Dossier PPE 4

1

BTS SIO option SISR

Dossier PPE 4 (Projet Personnel Encadré)

Construit autour de

La Maison Des Ligues De Lorraines (M2L)

Adrien Le Rouic (Chef de Projet) Aurélien BERT Eric Blicharz

Professeurs référents : M. RIBA et Mme KANNOUI

Dossier PPE 4

2

Contexte M2L La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des espaces et des services aux différentes ligues sportives régionales et à d’autres structures hébergées. La M2L est une structure financée par le Conseil Régional de Lorraine dont l'administration est déléguée au Comité Régional Olympique et Sportif de Lorraine (CROSL). L’association M2L exploite l’infrastructure informatique et réseau pour l’association elle-même et aussi pour ses clients les ligues. Les projets personnels encadrés précédents (1.1 ; 1.2 et 2) avaient pour but la remise à niveau du parc informatique de la maison des ligues de lorraine (M2L), la mise en place d’une solution de stockage pour la M2L et les ligues qu’elle hébergent ainsi que l’étude et la mise en place de l’infrastructure système et réseau de la M2L. L’infrastructure de la M2L était présente mais vieillissante, les équipements du parc informatique étaient, pour une grande partie, arrivés en fin de vie et il était nécessaire de les renouveler. Nous devions donc réaliser une proposition de solution de renouvellement de l’infrastructure, après analyse de leur cahier des charges, tout en le respectant (contraintes de matériels, mais aussi de coûts) Nous avons réalisés une proposition qui a été acceptée par la M2L. Lors du PPE 3, nous avons étudié la mise en place d’un outil de gestion de parc, ainsi que des solutions de haute disponibilités (HSRP) et la sécurisation du réseaux M2L (SSH, Pare-feu). Le PPE 4 à pour sujet la supervision de l’infrastructure de la M2L avec Nagios, la mise en place d’un serveur proxy, ainsi que du wifi, mais également la mise en place d’un serveur d’application TSE, d’un outil de déploiement d’images systèmes. Le déploiement de package MSI par GPO et l’outil de gestion de parc GLPI-OCS ont déjà été traité dans les précédents PPE.

Dossier PPE 4

3

Supervision de l’infrastructure de la M2L avec EyesOfNetwork (Nagios)

Présentation de Eyes Of Network

Nagios-EON est une application permettant la surveillance des éléments d’un parc informatique et d’un réseau.

Elle surveille les hôtes, les protocoles et les services d’un réseau alertant lors du dysfonctionnement d’un élément

et quand il repasse en fonctionnement normal. C'est un logiciel libre sous licence GPL.

C'est un programme modulaire qui se décompose en trois parties :

• Le moteur de l'application qui vient ordonnancer les tâches de supervision.

• L'interface web qui permet d'avoir une vue d'ensemble du système d'information et des possibles

anomalies.

• Les plugins aussi appelés sondes, une centaine de mini programmes qui permettent de surveiller

chacun une fonction précise d’un équipement.

Nagios est le moteur de recherche qui rapatrie les données d’état et d’alarmes des éléments d’un parc

informatique et les stockent dans sa base de données. L’application Eyes Of Network EON est la distribution logicielle qui comprend les applications Nagios, Cacti,

GLPI, OCS etc... EON présente une interface graphique WEB pour faciliter la configuration de Nagios et

l’affichage des états et évènements provenant du réseau. Toutes les données de configuration dont Nagios a besoin se trouvent dans les Plugins appelés aussi Sonde ou Capteur situés dans le dossier :

/srv/eyesofnetwork/nagios/plugins Les plugins sont de petits programmes PERL ou SHELL qui permettent de surveiller une fonction spécifique

d’un HOTE. La surveillance d’un HOTE peut nécessiter plusieurs Plugins. Pour superviser des Hôtes il est nécessaire de procéder aux opérations suivantes : -> Configurer le service SNMP sur les équipements du réseau, -> Installer et configurer l’agent SNMP sur les équipements Windows, -> Configurer le moteur NAGIOS avec les sondes appropriées, -> Installer les Hôtes dans le serveur EON-Nagios.

Dossier PPE 4

4

SCHEMA FONCTIONNEL D’UNE SUPERVISION D’HOTE

Le schéma ci-dessous donne la structure fonctionnelle utilisée par NAGIOS pour la surveillance d’un hôte. Un

hôte peut être un équipement physique, un logiciel, un protocole ou une fonction.

