Luận văn migration d’un serveur de production de windows vers linux et mise en place d’outils de collaboration

Masier Systèmes Informatiques et Réseaux — UCBL - IFI 2008-2009 Le réseau est peuplé d'une cinquantaine de machines : deux serveurs que nous appellerons $1 et $2, une quarantaine d'ordi

Trang 1

Table des matières

entreprise daccuel

2.1 Présentation deTentreprise] oo ee ee ee eee ne eee

2.2 Role occupé au sein de l'agence]

Trang 2

Master Systèmes lnformatiques et Réseaux ~ UCBL - IFI 2008-2009

nnexe 1 : extrait de configuration du serveur 4

[C_Annexe 3 : Régles pare-feu Netfilter] 45 [D_Annexe 4 : Fichier de configuration de Sambal 47

Trang 3

Master Systèmes Informatiques et Réseaux — UCBL - IFI 2008-2009

nnexe 5 : Scrij ‘ajout d'utilisateur Sami 50

[F_Annexe 6 : Fichier de configuration de OpenLdap| 51

54

Annexe 7 : Fichier de configuration du proxy Squid

Trang 4

Masier Systèmes Informatiques et Réseaux — UCBL - IFI 2008-2009

Le Vietnam, & l'image des entreprises qui y sont implantées, est actuellement dans une phase de

développement et de modernisation Aussi, les sociétés se sont massivement équipées de ouiil informa-

tique, véritable moteur de développement économique et social, ces derniéres années

Lutilisation de tout logiciel est saumise l'acceptation d’un contrat d'utilisation, aussi appelé licence Pour la plupart des logiciels, dits "propriétaires”, seule l'utilisation est autorisée, ce qui satistait généralement

le client Leurs équivalents libres sont soumis a des contrats plus permissifs Ils permettent a toute per- sonne qui poss@de une copie du logiciel non seulement de I'utiliser, mais aussi de I'étudier, le modifier et

le rèdistribuer

Il est important pour les utilisatrices que sont les entreprises de connaftre objectivement l'offre logi- cielle existante Or, !a position dominanie et les moyens marketing des grands acteurs en place biaisent linformation dont elles bénéficient C'est particuligrement vrai au Vietnam, ou on peut ajouter d'autres raisons pour expliquer la faible utilisation des logiciels libres, notamment le fait que les logiciels commerciaux

et propriétaires sont trop faciles 4 trouver pour une faible somme

Cependant, ies inspections au sein des entreprises se multiplient suite a la campagne lancée par le

gouvernement vietnamien pour éliminer utilisation des logiciels piratés De plus, le ministre vietnamien

de I'Infarmation et des Communications, Le Doan Hop, a annoncé un pian national prévoyant le passage

vers des logiciels libres et Linux au sein des administrations nationales et locales d'ici 2010

Ce mémoire, au déla de décrire mes cing mois de stage passés & NKB Archi, se donne pour ambition

de présenter comment amélicrer significativement le réseau et la communication au sein d'une entreprise

équipée de logiciels propriétaires, en appliquant des solutions libres et gratuites

Aprés une présentation de rentreprise d'accueil, nous décrirons la situation du réseau a mon arrivée

en analysant ses forces et ses faiblesses Nous propaserons ensuite des solutions et améliorations, dont

nous aborderans la mise en place, avant de faire un bilan du travail accompli

Rapport de stage de Jules DAGNAUD 6

Trang 5

Master Systèmes lnformatiques et Réseaux — UCBL - IFI 2008-2009

2 Lentreprise d’accueil

2.1 Présentation de l’entreprise

En janvier 1969, M Jacques Berry, le pére de M Nicolas Berry, lance sa propre agence d’architecture

a Paris Il est rejoint par son fils, en janvier 2003 En janvier 2005, Nicolas devient Directeur Général de l'agence qui se renomme alors NKB Archi France En décembre de la méme année, NKB Archi Vietnam

