symfony_INTRO.pdf

 

symfony-installer new /var/www/html/nomProjet_1 3.4

 

chmod 777–R /var

 

On supprime la condition ci-dessous dans /var/www/html/web/app_dev.php qui bloque les utilisateurs extérieurs

if (!in_array(@$_SERVER[‘REMOTE_ADDR’], array(

‘127.0.0.1’,

‘xxx.x.xx.xxx’,

‘::1’,

))) {

header(‘HTTP/1.0 403 Forbidden’);

exit(‘You are not allowed to access this file. Check ‘.basename(__FILE__).’ for more information.’);

}

 

Lorsque symfony est installé, on ouvre un navigateur et on tape l’url de notre page web :

“http://192.168.80.3/html/nomProjet_1/web/app.php”

 

Installation de flask

https://www.digitalocean.com/community/tutorials/how-to-deploy-a-flask-application-on-an-ubuntu-vps

Mission 4 – Sécurisation des accès Internet

 

Mission 4 : Sécurisation des accès Internet

Mise en place du filtrage et de l’historisation des accès internet

 

Les contraintes suivantes sont définies par la DSI concernant la sécurisation des accès internet:

 

• Aucun utilisateur de GSB ne pourra accéder à internet sans se soumettre à l’historisation de sa connexion, ni au filtrage précis des sites auxquels il accède.

 

• La liste des différents sites WEB qualifiés de non autorisés devra être mise à jour automatiquement et quotidiennement à partir d’une base de données de sites non autorisés disponibles sur Internet.

 

• Pour l’utilisateur, l’accès à Internet ne devra en aucun cas être différent de sa procédure habituelle. Il s’agit donc de mettre en place une solution qui ne l’oblige pas à configurer quoi que ce soit sur son navigateur WEB habituel. Toutes les solutions techniques permettant d’obliger l’utilisateur à utiliser de manière transparente l’historisation et le filtrage WEB devront être étudiées et comparées.

 

• Néanmoins, pour accéder à Internet, une authentification sera obligatoire par nom et mot de passe afin d’identifier qui est la source de la connexion Internet, et l’historiser correctement.

 

• Cependant, les noms et mots de passe de connexion à Internet ne seront pas ceux actuellement stockés dans l’Active Directory de GSB.

 

• Le serveur mandataire (actuellement en version 2.7) installé sur proxsilab devra impérativement être basculé en version 3.x afin d’anticiper un futur passage des adresses IP internes en IPv6.

 

Rapport de choix de solutions

 

Nous avons déjà sur le site l’application Squid mais malheureusement elle ne propose pas de solution de filtrage. C’est pourquoi nous allons aussi utiliser SquidGuard pour combler cette fonctionnalités.

 

Rapport d’étude préalable présentant pour chaque lot de la solution technique retenue.

 

Squidguard est un outil permettant de filtrer les pages web en se servant des URI (Uniform Resource Identifier) et, éventuellement, des noms d’utilisateurs, si l’on fait de l’authentification de ces derniers.

SquidGuard utilise lors du filtrage des urls regroupées en listes blanches et listes noires. Une liste noire est une liste de sites interdits. On va donc filtrer l’accès à Internet via cette liste noire. Si l’utilisateur essaie de se connecter à l’un des sites contenus dans cette liste , il sera redirigé vers une page choisie.

Une liste blanche permet d’accéder aux adresses qu’elle contient, qui sont considérées comme valide . L’inconvénient de ce genre de filtrage repose sur des défauts dans la mise-à-jour de ces listes , puisque des urls non valides se créent chaque jour ,et que SquidGuard peut difficilement les prendre en compte . De même on peut passer par un proxy HTTP et contourner de ce fait le filtrage mis en place par SquidGuard.

 

Cette solution correspond parfaitement au cahier des charges c’est pourquoi nous allons l’utiliser.

 

Rapport d’étude détaillée présentant la mise en place de la solution technique

 

I ) Mise à jour et modifications du serveur mandataire :

On commence tout d’abord par passer le serveur mandataire en version 3.x à l’aide de la commande : “apt-get install squid3”.

 

Puis on déplace le fichier squid.conf dans squid3

 

Ensuite on commente les lignes qui causes des  “ERROR” lors du redémarage.

Squid3 peut maintenant se lancer sans problèmes.

