GROUPE BETA Compte rendu PPE Année 2013 - 2014

Anitha JEYARAJAH Marion THIAM

Venkatesan SOCCALINGAME Mélina MOUTA

Kayanan JEGATHEESWARAN

Adam DANDENI Cédric CHARBONNEL

Jérémy GAIAO

2

SOMMAIRE

A. L’infrastructure d’interconnexion réseau ............................................................................................................................... 5

I. CONFIGURATION DU SWITCH DISTRIBUTION ................................................................................................................... 5

1. CREER UN MOT DE PASSE ............................................................................................................................................. 5

2. ATTRIBUER UN NOM AU SWITCH ................................................................................................................................. 5

3. ATTRIBUER UNE ADRESSE IP AU SWITCH ..................................................................................................................... 5

4. CREATION D'UN VLAN: ................................................................................................................................................. 5

5. ATTRIBUER UNE ADRESSE IP AUX VLAN: ...................................................................................................................... 5

6. MISE EN PLACE D'UN RELAI DHCP ................................................................................................................................ 6

7. ATTRIBUTION DES PORTS AU VLAN .............................................................................................................................. 6

8. ACTIVER LE ROUTAGE ................................................................................................................................................... 6

9. CONFIGURATION DES PORTS GIGAETHERNET .............................................................................................................. 6

II. CONFIGURATION DES SWITCH D'ACCES ........................................................................................................................... 7

III. CONFIGURATION DE LA BORNE WIFI ................................................................................................................................ 8

1. PARAMETRAGE DE LA BORNE WIFI .............................................................................................................................. 8

2. TEST DE VALIDATION INTERMEDIAIRE .......................................................................................................................... 9

B. Les services réseau de base : DNS, DHCP et LDAP ............................................................................................................... 10

I. INSTALLATION DES SERVEURS......................................................................................................................................... 10

1. MISE EN PLACE DES SERVEURS LDAP ET DNS ............................................................................................................. 10

2. MISE EN PLACE DU SERVEUR DHCP ............................................................................................................................ 11

3. CONFIGURATION D’ACTIVE DIRECTORY ..................................................................................................................... 12

4. STRATÉGIE DE MOT DE PASSE .................................................................................................................................... 12

II. DEPOSER LA MACHINE SUR LE SERVEUR A DISTANCE .................................................................................................... 13

ANNEXES 1 ................................................................................................................................................................................ 14

ANNEXES 2 ................................................................................................................................................................................ 15

ANNEXES 3 ................................................................................................................................................................................ 15

ANNEXES 4 ................................................................................................................................................................................ 15

ANNEXES 5 ................................................................................................................................................................................ 16

ANNEXES 6 ................................................................................................................................................................................ 16

C. Accès internet filtré .............................................................................................................................................................. 18

I. IPFIRE ............................................................................................................................................................................... 18

1. CREATION D’UNE MACHINE VIRTUELLE ..................................................................................................................... 18

2. INSTALLATION D’IPFIRE .............................................................................................................................................. 18

3. CONFIGURATION D’IPFIRE .......................................................................................................................................... 18

3

II. LES SWITCHS ................................................................................................................................................................... 19

1. SWITCH DE DISTRIBUTION .......................................................................................................................................... 19

2. CREATION DES SWITCH VIRTUELS .............................................................................................................................. 20

III. PROXY .............................................................................................................................................................................. 21

3. AUTHENTIFICATION DES UTILISATEURS PAR LDAP ..................................................................................................... 23

IV. CHARTE INFORMATIQUE & NORMES RESPECTEES ......................................................................................................... 25

1. CHARTE INFORMATIQUE ............................................................................................................................................ 25

2. NORMES RESPECTEES ................................................................................................................................................. 26

ANNEXE 1 : Diagramme de Gantt ............................................................................................................................................. 27

ANNEXE 2 : Schéma logique du réseau .................................................................................................................................... 27

ANNEXE 3 : Table de routage du routeur Zyxel ........................................................................................................................ 28

D. Mise en place d'un serveur de fichiers ................................................................................................................................. 29

I. METTRE EN PLACE LES PROFILS ITINERANTS .................................................................................................................. 29

1. CREATION D'UN PROFIL ITINERANT ............................................................................................................................ 29

2. COPIE D'UN PROFIL UTILISATEUR ............................................................................................................................... 29

3. MISE A JOUR DU CHEMIN D'UN PROFIL UTILISATEUR ................................................................................................ 30

II. CREATION DE LECTEUR RESEAU ...................................................................................................................................... 30

1. INSTALLER LE SERVICE DE FICHIER .............................................................................................................................. 30

2. CREER UN DOSSIER ET LE PARTAGER .......................................................................................................................... 31

III. CONNECTER UN LECTEUR RESEAU .................................................................................................................................. 37

1. MONTER UN LECTEUR RESEAU AUTOMATIQUE, NET USE ......................................................................................... 37

2. ACTIVER LA DISPONIBILITE HORS CONNEXION DES FICHIERS .................................................................................... 37

3. PARAMETRER LA SAUVEGARDE DU SERVEUR ............................................................................................................ 37

4

Dossier 1

PRESENTATION DE L’ENTREPRISE

L'entreprise APC (Aménageur Promoteur Constructeur) aide les chefs d'entreprise, les investisseurs ou les élus à développer leurs projets immobiliers. L'entreprise emploie 700 personnes sur 4 sites géographiques : Lyon Vaise, Grenoble, Nantes et Casablanca. Le Siège Social est implanté à Vaise depuis vingt ans environ. APC a segmenté ses activités en 4 filiales Aménagement, Promotion, Construction et Développement durable. APC est répartie sur 4 sites géographiques dans lesquels les 4 filiales sont présentes. La répartition est la suivante :

• Lyon Vaise : 300 personnes • Grenoble : 120 personnes • Nantes : 200 personnes • Casablanca : 80 personnes

Le réseau d'APC couvre les 4 sites. C'est un réseau Ethernet commuté. Chaque site est géré par une "cellule réseau" locale. L'ensemble du réseau est géré par la sous-direction "Systèmes et Réseaux" de la Direction des Systèmes d'Information (DSI) à laquelle sont rattachés les cellules locales.