Ltd est lancé à Hanoi

Depuis sa création, l'entreprise n'a cessé de se développer, tant du point de vue de ses différentes réalisations, qu’au niveau de ses locaux et du nombre de ses employés qui dépasse aujourd'hui la cin-

quantaine Entre temps, NKB Archi Vietnam Limited a monté un bureau de représentation à Ho Chì Minh

City, a lancé NKB Planning, filiale spécialisée dans |'urbanisme, et est sur le point de créer Space by NKB,

a Hong-Kong et au Vietnam, dans le but d'investir le marché du meuble

Lagence d’architecture NKB Archi se compose de deux pdles ; le premier, NKB Archi France dont le bureau est situé a Paris, travaille sur une architecture a échelle locale, tout en participant ponctuellement des projets de plus grande envergure Le second péle et le plus important, NKB Archi Vietnam Limi-

ted, prend en charge des réalisations d'ensembles a échelles nationales ou internationales comme des

complexes touristiques, des batiments publics ou encore des résidences privées

Lagence de Hanoi qui m’a employé durant ce stage est celle qui compte le plus grand nombre d'em-

ployés Elle est implantée au 159 Lo Duc, dans le quartier Hai Ba Trung de Hanoi, depuis plus d'un an

Les locaux se divisent en deux batiments Lun abrite la réception et les bureaux des architectes

conception et technique, l'autre est réservé a l'administration et aux bureaux des ingénieurs Mon poste

a été installé dans la salle des architectes techniques, la plus proche de la salle des serveurs

Le péle hanoien emploie majoritairement des vietnamiens, bien que les postes de conception archi- tecturale soient en grande partie occupés par des occidentaux expatriés Cette atmosphére multiculturelle est trés enrichissante au jour le jour De plus, le contexte de travail est exclusivement anglophone

Le champ d'intervention de l'agence s'étend sur de nombreux types de réalisations qui peuvent avoir fonction de logements, bureaux, commerces, hétels, batiments publics ou industriels, allant de l'architec-

ture d'intérieur jusqu’a l'aménagement urbain

Trang 6

2.2 Rôle occupé au sein de l'agence

Le poste accupé pendant 5 mois fut celui d’administrateur systéme et réseau du parc informatique de

agence

2.2.1 Description de la mission

La mission qui m’était contiée consistait 4 proposer et mettre en place des outils gratuits et libres, dans

lobjectif d'améliorer le réseau interne de I'agence Mon travail s’est articulé autour de trois axes fortement liés : l'étude du réseau existant, la migration du systéme d'explcitation des serveurs de production et la mise en place d'outils de communication et de travail collaboratit

Aces missions s'est ajouté naturellement un réle de support informatique et d’assistance aux utilisateurs (installation de logiciels, correction de problémes, maintenance matérielle)

Enfin, javais également comme tache de former M Nguyen Dang Kiem, pour qui le monde Linux était inconnu jusqu’alars, aux outils que je mettais en place

2.2.2 Calendrier Prévisionnel

Tache Période |

Recherche et proposition des outils de remplacement ¿ à ajouter 2 semaines | Préparation de la migration 4 semaines

Migration 2 jours (week-end)

Formation des employés & utilisation du nouveau réseau T semaine |

Mise en place d'outils de collaboration et formation de l'administrateur en place Ssemaines |

Fia 2— Calendrier Prévisionnel

Trang 7

Nguyen Van Tuong

Directrice Exécutive Tran Anh Nguyen

Chef Comptable Directeur Marketing Directeur artistique

Pham Thi My Hanh Guilhem Cavaillé ‘Thomas Mentreau

Administrateurs Directrice đ'agenee HCMC Directeur Urbanlste | Difectrice Design || Directeur Technique Informatique Catherine Plasse Gery Egon See Nguyen Viet Duong Nguyen Dang Kiem TEHH Ung