HOTE

Création de Template 1

Template 2

Template N

modèles

Ajout de Service

Service 1

Service 2

Service N

Service Service

Création de

Commande Commande Commande Commande Commande Commande

Nagios

Ajout de

Plugin

Plugin

Plugin

Plugin

Plugin

Plugin

Test Cisco Interface, HSRP, DHCP Flash, Config

Présence Charge CPU Débit Etherchannel Shutdown

Ping Mem, Status Surcharge DNS Start, Stop

Dossier PPE 4

5

Les 2 menus principaux d’exploitation de l’application :

Page d'accueil EON Disponibilité

Cette vue affiche les états et alarmes présentes sur les équipements déclarés dans Nagios.

Cette vue affiche les états des services configurés sur les équipements déclarés dans Nagios.

Dossier PPE 4

6

Page d'accueil EON Administration

A

D B

C

A Bibliothèque des Modèles pré définis.

B Bibliothèque des commandes Nagios.

C Menu de configuration des contacts mail à joindre en cas d'alarme

D Contient les paramètres système commun permettant le dialogue EON ↔

NAGIOS La bibliothèque des commandes Nagios (Plugins aussi appelés sondes ou capteurs) et des modèles

(Templates) contient les éléments qui permettront de construire des modèles spécifiques de surveillance

d'HOTE.

Les Hôtes utilisent des modèles, chaque modèle comprend un ou plusieurs services. Un Service réalise une

fonction et comprend une commande Nagios. Cette commande fait appel à un plugin (ex:

check_snmp_int.pl).

Dossier PPE 4

7

2. CREATION DE NOUVEAUX EQUIPEMENTS (HOTES) Pour exemple nous allons définir un cahier des charges qui permettra de mieux comprendre le déroulement de

la procédure de configuration NAGIOS.

2.1 Cahier des charges

Intégrer dans la supervision Nagios les Hôtes Cisco dont on surveillera les services suivants :

- Les équipements visés sont les routeurs RM2L, RLIG et HSRP et les switch 2900 SWM2L, SW2LIG,

SW3LIG.

- Surveillance des éléments CPU, Mémoire, Fan, Température, Voltage, sur les équipements routeur

et switch,

- Surveillance des états des interfaces Ethernet (accès Internet et SR M2L sur RM2L, SR ligues Tennis,

Basket et Athlé sur RLIG et interfaces Ethernet reliées aux serveurs M2L)

- Surveillance du trafic (bande passante, erreurs, débit, surcharge sur les interfaces Ethernet

définies ci-dessus)

- Surveillance des services HSRP, DHCP etc

2.2 Déploiement de la solution Nous allons décrire ici la procédure de création des Hôtes permettant de traiter les services définis dans le

cahier des charges. Cette procédure s'effectue de la façon suivante :

Définir les fonctions et les hôtes du parc à superviser (cahier des charges). Créer les Hôtes avec le modèle de base Generic_Host (plugin ping).

Définir pour chaque fonction les Plugins associés. Téléchargement, installation des plugins adaptés

aux fonctions du CDC.

- Téléchargement du plugin, transfert dans le dossier des plugins, - Configurer les droits et le propriétaire du plugin, - Vérifier les paramètres du plugin - Tester le plugin,

Création des commandes NAGIOS dans la bibliothèque. Associer les plugins dans chaque commande

NAGIOS.

Création des services. On associe une commande Nagios à chaque service. Configurer les paramètres de

Check dans le menu des services.

On redémarre le service Nagios pour mettre à jour sa base de données.

Dossier PPE 4

8

CREATION DU HOST - INTEGRATION DU TEMPLATE DANS LE HOST

Permet de déclarer un nouvel équipement dans la supervision Nagios. Un équipement doit au préalable

être intégré dans le superviseur Nagios pour pouvoir ensuite être géré dans le réseau.

Dans le menu Administration -> Nagios -> Equipements, choisir "Add a new child Host". Configurez le

nouvel équipement comme suit :

Le paramètre adresse désigne l’adresse IP ou le nom de l’équipement à superviser. Le Display Name sera

affiché dans la liste des vues équipement du menu Disponibilité. On choisit le modèle de base à appliquer pour la surveillance de l’Hôte. On valide son choix en cliquant sur le bouton Add Host.

Dossier PPE 4

9

CREATION D'UNE COMMANDE NAGIOS

Cette opération s’effectue en 4 étapes.