Objectif 1 : A. Installation et configuration de l’infrastructure d’interconnexion réseau B. Installation et configuration des services réseau de base : DNS, DHCP et LDAP

5

A. L’INFRASTRUCTURE D’INTERCONNEXION RESEAU

I. CONFIGURATION DU SWITCH DISTRIBUTION

1. CREER UN MOT DE PASSE Il est conseillé de créer un mot de passe pour la sécurité du Switch. Commande : Switch(config) # enable secret sio2r

2. ATTRIBUER UN NOM AU SWITCH Permet de le reconnaitre plus facilement, ici VAI-A-B-SW3-1 Commande : switch(config) #hostname VAI-A-B-SW3-1

3. ATTRIBUER UNE ADRESSE IP AU SWITCH On attribue une adresse IP au vlan 1 par défaut, cela va permettre de gérer le Switch soit en connectant le PC directement sur le port, soit à distance avec son adresse IP. Commande : VAI-A-B-SW3-1 (config) # interface vlan 1 VAI-A-B-SW3-1 (config-if) # 10.20.10.254 255.255.255.0

4. CREATION D'UN VLAN: Le VLAN permet une meilleure sécurité, performance et la facilité de gestion. Il segmente le réseau et évite la communication

entre les différents services. Faire de même pour les autres vlan.

Commande : VAI-A-B-SW3-1 (config) # vlan 10 name GestReseau VAI-A-B-SW3-1 (config-if)# ip address 10.20.10.254 255.255.255.0

5. ATTRIBUER UNE ADRESSE IP AUX VLAN: Permet la communication avec les autres VLAN et utile pour le routage inter-vlan.

Commande : VAI-A-B-SW3-1 (config) # vlan VAI-A-B-SW3-1 (config-if)# ip address 10.20.10.254 255.255.255.0

6

6. MISE EN PLACE D'UN RELAI DHCP Il faut informer les autres VLAN de l’adresse du DHCP (car celui-ci est dans un autre vlan) afin qu’ils puissent communiquer avec le serveur. Commandes: VAI-A-B-SW3-1 (config) # Ip helper-address 10.20.200.221 (on dirige vers le serveur DHCP) On effectue les mêmes commandes pour les différents VLAN. Une fois que tout les VLAN créés, on attribue les ports du Switch au vlan correspondant. Par défaut, tout les ports du Switch font partie du vlan 1.

7. ATTRIBUTION DES PORTS AU VLAN Commandes : VAI-A-B-SW3-1 (config)# vlan 10 VAI-A-B-SW3-1 (config)# Untaged Ethernet 1-3

8. ACTIVER LE ROUTAGE Le routage inter-Vlan permet la communication entre les VLAN.

Commandes :

VAI-A-B-SW3-1 # Conf t VAI-A-B-SW3-1 (conf)# ip routing

9. CONFIGURATION DES PORTS GIGAETHERNET Pour que le Switch de distribution puisse communiquer avec les Switch d'accès, il est nécessaire de trunker 2 ports gigaethernet de chaque Switch. Cela améliorera le trafic et permettra d'assurer la redondance.

Commande : VAI-A-B-SW3-1 (config) # Tagged ethernet 25 Trk1 VAI-A-B-SW3-1 (config) # Tagged ethernet 26 Trk2

Interface Switch distribution

7

II. CONFIGURATION DES SWITCH D'ACCES

Comme dans le Switch cœur, nous allons :

• Attribuer un nom • Un mot de passe • Une adresse IP pour le Switch • Créer des vlan Attribuer les vlan aux ports • Le relais DHCP

Ensuite trunker 2 autres ports afin d'y connecter la borne wifi pour que les clients de chaque VLAN puissent utiliser la borne. Une fois que tout les ports ont bien été configurés, nous allons rediriger les VLAN vers le Switch de distribution. Pour cela, nous allons utiliser les ports trunker du groupe Trk1 (pour le switch de distribution) et Trk2 (pour le deuxième SW). On va placer un vlan dans un groupe. Vlan 10 Tagged trk1 (ou trk2) Tagged trk3 (borne wifi) On fait de même chose pour tous les vlan. Une fois les configurations terminées, la communication entre les VLAN est opérationnelle. Deux postes appartenant à deux vlan différents communiquent ensemble. Poste vlan 10: ping 10.20.40.1 Poste vlan 40: ping 10.20.10.1 Le Ping a atteint le poste destinataire, le routage inter-vlan a fonctionné.

8

III. CONFIGURATION DE LA BORNE WIFI

L’objectif est de paramétrer la borne Wifi (de marque Netgear) afin que l’on puisse avoir accès aux différents services du Wifi.

Dans le cas où l’adresse de la borne Wifi est déjà paramétré mais inconnue, réinitialiser le point d’accès en pressant le bouton RESET pendant quelques secondes. La borne va alors prendre son adresse d’origine noté en dessous ou sur le coté du matériel.

Vérifier ensuite que votre ordinateur soit sur le même réseau que la borne afin de pouvoir communiquer, puis tapez l’adresse de la borne sur la barre d’adresse afin de vous identifier.

1. PARAMETRAGE DE LA BORNE WIFI Changement du mot de passe

Commencer par changer le mot de passe par défaut pour accéder à la borne, dans l’onglet maintenance. Procéder de la même façon pour l’adresse IP dans l’onglet configuration => IP Attention : Une fois l’adresse changé, il faudra si nécessaire modifier l’adresse de votre ordinateur afin que vous puissiez encore communiquer avec votre borne Wifi.

Création d’un SSID

Dans l’onglet configuration cliquer sur security. La case de gauche permet de sélectionné le SSID à paramétrer et celle de droite permet de l’activer ou non. Nous pouvons constater ici que le SSID visiteur est paramétré et activé. On constate également que le profile NETGEAR-1 est coché (sur la gauche ) c’est donc lui que l’on va paramétrer, et est activé ( colonne de droite). Cliquer ensuite sur « EDIT » pour procéder au paramétrage.

