Embed Size (px)
Citation preview
BTS SIO option
SISR
***
PPE 4
(Projet Professionnel Encadré)
Construit autour de La Maison Des Ligues (M2L)
Missions
Administration réseau et système
Suivi par Serge Riba
Date de distribution : Date de remise :
Important : toutes les questions doivent être formulées par courriel à l’attention de M Riba en mettant en copie les formateurs impliqués dans les PPE :
• Aicha Kannoui (EM/Droit) • Laszlo Rado (Système) • Malek Rahoual (Système) • Serge Riba (Réseau).
1/9
Administration réseau (Serge RIBA)
Mission 1.1 – supervision du parc réseau
La gestion du réseau sera réalisée par un outil permettant d'automatiser les tâches de surveillance
des objets d'un réseau (serveurs, routeurs, switch...).
L’objectif d’une supervision peut ainsi être résumé en trois points :
- Etre réactif en cas de dysfonctionnement d’une partie du système d’information; - Etre pro actif en anticipant les incidents ; - Cibler les problèmes dès leur apparition afin d’agir rapidement de la façon la plus
pertinente possible.
L'administrateur a choisi le superviseur Nagios qui est une application Open source sous Linux. Nous
choisissons la distribution Linux CENTOS avec l’application EON 4.2 pour l'installation du superviseur
et des applications associées.
Nagios est accompagné des applications de gestion Http (serveur Apache) et base de donnée MySql
pour la manipulation des objets supervisés. Nagios exploite les objets via le protocole SNMP qui
permet de transporter les données de management entre objets supervisés et le superviseur. Le
protocole SNMP doit être activé dans chaque machine.
Quelques-unes des fonctionnalités de Nagios :
- Surveillance des services réseaux (SMTP, POP3, HTTP, NNTP, PING, etc.)
- Surveillance des ressources des hôtes (charge processeur, utilisation des disques, etc.)
- Système simple de plugins permettant aux utilisateurs de développer facilement leurs
propres outils de vérifications de services.
- Possibilité de définir la hiérarchie du réseau en utilisant des hôtes "parents", ce qui permet
la détection et la distinction entre les hôtes qui sont à l'arrêt et ceux qui sont injoignables.
- Notifications des contacts quand un hôte ou un service a un problème et quand celui-ci
est résolu (via email, pager, sms, ou par toute autre méthode définie par l'utilisateur)
Pour administrer les objets d'un réseau (routeurs, switch, postes...) il faut installer dans le
superviseur les agents spécialisés capables de remonter les événements ou émettre les commandes
liées à ces objets. Ces agents sont plus communément appelés les Plugins.
2/9
Serveur de Supervision Poste Windows CPU
Nagios Plugin Windows
Service SNMP
Check_NT Disk
Load
Autres
EON Plugin Cisco
Check_SNMP
Routeur/Switch HSRP
SNMP OSPF
Interface
Vlan
Ping
Nagios sera exploité via l'application EyesOfNetwork qui fournit une interface graphique et des outils
de gestion de statistiques pour rendre la consultation de l'état du système et la configuration des
éléments plus facilement accessible. Cette application assurera l'exploitation des données récupérées
sur la base de données Nagios. EON utilise le système Linux CENTOS de chez RED HAT. La version EON
4.2 sera utilisée dans ce projet.
Dans cette mission vous devez tout d'abord procéder à l'installation des composants Nagios, Apache,
MySql via l’installation de l’application EyesOfNetwork EON. Le mot de passe pour l’accès au système
CENTOS est "Btssio75000". L’accès à l’interface graphique de configuration EON est Login=admin ;
MdP=admin. Le serveur Nagios EON sera installé sur une machine virtuelle virtualBox en mode pont.
3/9
Cahier des charges – Configuration du serveur Nagios :
Le serveur Nagios-EON doit surveiller les fonctions suivantes :
- Surveillance des fonctions système sur les serveurs Microsoft AD-DHCP, TSE-WDS et les
serveurs Linux DHCP2 et OCS-GLPI (Memory, CPU, Partitions, Température, Etat).
- Surveillance des interfaces reliant les routeurs RLIGUE et RM2L, RM2L et RHSRP, RM2L et
SWM2L, RLIGUE et SW1LIGUE (états et bande passante). - surveillance des fonctions OSPF sur les routeurs RM2L, RLIGUE et RHSRP PRI et SEC. - surveillance du HSRP sur les 2 routeurs PRI et SEC et (la bande passante sur les interfaces
Internet publiques. - surveillance des switchs, des interfaces Trunk reliant SWM2L et RM2L, SW1LIG et RLIGUE - surveillance sur les opérations de création de VLAN sur les commutateurs. - surveillance des plages DHCP du serveur DHCP1 pour les VLAN 2, 10, 11 et 12. Une alarme
warning sera transmise si plus de 15 @IP sont utilisées, une alarme critical pour plus de 22
@IP utilisées. - Création d’une boite mail [email protected] pour transmettre les alertes en
cas d’apparition d’alarmes critiques dans le réseau. Les alarmes critiques nécessitent des interventions urgentes et prioritaires qu’il s’agit d’activer sans délai. Dans ce projet vous configurerez le serveur Postfix pour les messages sortants (SMTP). Vous vous appuierez pour cela sur la fiche technique FTA12 (configurer un service de messagerie).