2.1 - Chargement d’un PLUGIN DANS NAGIOS Les sites spécialisés permettent de trouver les plugins capables de réaliser les fonctions demandées. On a parmi les

principaux sites :

https://nagios-plugins.org/

https://exchange.nagios.org/

https://exchange.nagios.org/directory/Plugins/Hardware/Network-Gear/Cisco

http://lkco.gezen.fr/svn/supervision/trunk/plugins-nagios/Windows/

http://djibril.developpez.com/tutoriels/perl/ecrire-facilement-plugin-nagios-perl/

Dans cette opération le Plugin est téléchargé sur une console client Windows, il faut ensuite le transférer dans le

dossier des Plugins Nagios. L’opération sera réalisée en utilisant une application de transfert FTP comme FileZilla

client.

Le transfert est réalisé en mode sécurisé par le protocole SFTP. (login=root ; Mdp=Btssio75000).

Dossier PPE 4

10

2.2 - Modification des droits et du propriétaire Le fichier Plugin doit ensuite être rendu exécutable par Nagios. Il faut lui attribuer le propriétaire Nagios et les droits

d’utilisation de modification et d’exécution. Dans la console d’administration CENTOS tapez les commandes

suivantes :

chown nagios:eyesofnetwork nom_du_fichier (chemin + nom) chmod 775 nom_du_fichier (chemin + nom)

Certains fichiers Plugin possèdent un petit défaut au niveau de la 1ère ligne de texte. Tous les fichiers Plugins doivent avoir en 1ère ligne la commande suivante :

#! /usr/bin/perl -w

On accède au fichier par la commande :

[root@user ]#nano /srv/eyesofnetwork/Nagios/plugins/nom_fichier_plugin

2.3 – Tester le PLUGIN Il est possible et même recommandé de vérifier le fonctionnement du Plugins afin de s’assurer qu’il répond bien

aux exigences du cahier des charges avant de l’intégrer dans la commande et le Host Template Nagios. Allez dans le dossier des plugins et afficher la liste de ceux-ci. Vérifiez que votre plugin se trouve bien dans le dossier

avec l’appartenance au propriétaire nagios et les droits pour l’écriture et l’exécution:

[root@user plugins]#cd /srv/eyesofnetwork/Nagios/plugins [root@user

plugins]#ls –l | more

Puis exécuter la commande :

[root@user plugins]#./ check_cisco_snmp.pl -h | more

Dossier PPE 4

11

Par cette commande on affiche la liste des paramètres possibles pour personnaliser le plugin. La directive | more

indique que l’affichage du résultat se fera page par page avec arrêt de défilement à chaque page. La commande affiche les paramètres du plugin check_ cisco.pl qui vont permettre de personnaliser le plugin. Ces paramètres sont les options –H ; -C ; -i ; -w et –c.

Cette information est très importante pour la personnalisation de la commande Nagios dans EON. Les paramètres

–w et –c permettent de définir la priorité qui sera donnée à l’intervention dans lequel –w (warning) signifie une

priorité moins urgente et –c (critical) une priorité majeure.

On teste enfin le Plugin en l’exécutant dans le dossier par la commande :

[root@user/…./plugins]# ./check_cisco_snmp.pl –H @IP –C SnmpCommunity –n FastEthernet0/24 –w 80 –c 95

Le serveur NAGIOS renvoi un résultat indiquant que le Plugin a bien fonctionné. Il est maintenant nécessaire de

l’intégrer à la Host Template qui a été préparée à cet effet.

Dossier PPE 4

12

2.4 - Création de la commande NAGIOS Les commandes NAGIOS sont les outils qui permettent de lier un Plugin à un service. Comme pour les Templates on peut créer une commande NAGIOS de 2 façons. Dans la page d’accueil

d’Administration EON, sélectionner le menu Nagios Commands. La fenêtre ci-dessous apparaît : Choisissez "Add a new command" ou dupliquez une commande existante (cochez la case de la commande puis

menu déroulant -> duplicate -> submit puis Ok). Configurez la commande en cliquant sur son nom.

Command Name : donnez un nom (ex : cisco_int_status, celui-ci sera celui affiché) Command Description : mettez ici une description courte et explicite de la fonction à réaliser. Commande Line : c’est le nom du Plugin qui sera exécuté pour réaliser la fonction demandée.

!!! Ce Plugin doit être présent dans le dossier des plugins. Notez les paramètres $USERn$ et $ARGn$ qui

sont des paramètres qui seront configurés plus tard. Nous allons ici détailler un peu plus la configuration des Plugins. Un Plugin comprend la commande script et ses

paramètres de définition.