Renseigner les différents modules nécessaires (profile name, Wireless Network Name SSID …) puis faire « Apply ». Dans ce même onglet vous pouvez vérifier l’état des SSID activé ainsi que celui étant visible.

9

Une fois la borne installé l’utilisateur devra obtenir une adresse IP automatiquement. Pour se faire il faudra renseigner l’adresse du serveur DHCP à la borne wifi. Après avoir installé le serveur Radius, il faut paramétrer son adresse sur la borne Wifi pour que l’utilisateur puisse y être conduit, ainsi que l’adresse du serveur LDAP.

1. PRIMARY(ou Secondary) AUTHENTIFICATION SERVER représente l’adresse IP du serveur Radius.

2. PRIMARY(ou Secondary) ACCOUNTING SERVER représente l’adresse IP du serveur LDAP.

2. TEST DE VALIDATION INTERMEDIAIRE Après avoir effectués cette manipulation en suivant à la lettre la procédure nous avons testé le fonctionnement de la borne Wifi avec notre téléphone portable, nous avons trouvé les SSID des Wifi visibles comme par exemple Grenoble_VISITEUR en entrant le mot de passe. De plus nous avons rentré toujours avec comme outil notre mobile un SSID non visible comme par exemple AMG_Grenoble en entrant le SSID en question avec son mot de passe et il faut précisez le type de sécurité dans notre cas c’est un WPA2 Entreprise.

10

B. LES SERVICES RESEAU DE BASE : DNS, DHCP ET LDAP

I. INSTALLATION DES SERVEURS

1. MISE EN PLACE DES SERVEURS LDAP ET DNS

Le serveur DNS, ou Domain Name System est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. Le LDAP est un protocole standard permettant la gestion d’annuaires électronique par l’intermédiaire de protocoles TCP/IP.

Avant toute chose, affecter une adresse IP fixe à votre serveur !

� Exécuter « dcpromo » afin d’installer LDAP et DNS en même temps. � Choisir « Créer une nouvelle forêt », puis « suivant ». � Attribuer le nom de domaine : apc.local � Choisir le niveau fonctionnel de la forêt : ici, Windows Serveur 2008 R2. � Cocher l’option Serveur DNS puis « suivant » jusqu’à l’installation. � Terminer l’action puis redémarrer votre serveur à la fin de l’installation.

Pour mettre en place un serveur DNS de redirection : � Mettre une adresse de passerelle � Démarrer >Outils d’administration >Gestionnaire de serveur > rôles > serveur DNS > DNS >

apc.local � Clic droit sur le nom de domaine > Propriété > Onglet Redirecteur > Modifier > Ajouter une

adresse IP ou un nom de domaine.

11

Validation du serveur DNS Pour valider, pinger le nom du domaine (ici, apc.local)

Validation du serveur DNS de redirection Pour valider, pinger 8.8.8.8 (dns public de google)

2. MISE EN PLACE DU SERVEUR DHCP

DHCP signifie Dynamic Host Configuration Protocol. Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement sa configuration réseau.

� Démarrer > outil d’administration > gestion de serveur. � Cliquer Rôles > Ajouter des rôles � Choisir DHCP puis suivant. � Dans « paramètre DNS IPv4 », valider l’adresse du serveur DNS préféré.

� Créer les étendues DHCP (Ajouter et saisir les étendues). Nom de l’étendue, adresse de départ /

fin, masque de sous-réseau, le bail (ici, 15 jours), adresse de la passerelle, nom du serveur. � Désactiver DHCPv6. � S’identifier en tant qu’administrateur pour l’autorisateur du serveur DHCP. � Confirmer puis, une fois l’installation finie, redémarrer.

Le DHCP donne une adresse dynamique au client.

12

3. CONFIGURATION D’ACTIVE DIRECTORY L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Pour créer des utilisateurs ainsi que des groupes cliquer sur : � Démarrer > outil d’administration > gestion de serveur. � Rôles > Service de domaine Active Directory > apc.local > Users. � Cliquer sur Action > Nouveau > Utilisateur (ou Groupe). � Remplir les champs (Nom, prénom, adresse d’ouverture, etc.). Le faire pour chaque utilisateur

et groupe.

4. STRATÉGIE DE MOT DE PASSE Mettre en place une stratégie de mot de passe permet de mieux sécuriser les comptes des utilisateurs.

• Durée maximale du mot de passe : expire dans 90 jours. • Durée minimale du mot de passe : autoriser les modifications dans 30jours. • Longueur minimal du mot de passe : au moins 6 caractères. • Unicité du mot de passe : se souvenir de 3 mots de passe. • Verrouillage : après 3 tentatives. • Réinitialiser le mot de passe : 30 min après. • Durée du verrouillage permanente.

Pour ce faire, cliquer sur : � Démarrer > Outil d’administration > Gestion de stratégie de groupe > Clic droit sur Default

Domain Policy > Modifier La fenêtre Éditeur de gestion s’ouvre.

� Dans Configuration d’ordinateur, cliquer sur Stratégie > Paramètre Windows > Paramètre de sécurité > Stratégie de compte > Stratégie de mot de passe et Stratégie de verrouillage du compte.

Exemple : A la troisième tentative erronée, le compte du client est verrouillé et seul l’administrateur peut le débloquer.

13

II. DEPOSER LA MACHINE SUR LE SERVEUR A DISTANCE

Dans VMware, onglet File > Connect to serveur > saisir le nom du serveur (adresse ip), le login et le mot de passe. Une fois connecté, le serveur à distance apparait dans la liste. Faire glisser la machine virtuelle dans le serveur.

Amélioration :

Actuellement, tous les utilisateurs :

• Obtiennent une adresse IP via le serveur DHCP en prenant compte du vlan auquel ils appartiennent.