Pour la réalisation de cette mission vous vous appuierez sur les documents : - Fiche technique FTA11 Commande CLI Linux - Fiche Technique FTA12 Administration de réseau - Tutoriel détaillé Tuto Nagios-EON.docx - TP Config serveur EON-Nagios - Config M2L squid.conf
Mission 1.2 – Mise en place d'un serveur Proxy
Dans le cadre de la sécurisation du réseau pour les postes informatiques des ligues, un service Proxy
doit être installé qui va réglementer les accès à Internet. Dans cette mission il vous est demandé de
configurer les services Proxy WEB et Proxy Cache qui seront installés dans une machine virtuelle dans
la DMZ de l'association.
Tous les postes à l'exception de ceux du département réseau doivent utiliser le serveur Proxy pour
accéder à Internet. Les postes du service réseau peuvent accéder directement à Internet. Les services
Proxy WEB et Proxy Cache utilisent le port 8080. Pour accélérer les accès Internet on choisira une
taille de mémoire cache Internet de 64 Mo.
Pour l’installation nous allons utiliser le serveur Proxy SQUID qui permet de gérer les fonctions principales d’un
serveur mandataire c'est-à-dire les fonctions Proxy http/https avec filtrage d’URL et journalisation des
transactions qui permet de répondre aux exigences de sécurité et aux contraintes liées à la responsabilité des
échanges Internet. Pour cela vous vous appuierez sur les documents donnés ci-dessus.
4/9
Mission 1.3 – WIFI et sécurisation
Dans le cadre de la préparation d'une infrastructure WIFI permettant le déploiement de programmes
événementiels pour les ligues qui le demandent ou toute autre projet ponctuel, l'administrateur a
décidé de refondre son réseau WIFI.
Aujourd’hui ce réseau est dédié aux personnels de l’association et des ligues. Pour assurer la
couverture de manifestations qui accueillerait un public externe, il est nécessaire de fournir à ce
public un accès à Internet tout en conservant le service nomade pour le personnel M2L.
L’administrateur a donc décidé de créer sur le point d’accès WIFI un nouveau réseau distinct du
réseau actuel réservé au personnel et non sécurisé permettant ainsi au public de bénéficier de
l’accessibilité Internet.
Le réseau est constitué d’un point d’accès WIFI Cisco Aironet 1200 qui assure la couverture des
postes nomades tout confondu et l’interconnexion avec le réseau filaire et d’un commutateur qui
fera le lien entre les accès routeur Internet et réseau interne.
SSID Personnel SSID Visiteurs
VLAN Personnel Switch Cisco
VLAN Visiteurs 2950
Routeur Cisco 2611XM
Réseau Privé Internet
5/9
La mission consiste à mettre en place un prototype de cette solution informatique nomade. Le point
d’accès doit assurer la gestion des postes par le plan d’adresse IP qui sera appliqué à chaque sous
réseau (DHCP) et par le filtrage du trafic sur les VLAN (en local ou via authentification).
La solution prototypée devra comporter :
La création des sous réseaux SSID WIFI avec l’application des consignes de base de sécurité sur
ces sous réseaux,
une séparation des deux réseaux Wifi en VLAN,
la gestion de l'accès internet. Le public et personnel M2L accèdent à Internet (filtrage),
la mise en place du service de DHCP dans le routeur M2L pour les 2 sous réseaux,
L’isolation des 2 réseaux par le biais d’une sécurisation (Filtrage WPA2 Home ou avec
authentification Radius 802.1x). Seuls les personnels M2L et Ligues peuvent accéder au
réseau interne privé.
Vous procéderez pour cela à la configuration des équipement de réseau routeur RM2L, Switch Wifi et point
d’accès Wifi Aironet 1200. Vous vous appuierez sur le document support « Config sécurité WPA 802.1x Aironet… » fournit par mail.
6/9
Administration système (Laszlo RADO, Malek RAHOUAL)
Mission 1 : Mise en place d’un serveur d’application
Certaines applications présentent un coût exorbitant en les installant individuellement sur des postes
clients. C’est le cas par exemples des logiciels ERP. Ainsi, en les publiant sur un serveur
d’application, l’administrateur réduit les coûts de licences et d’exploitation tout en assurant une
meilleure sécurité du serveur.