Jules Dagnaud

Chef Architect

Assistante du Directeur

Nguyên Minh Thuy

Managers Design Manager

Andrew MacLaggan Vo Hoal Buc

Guillaume Désormeaux _S#élle Métadler

Phan Thanh Phuc

Manager 3D

Tran Quoc Thang

Manager Dept

structure Pham Trong Phuong

Estimatifs Nguyen Thi Tan Hop

Fluides Ngo Phu Ha

Architectes, Urbanistes, 30, ingénieurs

Trang 8

Le réseau est peuplé d'une cinquantaine de machines : deux serveurs (que nous appellerons $1 et

$2), une quarantaine d'ordinateurs clients et une imprimante réseau Ces équipements sont répartis dans

les neuf salles des deux batiments qui constituent les locaux de l'agence (la salle des serveurs, le bureau

de la direction, le bureau administratif, Paccueil, et les cing salles de travail)

Nous avons a faire a un réseau Ethernet classique, congu selon une topologie hybride en bus et en étoile Les deux serveurs sont reliés entre eux par une liaison (commutateur et cables) Gigabit Ethernet 1000BaseT Dans chaque salle, les hotes sont reliés 4 un commutateur 100BaseT Tous les commutateurs

reliés entre eux forment le Backbone du réseau

De nombreux tests, avec du matériel spécialisé, ont révélé qu'aucun composant de liaison physique n'était

Tous les postes sont équipés d’un environnement Windows :

— Windows 2003 Server pour les deux serveurs,

— Windows XP pour tous les clients

Les systémes sont assez instables (redémarrages fréquemment nécessaires}, notamment le serveur

$2, qui, en plus d’étre trés lent, plante réguliérement a la suite de dépassement mémoire Beaucoup de machines sont également porteuses de virus (dont les deux serveurs)

3.1.3 Audit des services réseaux

Les services réseaux proposés sont répartis sur les deux serveurs Le premier serveur, 51, a comme unique réle celui de serveur de fichier, tandis que le serveur $2 s‘occupe de tous les autres services :

— serveur d'adressage DHCP : une plage de cent adresses est distripuée dynamiquement aux hétes

du réseau Les adresses des deux serveurs sont réservées

— serveur de noms : a chaque adresse IP est associée un nom, cependant les noms sont incohérents, certaines machines portant le nom de leur utilisateyr, et d'autres un nom sans signification parti-

culiére

— pare-feu : le pare-feu intégré a Windows 2003 Server est trés basique Il est utilisé ici pour protéger

le réseau (ouverture de seulement quelques ports utiles) et pour fittrer les accés Internet (tous les

employés n'ont pas le droit d'utiliser Internet) en fonctian des adresses IP

— passerelle vers internet

Trang 9

— sauvegarde des fichiers partagés sur le premier serveur Une sauvegarde périodique est effectuée tous les jours

Details

Techniques| Ingénierie}

Switch Fluides 100BasaT

Fic 4 — Réseau de l'entreprise

Trang 10

3.2 Exigences pour la nouvelle architeeture

ta premiére exigence était de nature éconamique : le prix des systémes d’exploitation du parc devait étre le plus faible possible

De plus, une réduction significative des problames d’instabilité des serveurs et de lenteur du réseau était nécessaire

Le nouveau réseau devait proposer les mémes services que celui en place précédemment ainsi que

de nouvelles fonctionnalités :

— adressage automatique,

— service de nommage,

— partage contralé de ressources,

— identification des utilisateurs et notion de groupes d'utilisateurs,

— partage contrélé de I'Internet,

— service de messagerie instantanée interne,

— plate-forme collaborative de travail,

— contréle du serveur a distance,

— sauvegarde automatique et réguliére des données

3.3 Analyse et choix

3.3.1 Topologie

Les tests des composants physiques du réseau n’ayant révélé aucune défaillance, et en prenant

compte de I'agencement des locaux, il a été décidé qu'aucune modification du réseau ne serait effectuée

au niveau physique La seule modification importante sera donc le changement total de la configuration des serveurs