• Ils sont bien intégrés dans le réseau APC.LOCAL • Accèdent à internet sans restriction • Accèdent à la borne Wifi

Cependant, dans les entreprises, les accès aux sites sont filtrés pour sécuriser les accès entrants et sortants (LAN / WAN). De plus un système de gestion de fichier semble nécessaire pour les activités des salariés. Il est donc nécessaire de mettre en place :

• Un système de filtrage • Un serveur de fichier

14

ANNEXES 1

Schéma du réseau à mettre en place

15

ANNEXES 2

Table d’adressage IP des machines

Machine Adresse IP Masque VAI-A-P-SW3-1 (SW Distrib) 10.20.10.254 255.255.255.0

VAI-A-A-SW2-1 (SWAccès) 10.20.10.221 255.255.255.0

VAI-A-B-SW2-1 (SWAccès) 10.20.10.222 255.255.255.0

GATEWAY 10.20.90.253 255.255.255.0 SRV1 10.20.200.221 255.255.255.0 NAS 10.20.200.1 255.255.255.0 Borne Wifi 10.20.100.253 255.255.255.0

ANNEXES 3

Table des VLAN

Nom Vlan Numéro Vlan IP Réseaux IP Vlan GestReseau 10 10.20.10.0/24 10.20.10.254 VOIP 20 10.20.20.0/24 10.20.20.254 Aménagement 30 10.20.30.0/24 10.20.30.254 Promo 40 10.20.40.0/24 10.20.40.254 Construction 50 10.20.50.0/24 10.20.50.254 DeveDurable 60 10.20.60.0/24 10.20.60.254 Internet 90 10.20.90.0/24 10.20.90.254 WIFI 100 10.20.100.0/24 10.20.100.254 Serveur 200 10.20.200.0/24 10.20.200.254

ANNEXES 4

Étendues DHCP VLAN

VLAN N° VLAN Étendue Départ Étendue Fin Gestion Réseaux 10 10.20.10.1 10.20.10.120 VoIP 20 10.20.20.1 10.20.20.120 Aménagement 30 10.20.30.1 10.20.30.120 Promotion 40 10.20.40.1 10.20.40.120 Construction 50 10.20.50.1 10.20.50.120 Développement 60 10.20.60.1 10.20.60.120 Wifi 100 10.20.100.1 10.20.100.120

16

ANNEXES 5

Comptes existants

Nom Prénom Login Fonction Service Terrieur Alain Terrieur Directeur Aménagement Phine Josette Phine Directeur adjoint Aménagement O’bross Marie Obross Commercial Promotion Kimouss Pierre Kimouss Formateur web Promotion Arange Sam Arange Secrétaire Réseau Ray Hadji Ray Comptable Réseau Tournelle Marie Tournelle Formateur SGBD Construction Frirr Paula Frirr Formateur objet Construction Devélo Marcel Devélo Formateur graphisme Développement Pendé Willy Pendé Formateur réseau Développement

ANNEXES 6

Dossiers partagés et droits GROUPES

DOSSIERS

Aménagement Promotion Construction Développement Gest.

Réseau

Clients X X

Promo X X

Travaux X X

Prog X X

Ressources X X X X X

17

DOSSIER 2

Structure déjà mise en place • Serveur DHCP • Serveur DNS • LDAP / Active Directory • Switch de distribution / accès • Vlan par services • DHCP relais

Objectif 2 1/ Offrir un accès internet sécurisé et authentifié. 2/ Mise en place d’un serveur de fichier

Besoins • Mettre en place un système de gestion d'accès internet. • Forcer l'accès internet de passer par un système de filtrage. • Filtrer les accès internet des salariés en mettant en place une liste noire. • Authentification des utilisateurs via AD pour accéder à la ressource internet. • Logs

Impact sur la structure déjà existante • Les utilisateurs n’auront plus un accès direct à internet. • La mise en place d’un proxy va modifier la passerelle par défaut du Switch de distribution.

18

C. ACCES INTERNET FILTRE I. IPFIRE

IPFire est une distribution GNU/Linux, orientée routeur et pare-feu qu’il est possible de configurer.

1. CREATION D’UNE MACHINE VIRTUELLE

• Fichier > Nouveau > Machine virtuelle • Configuration de type "typique" • Nom de la machine : proxy Grenoble • Choisir un stockage "sio2r initial" • Choisir le système d'exploitation client : Autre Linux 64btis • Nombre de carte NIC : 2 • NIC 1 : VLAN Internet • NIC 2 : VLAN serveur • Choisir une taille de disque : 50 Go

2. INSTALLATION D’IPFIRE

• Démarrer la machine virtuelle et cliquer sur l'icone "disque CD/DVD". • Sélectionner "Connecter l'image iso sur le disque local", puis redémarrer la machine virtuelle. • Choisissez de booter sur IpFire. • Accepter les conditions (touche Espace). • Système de fichier : choisir Ext4. • A la fin de l'installation, redémarrer.

3. CONFIGURATION D’IPFIRE

• Nom du proxy : Proxy-Grenoble. • Domaine : apc.local. • Mot de passe de "root" : sio2r. • Mot de passe de "administrateur" : LWadm00mac. • Configuration du réseau :

-> Type de configuration réseau : GREEN + RED. -> Attribution de pilote aux cartes réseau : GREEN : choisir la carte associée au Switch VLAN serveur. RED : choisir la carte associée au Switch VLAN internet.

• Paramétrage de l'adresse IP : -> Interface GREEN : 10.20.200.250/24.

-> Interface RED : sélectionner "Statique". Adresse IP : 10.20.90.250/24.

DNS primaire : 10.20.200.221. DNS secondaire : aucun. Passerelle par défaut : 10.20.90.253.

• Décocher la case "Routeur DHCP".

19

Tests:

• Pinguer la passerelle du switch de distribution : 10.20.200.254 • Pinguer la passerelle du routeur Zyxel :10.20.90.253

• Pinguer le serveur : 10.20.200.221 • Pinguer internet : 8.8.8.8 • Pinguer un nom de domaine : www.google.fr

II. LES SWITCHS

1. SWITCH DE DISTRIBUTION La mise en place d’IPFire va modifier la passerelle par défaut du Switch de distribution car il est placé entre le switch de distribution et le routeur. Donc la nouvelle passerelle est l’interface green du proxy (10.20.200.250).