 

II) Authentification obligatoires :

Pour qu’aucun utilisateur ne puisse se connecter  à internet sans se soumettre à l’historisation de sa connexion on commence par aller dans le fichier :  “squid.conf” puis on y ajoute les lignes ci-dessous pour mettre en place l’authentification des utilisateurs :

 

Par la suite on force les utilisateurs à s’authentifier en ajoutant une acl tout en bas des ACL déjà présente dans squid.conf pour que l’acl s’applique à tout le monde

• ( Une Access Control List permet de filtrer les paquets IP, c’est à dire les paquets du niveau 3. Elle permet de définir les actions possibles des utilisateurs du réseau. Ainsi, une ACL va indiquer au routeur les paquets qu’il doit accepter et ceux qu’il doit refuser, notamment en fonction de leur adresse IP de provenance, leur IP destination et les ports source et destination ) :

Puis on autorise que les utilisateurs authentifié à passer le proxy :

 

Ensuite on va créer un utilisateurs squid pour qu’il puisse accéder à internet:

On supprime l’ancien squid maintenant que squid3 est fonctionnel avec la commande :

“apt-get remove –purge squid”

III) Filtrages avec squidGuard :

 

Dans squidGuard.conf on indique la base de données avec “dbhome” qui contient les domaines interdit. Dans la partie acl on redirige les utilisateurs qui essaye de se connecter au site interdit sur une page web du serveur intralab.

Dans les fichiers domains et urls on indique les 3 sites que l’on veut bloqué :

On peut tester en allant sur un des sites filtrer, on tombe sur la page suivantes:

 

1. IV) Historisation des connexions :

 

L’historisation des connexions se fait automatiquement, lorsqu’on installe squid pour les voirs, il faut aller dans le fichier suivant :” /var/log/squid3/acces.log”

 

1. V) Mise à jour automatique d’une blacklist.

 

La solution a été mit en place à l’aide d’un script mais ne peut être tester suite à des problèmes de bande passante, la mise à jour automatique ne peut pas se faire en journée.

 

1. VI) Authentification automatique du proxy

 

Ne fonctionne pas.

Mission 3 – Mise à jour des serveurs Linux

 

Mission 3 :Mise à jour des serveurs Linux

 

Dans cette missions:

• nous devons passer les serveurs Debian 6.x en version 7.x
• Nous assurer que le fonctionnement est assuré ( services, règles de pare-feu, virtualisation).
• De supprimer l’ancienne version du noyau afin de ne laisser que la version 3.2.0-4 amd64 et de basculer le système de fichiers en etx4 pour les serveurs fonctionnant à l’origine en etx3.
• Et enfin être capable de revenir à l’ancienne version en cas d’incompatibilité majeure.

 

I ) On va commencer par faire la migration de debian 6.x vers la version debian 7.x.

 

Nous allons d’abord vouloir vérifier la version de notre Debian actuelle. La version de Debian est inscrite dans le fichier « /etc/debian_version » . On utilise la commande

“cat /etc/debian_version”

 

Nous allons ensuite mettre notre système au propre et à jours dans sa version 6 pour être certains que tout se passe bien lors de la migration vers sa version 7

avec la commande : “apt-get update”

 

La commande « update » se charge de mettre à jour la liste des paquets présents sur les dépôts sur internet. Pour cela il va lire le fichier « /etc/apt/sources.list » qui contient des URL vers les paquets en question et leur sources (des « .deb » ou des « .tar.gz« ). Il est préférable de lancer cette commande avant toute installation ou mise à jour afin d’être certains d’avoir la dernière version du ou des paquets qui seront téléchargés ensuite.

On utilise ensuite la commande : “apt-get upgrade”

 

La commande « upgrade » va se charger d’installer les versions les plus récentes des paquets qui sont déjà installés sur le système. Le système saura qu’ils ne sont pas à jours si nous avons fait un « update » avant et que la version du paquet installé ne correspond pas à celle présente sur les dépôts . Si la version diffère, il télécharge et met à jour ce paquet. le manuel de la commande précise bien que cette commande ne supprimera et n’ajoutera pas de paquet.

 

Comme dit précédemment, le système va lire le fichier « /etc/apt/sources.list« . Pour mettre à jour le système, il faut modifier ce fichier pour lui dire d’aller chercher les paquets sur les dépôts de Wheezy plutôt que celui de Squeeze. Il nous faut donc modifier le fichier qui ressemble normalement à cela :

 

Vers cela :

 

Maintenant que notre fichier source pointe vers la nouvelle version stable de Debian, nous pouvons mettre à jour notre liste de paquet  avec la commande :

“apt-get update”

Mettre à jour les paquets installés sur le système avec la commande :

“apt-get upgrade”

Puis une mise à jour majeure avec la commande :

“apt-get dist-upgrade”

 

La commande « dist-upgrade » a la même fonction que la commande « upgrade » mais avec une gestion plus intelligente des dépendances d’un paquet. On pourra ensuite redémarrer notre serveur puis vérifier à nouveau la version de notre Debian avec la  commande : “cat /etc/debian_version”

 

II ) Suppression des noyaux

On va ensuite supprimé les anciennes versions du noyaux pour ce faire,  on liste l’ensemble des noyaux installés avec la commande :

: dpkg -l | grep -Ei « linux-(g|h|i|lo|si|t) » | sort -k3

 

version grobe cela donne :

 

on utilise “uname -r” : Connaître la version du noyau en cours d’utilisation

 

Après le passage de la version 6 à 7 de debian il faut redémarrer la machine pour que la version du noyaux utilisé soit la bonne

On va s’occuper ensuite de supprimer les anciennes versions de noyaux (2.6.xx ) avec la commande suivant : “ apt-get remove “ nom du noyau ‘ ( sélectionner le nom du noyau et faite un clic droit pour qu’il se mette tout seule) .