3.3.2 Systemes

3.3.2.4 Serveurs

Les problémes đinstabilités se sont révéiés étre la conséquence d’un manque flagrant de mémoire

vive du serveur $9, assurant tous les services réseau (a l'exception du service de partage de fichiers) et

la sauvegarde des fichiers partagés sur le serveur #1, couplé & un systéme vérolé (une simple analyse antivirus avec le logiciel gratuit Avast! a révélé la présence de milliers de fichiers systémes infectés sur les deux serveurs)

Le choix opéré fat done d'utiliser le serveur 51, beaucoup plus performant, comme unique fournisseur

de services Le serveur 52, totalement obsoléte, sera quant à Iui chargé d'une seule tache : le stockage des sauvegardes des données partagées

Pour répondre aux exigences économiques, le choix, pour les serveurs, d'un systeéme d'exploitation gratuit et libre s'imposait Il était donc naturel de s‘orienter vers une distribution Linux Ayant utilisé prin-

cipalement Mandriva et Debian, mon choix s’est finalement porté sur Debian, beaucoup plus stable et évolutive que Mandriva, bien que demandant plus de connaissances pour son installation, son administration, et sa maintenance Un avantage non négligeable de cette distribution est également sa gestion

de l'installation de paquets, transparente et structurée, ainsi que le nombre d'outils disponibles Tout le

contraire de Mandriva qui, dans sa version gratuite, présente de nambreux prablémes de stabilité Enfin,

Trang 11

Debian respecte totalement la Philosophie du monde du logiciel libre, comme le témoigne le Gontrat So- cial Debian dont la partie consacrée aux principes du logiciel libre a été adoptée par la communauté du logiciel lore comme base pour la définition de informatique libre De plus, il existe une forte communauté

d'utilisateurs autour de cette distribution, il est donc assez aisé de trouver de la documentation fiable et abondante Le systéme installé sur les serveurs sera donc la derniére version stable de Debian, Debian Lenny 5.0

Concernant les virus, la lagende selon laquelle les systémes d’exploitation Linux y sont invulnérables

est erronée Linux posséde des failles de sécurité qui peuvent étre exploitées par des programmes mal- veillants Linux est donc sensible aux virus, tout comme Windows, mais dans une maindre mesure En effet, an recense seulement une trentaine de virus existant sous Linux, ce qui est négligeable en compa-

raison des millions existant sous Windows Ceci peut &tre expliqué par plusieurs raisons :

— les utilisateurs de Linux r’ont pas les droits administrateur, et ne peuvent donc pas modifier les

fichiers systéme Il est ainsi difficile pour un virus d’infecter la machine,

— Linux oblige & déciarer si un fichier est exécutable ou non Ce n'est pas l'extension qui détermine

si un fichier est exécutable Il est donc difficile d'exécuter un fichier sans le voulgir, en pensant que

‘était un fichier d’un autre type,

— Linux est open-source, c’est-a-dire que tout le monde peut examiner son code source, y compris

des experts en sécurité Les failles ont donc plus de chances d'étre détectées,

— la plupart des logiciels sont installés a partir de dépôts, dont le contenu est contrélé,

— enfin, il existe de nombreuses distributions différentes, ce qui limite la propagation des virus

3.3.2.b Postes clients

Vidée dutiliser Linux pour les postes clients a trés vite été abandonnée a court terme En effet, Farchi-

tecture utilise de nombreux outils informatiques spécifiques (logiciels de dessin technique, de retouche Photo, conception d'image 3D, design } Sides équivalents à ces logiciels existent bel est bien sous Li-

nux, ces outils sont tout de méme différents et requidrent une expérience utilisateur considérable Aussi,

adaptation ne semblait pas possible dans ’immédiat

Le projet extrémement bénétique en termes économie et d'image, de passer a un parc informatique entiérement gratuit et libre, n’a cependant pas été abandonné