• Ajouter la nouvelle route par défaut. Commande : switch-distrib (config) #IP route 0.0.0.0 0.0.0.0.0 10.20.200.250.

• Supprimer l’ancienne route par défaut. Commande : switch-distrib (config) #no IP route 0.0.0.0 0.0.0.0 10.20.90.253.

20

• Vérifier la configuration Commande : VAI-A-P-SW3 (config) # show ip route.

2. CREATION DES SWITCH VIRTUELS Il est nécessaire de créer deux Switch virtuels sur le serveur car le proxy possède deux interfaces. Une vers le réseau local (LAN) et l'autre vers le réseau extérieur (WAN). Effectuer cette manipulation deux fois pour créer les switchs virtuels (sw serveur et sw internet).

• Clique droit sur le serveur ESXI 1. • Configuration > mise au réseau > ajouter gestion réseau. • Choisir le type de connexion "machine virtuelle". • Sélectionner "créer un Switch standard vsphère". • Sélectionner la carte réseau disponible de votre choix. • Dans "étiquette réseau" entrez le nom du Switch virtuel. L'id est facultatif.

Ensuite attribuer les Switch virtuels aux cartes réseaux.

• Clique droit sur le serveur ESXI 1. • Modifier les paramètres > Adaptateur réseau 1 > choisir une étiquette réseau créé ultérieurement.

21

III. PROXY

La configuration se fait via le navigateur en entrant l’adresse IP du proxy et son port (https://10.20.200.250:444) et ensuite s’identifier en tant qu’administrateur du proxy.

Onglet réseau - proxy Web

• Cocher actif sur Green : permet d’activer le proxy. • Renseigner le port et le nom du proxy : 3128 & Proxy Grenoble • Choisir la langue du message d’erreur : fr • Cocher le filtrage par URL : permet de filtrer les pages par URL depuis la liste noire. • Renseigner les ports de destination • Renseigner les sous réseaux autorisés : 10.20.0.0/16 ou par vlan 10.20.x.0/24 • Enregistrer et redémarrer

Onglet réseau – route statique : Les routes doivent être renseignées statiquement pour que la trame connaisse le chemin retour.

22

Onglet réseau – filtré contenu

• Choisir les catégories à bloquer. • Choisir un fichier contenant les listes noires et l’importer ou choisir une source. • Enregistrer et redémarrer

Accès à internet via un proxy configuré manuellement: Après avoir configuré le proxy dans le navigateur, l'utilisateur accède à internet

23

Filtrage des sites indésirables : L'utilisateur ne peut pas accéder aux sites présents sur la liste noire.

Accès à internet sans proxy /!\ Après avoir enlevé le proxy dans le navigateur, la même page est accessible par l’utilisateur. Pour éviter que l’utilisateur accède aux pages non désirées en désactivant le proxy dans les options du navigateur, il faut activer la case « transparence sur green » sur IPFire onglet réseau – poxy web. En l’activant, l’utilisateur est obligé de passer par le proxy même s'il le désactive sur le navigateur. Accès à internet d’une page non autorisée après activation sur green Après avoir enlevé le proxy dans le navigateur, la page n’est plus accessible.

3. AUTHENTIFICATION DES UTILISATEURS PAR LDAP

a. CONFIGURATION PRÉALABLE

Créer le compte d'utilisateur Bind DN

• Ouvrez Démarrer > Outils d'administration > Utilisateurs et ordinateurs Active Directory. • Faites un clic droit sur le domaine et sélectionnez Nouveau > Utilisateur. • Nom de l'utilisateur DN Bind : ldapbind (assurez-vous que le nom d'utilisateur ne contient

pas d'espaces ni de caractères spéciaux.) • Mot de passe : LWadm00mac • Sélectionnez les options "l'utilisateur ne peut pas changer de mot de passe" et "le mot de passe

n'expire jamais". Assurez-vous que l'option "l'utilisateur doit changer de mot de passe à la prochaine connexion" n'est pas cochée.

• Terminez l'Assistant pour créer l'utilisateur Bind DN. Le nom d'utilisateur Active Directory sera : ldapbind@apc.local Le DN LDAP sera : cn=ldapbind,dc=apc,dc=local Ce compte sera utilisé pour lier le proxy au serveur LDAP car Active Directory ne permet pas la navigation anonyme.

24

Créer un groupe pour les utilisateurs autorisés • Dans Utilisateurs et ordinateurs Active Directory, faites un clic droit sur le dossier Utilisateurs

et sélectionnez Nouveau > Groupe. • Entrez le nom du nouveau groupe. • Ajouter tous les utilisateurs autorisés à ce groupe.

Accorder des droits d'accès appropriés à l'utilisateur Bind DN

• Clic droit sur le domaine et sélectionnez Déléguer le contrôle à partir du menu. • Dans l'assistant de délégation de contrôle, sélectionnez le compte utilisateur ldapbind. • Choisissez "Créer une tâche personnalisée à déléguer". • Restreindre "délégation aux objets de l'utilisateur". • Puis sélectionnez l'autorisation pour "Lire toutes les propriétés".

b. Authentification des utilisateurs par LDAP

• Sur l'interface web du proxy, ouvrez la page Proxy web avancé • Sélectionnez LDAP comme méthode d'authentification puis Sauvegarder.

Entrez les paramètres LDAP suivants :

Base DN: Là où la recherche LDAP commence Type LDAP : Active Directory Serveur LDAP : L'adresse IP de votre serveur LDAP : 10.20.200.221 Port : Laissé par défaut Bind DN username : Le nom de l'utilisateur Bind DN : ldapbind Bind DN mot de passe : Le mot de passe de l'utilisateur Bind DN :

LWadm00mac Groupe requis: Le DN pour un groupe avec des comptes d'utilisateurs

autorisés Accès à internet via un proxy après authentification dans l'annuaire apc.local : A l'ouverture du navigateur, une fenêtre d'identification s'ouvre. Après avoir saisi son identifiant et mot de passe, l'utilisateur a accès à internet.