Pour ces raisons l’administrateur de la M2L envisage de mettre en place un serveur d’application
basé sur TSE permettant aux utilisateurs d’accéder et d’utiliser les applications qui y sont installées.
Le serveur d’application, suffisamment redimensionné pour son rôle, est hébergé dans le VLAN
informatique et cohabitera avec le serveur WDS (172.16.2.58/26).
La solution offre plusieurs avantages : côté administration système, cela réduit les coûts
d’exploitation, sécurise le serveur et les applications, utilise les PC clients en tant que clients légers
ne nécessitant pas de performance accrues. Côté utilisateurs, ils peuvent accéder à partir du bureau à distance ou depuis un navigateur web, aux applications qui leurs ont été affectées. Les connexions
seront effectuées en mode sécurisé utilisant le protocole Https.
En fonction des exigences, la solution peut être enrichie par la mise en place d ’une ferme de
serveurs TSE pour assurer une haute disponibilité et la répartition de charge / sessions.
Mission 2 : Déploiement d’applications MSI par stratégie de groupe
Cette mission consiste à élaborer des stratégies de groupes permettant de déployer des applications
en package MSI sur les ordinateurs clients d’une ligue ou d’un service de la M2L. Les logiciels
généralement utilisés au sein des ligues et des services de la M2L sont : MS Outlook, MS Office,
Acrobate Reader, anti-virus, Thunderbird, Open Office. D’autres logiciels seront déployés sur le
même principe, tels que les agents OCS permettant respectivement de remonter les configurations et
les alertes des ordinateurs et équipements réseau sur leurs serveurs respectifs qui seront mis en
place ultérieurement.
Les applications à déployer seront centralisées dans un dossier de distribution sur un serveur du
réseau.
Certains logiciels seront amenés à être reconditionnés (transformation de .exe en .MSI). Il vous
appartient de localiser un outil permettant d’assurer cette transformation. Pour les besoins d’administration des machines clientes vous déploierez via GPO les applications
Teamviewer, OcsInventory agent, Adobe Acrobat reader et l’outils de nettoyage Ccleaner en format
MSI.
7/9
Mission 3 : Mise en place d’un serveur de déploiement d’images système
Utilisez le lab. de Certa Sio ainsi que les supports de cours et TPs envoyés par mail.
À l'aide du dossier documentaire sur FOG envoyé par mail, réalisez les travaux suivants :
1°) Installation de FOG
1.1 - Installez FOG sur un serveur Ubuntu dédié au déploiement.
1.2 - Ajoutez au contexte un client disposant d'un navigateur afin de prendre la main sur le serveur. 2°) Utilisation de FOG 2.1 - La configuration de FOG est sauvegardée dans une base de données. Trouvez comment sauvegarder puis
restaurer cette configuration. 2.2 - FOG trace toutes les tâches effectuées (inventaires, images, connexion utilisateurs, snapins). Trouvez
comment exporter sous forme de rapport au format pdf ou csv les traces de ces activités. 3°) Création des images
3.1 - Choisissez deux machines modèle dont il faut réaliser les images. L'une sous Windows 7 et l'autre sous
Debian Wheezy. Inventoriez ces machines sur votre serveur à l'aide du menu de boot PXE de FOG. 3.2 - Créez ensuite deux images types respectivement pour les machines de type Linux et pour les machines de type Windows. Pour chaque image, choisissez le type d'image approprié selon que vos machines disposent de plusieurs disques
et partitions. 3.3- Associez les machines inventoriées à leur image et "uploadez" vos machines sur le serveur en lançant les
tâches de remontée d'image. Vérifiez la présence de ces deux images dans le répertoire /images. 3.4- Trouvez comment changer le répertoire cible d'upload des images sur le serveur. 4°) Déploiement unicast/multicast
4.1- Inventoriez trois nouvelles machines : une qui servira de cible pour un déploiement de Linux et les deux autres
pour un déploiement de Windows. 4.2- Associez deux de ces machines à un groupe nommé GrpeWindows. 4.3- Réalisez un déploiement unicast de la machine modèle Linux vers une machine cible. 4.4- Réalisez un déploiement multicast de la machine modèle Windows vers deux machines cibles.
5°) Déploiement de l'agent OCS
5.1- Créez un snapin permettant de déployer l'agent OCS sur les machines du groupe GrpeWindows.
5.2- Pour les étudiants plus rapides, testez aussi le déploiement de l'antivirus AVAST sur vos machines Windows.
5.3- Localisez le journal d'activité sur le client et vérifiez le bon déroulement de la procédure.