 

Ce qui donne :

 

Une fois qu’on a fais sa le serveur DHCP à planter . Il ne distribuait plus d’adresse IP. Pour réparer ça on vue que dans le fichier “/etc/dhcp/dhcpd.conf” , à la première ligne il y avait écrit : “ ddns-update-style ad-hoc;” or la norme ad-hoc n’est plus supportée en debian version 7 on remplace donc ad-hoc par “interim”.

 

Conversion ext3 en ext4

Nous allons maintenant convertir le système de fichier qui se trouve en ext3 et ext4.

Pour ce faire connectez vous en bootant sur un CD-ROM et tapez les lignes suivantes.

 

Certaine lignes peuvent mettre beaucoup de temp à se lancer donc pas d’inquiétude.

Pour vérifier qu’on est bien passé en ext4 on tape la commande “mount  -t ext4” ce qui donnera ( si rien ne s’affiche c’est que la conversion n’a pas marché ):

 

Revenir à une ancienne version en cas d’incompatibilité majeure :

 

Pour se faire nous avons fait une snapshot de chaque poste avant de faire la mise à jour vers debian 7 et ext4.

 

Mission 2 – Centralisation de l’administration des serveurs virtualisés

Mission 2 :Centralisation de l’administration des serveurs virtualisés

 

 

• Que devons nous faire dans cette mission ?

 

 

Les contraintes suivantes sont définies par la DSI concernant la sécurisation des accès au serveur de virtualisation :

_ L’accès au serveur de virtualisation ne pourra se faire que depuis le réseau DSI de GSB.

_ Seuls les protocoles nécessaires à la connexion au serveur ESXi seront autorisés à transiter par rtrout.

_ Pour des raisons de sécurité la stratégie d’administration des serveurs virtualisés ne vous permet que de :

arrêter, démarrer, redémarrer, prendre des snapshots, restaurer des snapshots.

 

2.  Comment faire ?

 

On se connecte au routeur sur lequel on va faire les configurations grâce au logiciel “putty”. Une fois dessus on va commencer par lui ajouter des routes pour qu’il puisse communiquer avec le réseau. Pour créer une route on se rend dans le fichier “/etc/network/interfaces” et on tape la commande suivante en bas du fichier

: “up route add -net ( pour un réseau) / -host (pour un seul hote)  xxx.xxx.xxx.xxx/xx gw xxx.xxx.xxx.xxx” on enregistre le fichier et on relance le service réseau pour que cela prenne les nouvelles configuration en compte.

 

On va ensuite créer les différentes règles de pare-feu.

Avec la commande suivante :

“iptables -A FORWARD ( si il y a du routage sinon mettre INPUT ) -i ‘Interface_d’entrée’ -o ‘Interface_de_sortie’ -d ‘@IP_destination “ (Pour l’aller du paquet)

“iptables -A FORWARD ( si il y a du routage sinon mettre OUTPUT ) -i ‘Interface_d’entrée’ -o ‘Interface_de_sortie’ -s ‘@IP_source “ (Pour le retour du paquet)

 

Et activer le protocole NAT sur le routeur(rtrout) pour que le réseaux puisse communiquer avec l’extérieur. C’est-à-dire qu’une adresse IP privé puisse communiquer avec une adresse IP public. Avec la commande suivante :” iptables -t nat -A POSTROUTING -s ‘@IP_source’ -o ‘interface_de_sortie’ -j MASQUERADE”

 

Mission 1 – Mise en place de l’infrastructure

Mission 1 : MISE EN PLACE DE L’INFRASTRUCTURE
Configuration et phase de tests de MUTLAB

 

 

I ) Quel est l’objectif de cette mission ?

Dans un premier temps nous allons devoir configurer manuellement le commutateur, c’est-à-dire, lui donner un nom, lui créer des VLANS et définir par défaut un plus grand nombre de VLANS.
Ensuite une fois les VLANS créés, nous devrons leurs affectés les ports donnés dans le cahier des charges ainsi que leurs adresses IP, qui par la suite nous permettra de créer les routes vers les différents serveurs/commutateurs et de notifier l’adresse IP des serveurs.
Une fois tout cela fait, nous devons activer le relai DHCP sur le commutateur MUTLAB, et s’assurer que le serveur DNS soit bien le serveur Labannu et enfin faire une phase de test pour vérifier que le cahier des charges est bien respecté et que tout fonctionne correctement.