25

IV. CHARTE INFORMATIQUE & NORMES RESPECTEES

1. CHARTE INFORMATIQUE

Préambule L'entreprise APC met en œuvre un système d'information et de communication nécessaire à son activité, comprenant un réseau informatique. Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser exclusivement à des fins professionnelles, sauf exception prévue dans la présente charte. Les droits et les devoirs des utilisateurs Tout utilisateur est responsable de l’utilisation qu’il fait des ressources informatiques. Toute personne travaillant dans l'entreprise dispose d'un droit d'accès au système d'information strictement personnel et incessible. L'accès au système d'information notamment les sessions sur les postes de travail et le réseau est protégé par des paramètres de connexion (identifiants et mots de passe). L’utilisateur doit procéder régulièrement à l’élimination des fichiers non-utilisés dans le but de préserver la capacité de mémoire. Droits et devoirs de l'entreprise L'entreprise doit veiller à la disponibilité et à l'intégrité du système d'information. Elle doit informer les utilisateurs des diverses contraintes d'exploitation (interruption de service, maintenance, modification de ressources,…) du système d'information susceptibles d'occasionner une perturbation. Respecter la confidentialité des "données utilisateurs" auxquelles il pourrait être amené à accéder pour diagnostiquer ou corriger un problème spécifique. L’analyse et le contrôle Le système d'information et de communication s'appuie sur des fichiers journaux (" logs "), créés en grande partie automatiquement par les équipements informatiques et stockés sur les postes informatiques et sur le réseau. Ils permettent d'assurer le bon fonctionnement du système, en protégeant la sécurité des informations de l'entreprise, en détectant des erreurs matérielles ou logicielles et en contrôlant les accès et l'activité des utilisateurs et des tiers accédant au système d'information. Ceci est contrôlé dans le respect de la législation applicable et notamment de la loi relative à l’informatique, aux fichiers et aux libertés. Accès à Internet Dans le cadre de leur activité, les utilisateurs peuvent avoir accès à Internet. Pour des raisons de sécurité, l'accès à certains sites peut être limité ou prohibé par l'administrateur réseau. Celui-ci est habilité à imposer des configurations du navigateur et à restreindre le téléchargement de certains fichiers. L'utilisateur s'engage lors de ses consultations Internet à ne pas se rendre sur des sites portant atteinte à la dignité humaine. Messagerie électronique Chaque salarié dispose d'une adresse de messagerie électronique attribuée par l'administrateur réseau. Avant tout envoi, il est impératif de vérifier l'identité des destinataires du message. En cas d'envoi à une pluralité de destinataires, l'utilisateur doit envisager l'opportunité de dissimuler certains destinataires, en les mettant en copie cachée, pour ne pas communiquer leur adresse électronique à l'ensemble des destinataires. L'utilisateur veillera à ne pas ouvrir les courriels dont le sujet paraîtrait suspect. L'utilisateur signera tout courriel professionnel (nom et prénom de l’expéditeur, son entité de rattachement et les coordonnées postales de l'entreprise). Les sanctions La loi, les textes réglementaires et la présente charte définissent les droits et obligations des personnes utilisant les ressources informatiques. Tout utilisateur du système d'information de l'entreprise n'ayant pas respecté la loi pourra être poursuivie pénalement. En outre, tout utilisateur ne respectant pas les règles définies dans cette charte est passible de mesures qui peuvent être internes à l'établissement et/ou de sanctions disciplinaires proportionnelles à la gravité des manquements constatés par l’autorité territoriale.

Fait à …............................................. Le …............................................. Signature :

26

2. NORMES RESPECTEES Les installations satisfont aux spécifications suivantes :

• Norme AFNOR : l’Association Française de Normalisation (AFNOR) est l'organisme officiel français de normalisation, membre de l'Organisation Internationale de Normalisation (ISO) auprès de laquelle elle représente la France.

• NF C 15-100 : la norme française NF C15-100 réglemente les installations électriques en basse tension en France. Elle porte plus précisément sur la protection de l'installation électrique et des personnes, ainsi que sur le confort de gestion, d'usage et l'évolutivité de l'installation. Elle traite de la conception, de la réalisation, de la vérification et de l'entretien des installations électriques alimentées sous une tension électrique au plus égale à 1000 volts (valeur efficace) en courant alternatif et à 1500 volts en courant continu.

• Guide pratique UTE C15-900 : ce document traite des précautions à prendre pour permettre la cohabitation des différents réseaux de communication entre eux et avec les réseaux d'énergie. Il indique les règles de l'art pour l'installation (conception et mise en couvre) des réseaux de communication dans les limites d'un ensemble immobilier, immeuble ou construction individuelle. Ces règles peuvent également être utilisées au-delà de ces limites.

• EN 50173 Standard européen : cette norme précise les règles de câblage pour obtenir une installation de qualité et performante.

• EN 50174 -1 et 2 : la présente Norme Européenne spécifie les exigences relatives aux aspects du câblage des technologies de l'information : la spécification de l'installation, ainsi que les procédures et la documentation de l'assurance de la qualité ; la documentation et la gestion ; l'exploitation et la maintenance.

• ISO/IEC 11801 Standard International : spécifie les recommandations en matière de systèmes de câblage de télécommunication. Il couvre à la fois le câblage cuivre et en fibre optique. Ce standard a été conçu pour l'usage dans les locaux commerciaux consistant en un seul et même bâtiment, ou en plusieurs bâtiments regroupés en campus.

• Normes EIA/TIA 568 US : norme sur laquelle reposent les caractéristiques physiques des réseaux locaux et standards informatiques (exigences générales, exigences visant les câbles à paires torsadées non blindés (UTP) et les composants connexes et exigences touchant les câbles à fibres optiques et les composants connexes).

• Norme EN 55022 : normes produits pour les appareils de traitement de l'information.

• Normes CEI 1000 et 801-4 : compatibilité électromagnétique.

• Norme EN 50167 : pour les câbles de distribution horizontale.

• Normes EN 50168 : norme européenne pour les cordons de brassages et de raccordement aux terminaux.

• Norme EN 50169 : norme européenne pour les câbles de distribution verticaux.