Dossier PPE 4

13

Les paramètres $USER$ sont déjà définis et sont présent dans la table des paramètres système NAGIOS (Menu

d’accueil d’administration Nagios Ressources).

$USER1$ = Chemin du dossier des plugins $USER2$ = Nom

de la communauté

Les paramètres $ARG$ sont des variables. Celles-ci doivent être présentes ici et seront configurées plus tard lors

de la configuration de l’Hôte. Le nombre de variables dépend du type de plugin.

Vous devez définir la ligne de commande complète qui comprendra les parties en-tête et commande et les

variables ($USER$ et $ARG$) :

perl $USER1$/check_cisco.pl -H $HOSTADDRESS$ -C $USER2$ -i $ARG1$

dossier

Nom du plugin

Nom ou @IP de l’équipement surveillé

La variable qui définira la communauté

La variable qui définira l’interface surveillée

Nota : Pour ce plugin une seule variable est nécessaire ($ARG1$).

Dossier PPE 4

14

CREATION DE MODELE DE SERVICE

Cette procédure n’est pas obligatoire si la création de service s’effectue en utilisant la procédure N°5. Un service permet d’associer un Plugin à un Modèle Host Template. Pour réaliser une fonction un Host Template

peut comporter plusieurs services chacun réalisant une partie de la fonction (ex : Template Windows pour détecter

l’état des éléments du système : Disque, CPU, mémoire, état de l’interface réseau, débit Ethernet, Taux d’erreur

etc…). Pour créer un service, on ouvre le menu Template dans Administration -> Nagios

-> Configuration puis click sur le lien Add a new Service Template.

Dans la nouvelle fenêtre donner un nom et une description du nouveau service puis faire -> Add service Template.

Dans notre exemple on a créé le service Cisco Interface avec pour description Cisco service.

Dossier PPE 4

15

L’ajout du service nous amène à la fenêtre suivante : Il faut attribuer à ce service les propriétés de service par défaut. Click sur le menu Inheritance puis choix du Template

Generic_service. Valider par Add Template. Click sur le menu Check puis sur Edit.

Choisir la commande Nagios "check command" dans le menu déroulant (cocher la case provided value). Les check command sont les commandes crées dans la bibliothèque Nagios commands. Ces commandes font elles-

mêmes appel aux plugins. Validez par -> Update check. Le nouveau service est créé. On créera ainsi autant de services qu’il sera nécessaire pour réaliser les fonctions demandées.

Dossier PPE 4

16

Les paramètres du nouveau service sont donnés dans la fenêtre qui apparaît comme ci-dessous :

Pour la plupart des services on choisira le template generic_service dans le menu "Add Template to inherit". Le menu check_command doit contenir la commande qui fait appel au plugin précédemment créé. Pour y accéder

il faut cocher la case "provide value". Précédemment nous avons créé la commande check_cisco.pl qui fait appel au plugin check_cisco.pl et ses

paramètres $USER$ et $ARG$ (voir § ci-dessus : tester le plugin). Il faut donc associer ce plugin dans le menu.

Dossier PPE 4

17

Configurer un service de messagerie Lorsque des alarmes apparaissent sur les équipements d’un réseau, il est possible de configurer les notifications

de toute ou partie de ces alarmes vers une boîte mail afin d’alerter au plus vite l’administrateur ou un de ses

assistants. Par défaut EON installe un serveur de messagerie POSTFIX mais aucun agent de distribution de courrier n’est en

place. Pour être plus efficace, nous allons configurer POSTFIX de EON pour relayer les messages vers le serveur de

messagerie M2L ou vers une boite mail dédiée. Nous utiliserons ici une boîte Gmail vers laquelle les alertes

Nagios seront envoyées. La configuration de POSTFIX passe par le fichier /etc/postfix/main.cf . Le tutoriel ci-dessous présente la

configuration de POSTFIX en mode relais SMTP vers une boite de messagerie GMAIL. Gmail utilise un transfert mail sécurisé par le protocole SSL/TLS. Pour cela il sera nécessaire d’installer un certificat

dans le serveur Postfix qui sera présenté lors de la connexion à la boite Gmail. Il n’est pas nécessaire d’installer un agent, nous resterons donc à l’émission seule de mail en SMTP vers le

serveur Gmail smtp.gmail.com sur le port 587.

Ne pas oublier de configurer l’adresse mail de contact dans le menu administration

Contact de EON.