Comment faire ?

II)
Pour commencer, on va nommer notre commutateur. Pour ce faire on se connecte au mode “configuration terminal” à l’aide de la commande “conf t” et on tape la commande suivante : “hostname xxxxx” puis faire un “write mem” pour sauvegarder les modifications .

Nous allons ensuite créer les VLANS mais par défaut le nombre de Vlans est limité à 8 :

Pour augmenter le nombre de vlans maximum on réalise la commande suivante et ont redémarre le routeur : “max-vlans x” ( x étant le nombre de VLANS souhaités) et on oublie pas de faire un “write mem” pour sauvegarder la configuration et une fois cela fait, on peut redémarrer.

Ensuite, nous allons pouvoir créer nos vlans avec la commande :
“Vlan x name xxx” (X étant le numéro du vlan et xxx le nom que l’on souhaite donner au vlan )
Après, redémarrer le switch et grâce à la commande “show vlans”, nous allons pouvoir voir les différents VLANS présent sur le commutateur avec leurs noms, leurs ports (si affecté) avec comme information le statut du VLANS ( activé ou en suspend ).

On va ensuite attribuer les ports et les adresses IP au VLANS.
Quand on attribue une adresses ip à un VLANS, il faut faire attention à ne pas mettre l’adresse de sous réseau.
Pour mettre une adresses IP à un VLANS on utilise la commande :
“Conf t” pour entrer dans le mode configuration terminal.
On écrit ensuite le nom du VLANS : “vlan x” .
Une fois dans le VLANS on entre la commande suivant : “ ip address 192.168.x.x 255.255.255.0”
Et on fais sa pour chaque VLANS et on oublie pas de faire un “write men” à la fin pour sauvegarder sa configuration.

Une fois les commandes effectuer, la commande “show ip address” nous permettra d’afficher les adresses ip ainsi que les masques de sous-réseaux des différents VLANs :

On va ensuite affecter les ports aux VLANS , pour se faire toujours en configuration terminal on écrit la commande suivante : “ vlan x untagged y-y” ( pour plusieurs ports qui sont suivie numériquement) ou “vlan x untagged y” ( pour seulement un port) ( x représentant le nom du vlan et y le numéro du port).

On peut ensuite regarder la configuration d’un vlan en particulier grâce à la commande : “Show vlan id”

Il y à un seul serveur DHCP qui est activé dans l’infrastructure, il faut donc que le switch fonctionne en tant que relais DHCP.
Il faut ajouter un relais DHCP pour tous les VLANs qui nécessitent une adresse IP en DHCP.
Donc, nous avons mis en place un relais DHCP à l’aide de la commande “ip herlper-address 172.16.0.10 (l’adresse de votre serveur dhcp)” :

Nous allons ensuite devoir configurer les routes et les ports des vlans en fonctions du cahier des charge.
A noter qu’il y a 2 types de ports : “Untagged” et “tagged”
Un port Untagged signifie que le port est associé qu’à un seul VLAN. C’est à dire que tout équipements raccordés à ce port fera partie du VLAN.
Un port Tagged signifie que les trames qui arrivent et sortent sur le port sont marquées par une en-tête 802.1q supplémentaire dans le champs Ethernet.
Un port peut être « tagged » sur plusieurs VLAN différents.
L’avantage du mode Tagged est la possibilité d’avoir un serveur pouvant communiquer avec toutes les stations des VLANs sans que les VLANs ne puissent communiquer entre eux.

Pour se faire on tape la commande : ( en mode ‘configuration terminal’) :
“Vlans x” → “untagged/tagged ‘numéro du port’” et on le fait sur chaque vlan qui en a besoin.

“ip route ‘Adresse IP/CIDR Passerelle’ ”

Et enfin on vérifie que notre serveur DNS pointe bien sur le bon serveur du réseau ( labannu) en regardant les configurations IP que je le serveur DHCP transmet.

III) Procédure de test :

On va maintenant pouvoir tester que toute nos solutions fonctionne pour se faire on va effectuer des pings entre différents serveur/vlans et attribution d’ip dans certain vlan.

Dans le réseau DSI: la machine reçois bien les adresses IP du serveur DHCP.

Et dans ce même réseaux on voit que le serveur DNS est bien configuré.

Pour la configuration des vlans on peut les voirs dans la deuxième partie.
Par rapport au missions futur nous avons ajouté le port 7 dans le Vlan DSI, pour que nous puissions tous accéder au réseau.