• Aux prescriptions et spécifications éditées par les divers constructeurs, aux règles de l'art, et aux différents standards en vigueur au moment ou est publié ce document, notamment les RFC internet-standard et les dernières normes IEEE 802.

27

ANNEXE 1 : Diagramme de Gantt

ANNEXE 2 : Schéma logique du réseau

28

ANNEXE 3 : Table de routage du routeur Zyxel

RéseauRéseauRéseauRéseau MasqueMasqueMasqueMasque PasserellePasserellePasserellePasserelle InterfaceInterfaceInterfaceInterface

10.20.10.010.20.10.010.20.10.010.20.10.0 /24 10.20.90.254 10.20.90.253

10.20.20.010.20.20.010.20.20.010.20.20.0 /24 10.20.90.254 10.20.90.253

10.20.30.010.20.30.010.20.30.010.20.30.0 /24 10.20.90.254 10.20.90.253

10.20.40.010.20.40.010.20.40.010.20.40.0 /24 10.20.90.254 10.20.90.253

10.20.50.0.10.20.50.0.10.20.50.0.10.20.50.0. /24 10.20.90.254 10.20.90.253

10.20.60.010.20.60.010.20.60.010.20.60.0 /24 10.20.90.254 10.20.90.253

10.20.90.010.20.90.010.20.90.010.20.90.0 /24 10.20.90.253 10.20.90.253

10.20.100.010.20.100.010.20.100.010.20.100.0 /24 10.20.90.254 10.20.90.253

10.20.200.010.20.200.010.20.200.010.20.200.0 /24 10.20.90.254 10.20.90.253

0.0.0.00.0.0.00.0.0.00.0.0.0 /0 192.168.9.254 192.168.9.X

29

D. MISE EN PLACE D'UN SERVEUR DE FICHIERS

L’entreprise APC nous demande de mettre en place un dossier nommé concentration accessible en lecture seul pour tous les services. Celui-ci devra être disponible en permanence.

I. METTRE EN PLACE LES PROFILS ITINERANTS

1. CREATION D'UN PROFIL ITINERANT Pour créer un profil itinérant, procédez comme suit :

• Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés dans le menu contextuel qui s'affiche.

• Cliquez sur l'onglet Avancé, puis sur Paramètres sous Profils utilisateur. • Dans la liste Profils enregistrés sur cet ordinateur, cliquez sur le profil qui vous intéresse. • Pour modifier le type de profil, cliquez sur Modifier le type, sur Profil itinérant, puis sur OK.

2. COPIE D'UN PROFIL UTILISATEUR Pour copier un profil utilisateur existant dans le compte d'un autre utilisateur, procédez comme suit :

• Cliquez sur Démarrer, clique droit sur Poste de travail, puis Propriétés dans le menu contextuel qui s'affiche.

• Cliquez sur l'onglet Avancé, puis sur Paramètres sous Profils utilisateur. • Dans la liste Profils enregistrés sur cet ordinateur, cliquez sur le profil à copier. • Cliquez sur Copier dans. • Dans la boîte de dialogue Copier dans, effectuez l'une des opérations suivantes :

o Dans la zone Copier le profil dans, tapez le chemin UNC (Universal Naming Convention)

d'accès au dossier du profil de l'utilisateur cible. Par exemple, tapez ce qui suit : \\ Nom_serveur \ Nom_partage \ Répertoire_profils_utilisateur

o - ou - Cliquez sur Parcourir, puis naviguez jusqu'au dossier du profil utilisateur dans lequel copier le profil. Cliquez sur OK.

• Sous Autorisé à utiliser, cliquez sur Modifier. Tapez le nom de l'utilisateur qui sera autorisé à utiliser ce profil, puis cliquez sur OK. REMARQUE : veillez à ne pas choisir d'utilisateur ou de groupe appartenant à un domaine Microsoft Windows NT, car Windows XP est conçu pour sélectionner les domaines à l'aide de Active Directory.

• Dans la boîte de dialogue Copier dans, cliquez sur OK. Lorsque le message Confirmer la copie s'affiche, cliquez sur Oui.

• Cliquez deux fois sur OK.

30

3. MISE A JOUR DU CHEMIN D'UN PROFIL UTILISATEUR Mettez à jour le chemin du profil d'un utilisateur pour qu'il pointe vers le nouveau profil.

Pour ce faire, procédez comme suit :

• Sur un contrôleur de domaine, démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Développez le domaine, puis l'unité d'organisation qui contient le compte utilisateur souhaité.

• Cliquez avec le bouton droit sur le compte utilisateur qui vous intéresse, puis cliquez sur Propriétés dans le menu contextuel qui s'affiche.

• Cliquez sur l'onglet Profil, puis tapez le chemin UNC d'accès au dossier du profil dans la zone Chemin du profil.

• Cliquez sur Appliquer, puis sur OK.

Une fois que l'utilisateur est parvenu à se connecter, le profil est enregistré sur le serveur en tant que profil itinérant et toutes les modifications apportées au profil sont enregistrées sur le serveur. Chaque salarié ont un dossier personnel où ils peuvent stocker leurs données, la capacité de stockage offerte à chaque utilisateur est de 10 Mo. Sauvegarde des fichiers.

II. CREATION DE LECTEUR RESEAU

1. INSTALLER LE SERVICE DE FICHIER

Tout d’abord, installons le rôle. Pour cela Gestionnaire de server > Ajouter des rôles > Services de fichiers.

Ensuite, dans la fenêtre Ajouter des services de rôle, vous avez la possibilité d'ajouter plusieurs services. Sélectionnez le Services de fichiers.

31

Maintenant le rôle est installé et il ne reste plus qu’à créer notre partage et le configurer. La technique la plus simple est clic-droit sur un dossier et faire partager, mais cette technique ne nous permet pas d’utiliser les nouveaux outils de partage. Donc nous allons utiliser la console « Gestion des partages et du stockage ». Pour cela Outils d’administration -> Gestion des partages et du stockage.

2. CREER UN DOSSIER ET LE PARTAGER Pour cela cliquez sur prévoir le partage présent dans le menu de droite. Puis il faut choisir l’emplacement de notre dossier. Par exemple, partager le dossier « Articles » qui est dans C:/.