Il faudra bien sûr créer une boîte mail destinée à recevoir les notifications Nagios. Le nom et mot de passe de

messagerie seront enregistrés dans le fichier sasl_passwd de Postfix. Tout d’abord nous allons configurer SMTP sécurisé (Smtp Sasl et Smtp Tls) dans le fichier de config Postfix.

Nano /etc/postfix/main.cf

relayhost=[smtp.gmail.com]:587 smtp_sasl_auth_enable=yes smtp_sasl_password_maps=hash:/etc/postfix/sasl_passwd smtp_sasl_security_options=noanonymous smtp_tls_CAfile= /etc/postfix/cacert.pem smtp_use_tls=yes

Il faut maintenant enregistrer les paramètres de messagerie de la boîte vers laquelle Postfix enverra les

notifications Nagios. Ces paramètres sont enregistrés dans un fichier crée pour notre usage : sasl_passwd.

nano /etc/postfix/sasl_passwd (c’est un nouveau fichier).

[smtp.gmail.com]:587 USERNAME@gmail.com:PASSWORD On sauvegarde puis on attribue les droits à ce fichier chmod

400 /etc/postfix/sasl_passwd

postmap /etc/postfix/sasl_passwd création d’une base de données Postfix. Il faut maintenant installer un certificat pour la connexion au serveur Gmail. Nous prendrons ce certificat sur le

site THAWTE qui est un éditeur mondial de certificats SSL. Nous utiliserons le certificat thawte_Premium_Server_CA.pem compatible Gmail et téléchargé sur le site :

https://www.thawte.com/roots/

Dossier PPE 4

18

Copier ce certificat depuis le site thawte.com dans un dossier de l’ordinateur Hôte. Il faudra ensuite copier ce

certificat dans le dossier /etc/ssl/certs/ de la machine NAGIOS/EON. Transférez donc le certificat dans ce répertoire, par exemple en utilisant l’application Filezilla en ftps sur le port

22 (voir fig. ci-dessous). On redirige le certificat vers /etc/postfix/cacert.pem

cat /etc/ssl/certs/thawte_Premium_Server_CA.pem | tee -a /etc/postfix/cacert.pem Notez le caractère | (touches AltGraph + 6) permet d’afficher les résultats en mode page par page. Nota : le fichier Thawte_Premium_ServerCA.pem est un example. Ce nom dépend de la version que vous

avez téléchargée sur le site.

Fig. : Transfert du certificat via Filezilla

Enfin il faut redémarrer POSTFIX : /etc/init.d/postfix reload

Pour vérifier l’envoi de mail, on effectue le test suivant : echo "Test mail depuis Postfix" | mail –s "Ceci est un test de notification depuis le serveur envoi SMTP"

nom@gmail.com password Aller dans la boîte mail et vérifier la réception du message. Si celui-ci n’apparaît pas, il faut alors supprimer la

protection de sécurité Gmail Captcha. Pour cela aller sur la page

https://www.google.com/accounts/DisplayUnlockCaptcha Puis activez l’accès aux applications moins sécurisées dans le menu mon compte sur votre boîte mail.

Dossier PPE 4

19

Supervision HSRP

Après avoir ajouté le plugin dans le dossier en FTP, on vérifie sa présence.

On change le propriétaire du fichier HSRP (on met Nagios)

On exécute le plugin HSRP afin de voir les paramètres disponibles

On remplace avec des valeurs réelles afin de vérifier son fonctionnement :

Dossier PPE 4

20

On test le serveur maitre en tant que backup -> Résultat non OK, test validé.

On test le serveur secondaire en tant que backup et tant que principal -> Résultats :

OK pour backup, test validé.

Non OK pour serveur principal, test validé

On va créer le service HSRP : On duplique check_snmp_interface et on modifie le fichier créé :

On ajoutele nom, la commande et une description :

Sur l’équipement sur lequel est configuré le HSRP (RHSRPPRI et RHSRPSEC), on ajoute le service :

Dossier PPE 4

21

On renseigne en ARG1 : master

Dossier PPE 4

22

On paramètre les Checks

On paramètre les Notifications

Dossier PPE 4

23

On recommence la manipulation sur le routeur HSRP secondaire (RHSRPSEC)

On renseigne en ARG1 backup

On paramètre les checks et les notifications.

Ne pas oublier d’appliquer la configuration !

Supervision DHCP

Après avoir ajouté le plugin via FTP et testé la commande, on créer la commande sur l’interface Nagios :

Dossier PPE 4

24

On active les checks et les notifications

Ne pas oublier d’appliquer la configuration !

Le service DHCP est bien supervisé.