8/9
Mission 4 : Mise en place d’un outil de gestion de parc
Le parc informatique d'une organisation est un assemblage, parfois hétéroclite de matériels et de
logiciels accumulés tout au long des années. On y trouve des : − Matériels différents (téléphones, portables, pc, imprimantes, éléments d'interconnexions, etc.) qui
peuvent être de plusieurs générations ; − Logiciels et systèmes d’exploitation variés (Linux, Windows, Mac OS, etc.) ; − Applications utilisées dans différentes versions ; − Niveaux de sécurité disparates.
De plus, la quantité de matériels et de logiciels à gérer, leur éclatement au sein de l'organisation souvent
très étendue dans l'espace, les exigences de performance et de réactivité font que la gestion de parc est
devenue un processus global, complet et indispensable. Cette activité de gestion de parc informatique
est décrite dans le processus ITIL1 Gestion des configurations. La gestion du parc informatique recouvre non seulement la fonction d'inventaire de ces éléments mais
aussi celles concernant le suivi et l'évolution : − gestion de l'emplacement du matériel ; − gestion des partenaires (fabricants, fournisseurs, transporteurs, prestataires...) et des contacts
associés ;
− gestion des contrats (prêt, location, leasing, assurance, maintenance et prestation) ; − gestion des licences logiciels ; − le télé-déploiement de logiciels ; − gestion financière des éléments d'inventaire (matériel loué ou acheté, amortissement) ; − gestion du cycle de vie de chaque élément ; − gestion des incidents ; − gestion de la documentation informatique (base de connaissance, FAQ, etc.) ; − gestion statistique (nombre d'interventions, coût des consommables, etc.) ; − prévision des besoins (aussi bien matériel, logiciel que de formation en exploitant notamment les
résultats statistiques de la gestion de parc).
Cette gestion de parc permet, d'une part, de répondre aux multiples questions quotidiennes posées à
l'administrateur réseau (quelles sont les versions de Windows installées et sur quels postes ? Y a-t-il des
disques durs proches de la saturation ? Tel matériel est-il bien connecté au commutateur ? A quel
endroit se trouve tel élément ? Quelle est la valeur actuelle de tel autre composant ? Quels sont les
postes encore sous garantie ? etc.).
Elle permet, d'autre part, une administration plus globale et à long terme : combien de machines y aura-
t-il à renouveler dans 2 ans ? Quels sont les nouveaux besoins ? Quelles formations doit-on planifier ?
Quel est le retour sur tel investissement ? Quel est le coût total de possession – ou TCO – d'un poste ?
etc.
Le système informatique tisse les liens entre les activités de l'organisation, il importe donc d'en
connaître la composition à tout moment.
Actuellement, la tendance des DSI (Direction des Systèmes d'Information) est à l'adoption d'un référentiel commun de bonnes pratiques quant à ses processus métier. ITIL (Information Technology Infrastructure Library) est le référentiel de "bonnes pratiques"
majoritairement adopté par les DSI ; il couvre essentiellement les métiers de la production informatique
et du support.
1ITIL : Information Technology Infrastructure Library - Bibliothèque pour l'infrastructure des technologies de
l'information ; ensemble de documents de référence énonçant les bonnes pratiques en matière de gestion des services informatiques (http://www.itilfrance.com).
9/9
Un logiciel de gestion de parc incluant notamment une gestion des configurations et l'assistance aux
utilisateurs représente l'élément central pour appliquer les recommandations ITIL.
L'objectif est la gestion d'un parc informatique qui comprend la collecte automatisée d'éléments, une première gestion de ces éléments ainsi que le télé-déploiement d'applications. Ce travail est scindé en plusieurs activités :
• Activité 1 - Installation, configuration et première exploitation du service d’inventaire OCS Inventory.
• Activité 3 - Déploiement d’application avec OCS Inventory. • Activité 3 - Installation et configuration de GLPI • Activité 4 - Collecte automatisée et exploration des éléments d’interconnexion et autres matériels
ne disposant pas de l’agent OCS.
Présentation des activités La première activité consiste d’une part à installer et configurer le service d’inventaire OCS Inventory,
et d’autre part, à réaliser une première exploitation de l’outil en fonction des questions que se pose
l’administrateur réseau. Cette exploitation est possible grâce au jeu d’essai fourni comportant les
machines du contexte.
La deuxième activité : L’objectif est de tester la fonctionnalité de déploiement des applications sur les machines inventoriées ;
La troisième activité : Consiste à installer et à procéder à une première configuration de GLPI afin notamment de synchroniser
les machines remontées sur OCS Inventory. La quatrième activité : Collecter automatiquement et explorern des éléments d’interconnexion et autres matériels ne disposant pas de
l’agent OCS.
10/