32

Une fois le dossier choisit, on nous demande si on souhaite modifier les propriétés NTFS. Qu’est-ce les propriétés NTFS ? Il existe sous Windows deux types de propriétés de dossiers qui sont les propriétés de partage et NTFS. Propriétés NTFS: Ces propriétés sont des droits de fichier qui s’appliquent en local. C’est à dire que l’on va autoriser ou interdire certaines personnes de lire, écrire ou modifier les fichiers lorsqu’elles sont logués sur la machine. Ces propriétés s’appliquent uniquement sur la machine. Propriétés de partage: Ces propriétés s’appliquent aux utilisateurs du dossier partagé. C’est à dire que l’on va autoriser ou interdire à certaines personnes de lire, écrire ou modifier les fichiers lorsqu’elles se connectent au dossier partagé via le chemin réseau. Pour notre exemple je n’autorise que les administrateurs à toucher au fichier en local. Donc nous allons modifier les propriétés NTFS et donner tout les droits uniquement à nos administrateurs.

Ensuite, on nous demande quel type de partage nous voulons créer. Comme nous n'avons pas installé les services NFS, le seul partage de fichier possible est SMB. Donc il faut juste renseigner le nom du partage de fichier. Par défaut il est le même que le nom du dossier. Pour que les utilisateurs ne connaissent pas le chemin réel du dossier en local, modifiez le nom du partage en « LolokaiSharing ». Du coup au lieu d’accéder au partage via \\DC-Lolokai\Articles ils accéderont via le chemin \\DC-Lolokai\LolokaiSharing.

33

Puis, on nous demande si on veut modifier les paramètres SMB par défaut. Pour notre exemple nul besoin de les modifier.

Ensuite nous arrivons au permission de partage, nous allons les personnalisées en donnant au groupe Auteur et Correcteurs la possibilité de lire et modifier et aux managers de lire seulement.

34

Une fois les permissions de partage établies, l’utilitaire nous propose de publier notre partage sur un espace de nom DFS, vu que nous n’avons pas installé le rôle DFS et que nous n’avons pas besoin de DFS nous le ferons pas. Puis l’utilitaire nous affiche un récapitulatif et une fois accepté le dossier est partagé.

35

Maintenant notre dossier est créé, mais nous allons rajouter juste un petit plus, nous allons gérer les quotas. Car en effet nos utilisateurs peuvent s’amuser à stocker des fichiers sur le partage et remplir les disques du serveur. Nous allons donc restreindre leur stockage à 10Go. Pour cela nous allons utiliser le gestionnaire de ressources du serveur présent dans la console gestion des partages et du stockage. On aurait pu créer une stratégie de groupe mais la gestion via cette console permet une gestion beaucoup plus profonde. Pour cela il faut d’abord ajouter le service de rôle gestion de ressource du serveur de fichier.

Ensuite Gestionnaire de serveur > Rôles > Services de fichiers > Gestion des partages et du stockage > Gestionnaire de ressources du serveur de fichier > Gestion de quotas.

Dans cette console nous retrouvons :

• Des « modèles de quotas » ce sont les règles que nous allons appliquer • Des « quotas » c’est là où nous allons créer un quota à un dossier en appliquant un modèle.

36

Comme vous pouvez le voir il y a pas mal de modèles et aucun qui ne correspond au quota de 10Go par utilisateurs. Donc nous allons créer un modèle, c’est à dire créer une règle de quota. Pour cela faite créer un modèle de quota. Nous allons appeler notre modèle limite 10Go, nous limiterons à 10Go et le quota sera inconditionnel ce qui empêchera l’utilisateur d’ajouter encore des fichiers une fois le quota atteint. J’ai aussi activé les notifications à partir de 85% ce qui fera que dès qu’un utilisateur atteint 85% de l’espace, l’administrateur recevra un mail m’avertissant.

Puis, il suffit de créer un quota dans l’onglet quota ciblant Articles et utilisant le modèle créé précédemment.

37

III. CONNECTER UN LECTEUR RESEAU

1. MONTER UN LECTEUR RESEAU AUTOMATIQUE, NET USE

Ouvrez le bloc-notes. Pour commencer saisissez la commande : net use * /delet /yes Cette commande va supprimer tout les lecteurs réseau (afin d’éviter des conflits avec ceux existants). Soit : x est la lettre que vous souhaitez mettre entre A et Z (attention cette lettre ne doit pas être utilisé sur les postes, c’est pourquoi il est conseillé de partir de la lettre Z vers la lettre A) Soit : « nom du serveur » est le nom du serveur ou poste vers lequel vous souhaitez faire pointer vos lecteurs réseaux: Soit : « partage » est le nom du dossier vers lequel pointe le lecteur réseau (attention pour être accessible, vous devez activer les droits d’accès, soit à tout le monde, soit aux personnes en fonction de votre politique d’accès aux données). EXEMPLE : Net use * /delet /yes Net use X: \ "nom du serveur"\ "partage" Ensuite vous enregistrer ce document dans : C:\Windows\SYSVOL\domain\scripts Ou dans \ "nom du serveur"\NETLOGON Sous le nom de netlogon.bat ou « nom du votre script ».bat (attention à bien mettre .bat à la fin).

2. ACTIVER LA DISPONIBILITE HORS CONNEXION DES FICHIERS

Gestion des partages et du stockage Clic droit sur le dossier souhaité Propriété Avancé Aller dans l’onglet Mise en Cache Cocher « Tous les fichiers et les programmes ouverts par les utilisateurs depuis le partage sont automatiquement disponibles hors connexion ». Cliquer sur OK, puis OK.

3. PARAMETRER LA SAUVEGARDE DU SERVEUR

Démarrer => Outils d’administration => Gestion de l’ordinateur Dans l’arborescence, clic droit sur Dossiers Partagés => Toutes les tâches => Configurer les clichés instantanés Sélectionner le volume concerné, modifier la planification et la zone de stockage par défaut si nécessaire en cliquant sur Paramètres.

38