3.3.3 Services réseau

Debian Lenny est un systéme particuligrement orienté réseau On trouve facilement sur les depots

officiels les paquets nécessaires a la mise en place d’un serveur de production complet Les autils ont été

choisis selon les critéres suivants :

— gratuité et respect de la philosophie des logiciels libres,

— conformité aux standards,

— sécurité,

— quantité et qualité de la documentation disponible

Les outils retenus sont les suivants :

Trang 12

3.3.3.a OpenLdap

Devant le besoin d'identifier/authentifier les utilisateurs sur le réseau, et devant le grand nombre de

services qui seront pourvus, la mise en place d'un annuaire de centralisation des informations utilisateurs

s'imposait Le standard en la matiére est le protocole LDAP On va pouvoir grace a cet annuaire réunir

les informations (noms d'utilisateurs, mots de passe, noms, prénoms, mail ) de chaque utilisateur du

réseau Ainsi, un employé aura les méme identifiants pour accéder a Internet, aux données partagées, a

la plate-forme collaborative ou a la messagerie interne OpenLdap est l'implémention libre de ce protocole

Netfilter est un parefeu intégré au noyau Linux depuis sa version 2.4 Il fonctionne en interceptant et

manipulant des paquets réseau Netfilter est configurable avec la commande iptables || est possible de réaliser avec cet outil des passerelles et pare-feux aussi performants que ce que l'on peut obtenir avec

du matériel spécialisé

3.3.3.e Samba

C’est une implantation du protocole SMB de Microsoft permettant de partager de ressource sur un

réseau Windows Samba émule un domaine SMB sur un serveur Linux Ainsi grace a Samba, on va pouvoir partager des ressources entre notre serveur Linux et nos clients Windows On peut identifier les

utilisateurs avec LDAP

3.3.3.6 Squid

Un serveur mandataire (proxy) capable d'utiliser les protocoles FTP, HTTP, et HTTPS C’est un logiciel libre distribué selon les termes de la licence GNU GPL Squid garde les données les plus fréquemment utilisées dans un cache, améliorant ainsi les performances II permet également d'identifier les utilisateurs

et de filtrer les accés HTTP Squid est compatible avec Ldap

‘Internet Systems Consortium

Trang 13

3.3.3.9 SSH

SSHf|est à la fois un programme informatique et un protocole de communication sécurisé SSH est

pour l'instant la référence de l'accés distant sécurisé sous linux

3.3.3.h Backup Manager

Un utilitaire de sauvegarde de fichiers locaux sous forme d'archives Backup Manager est une solution

de sauvegarde simple, automatique et sire Son paramétrage est fourni et intuitif

3.3.3.1 Openfire

Openfire est un serveur Jabber (protocole de messagerie instantanée), écrit en Java, sous licence GNU GPL Il est stable, posséde une interface d’administration intuitive et peut s'appuyer sur une importante communauté Enfin, Openfire posséde de nombreux plugins permettant de personnaliser la messa-

gerie, et notamment un permettant l'authentification des utilisateurs via LDAP

3.3.3.j Plone

Un systéme de gestion de contenu Web libre publié selon les termes de la GNU GPL II est construit

au-dessus du serveur d’applications Zope, écrit en langage Python Plone est considéré comme étant

l'un des meilleurs CMS open-source existants, et est réguliérement recompensé au Open Source CMS Awards Plone est extrémement flsystemes exible et puissant, et il existe une grande quantité de modules

disponibles pour le personnaliser

Secure SHell

Trang 14

4 Migration du serveur

Sous peine de paralyser l'agence toute entiére, l'échec de la migration était intolérable N’ayant que

tras peu d'expérience dans la création et 'administration dun réseau mixte Linux/Windows au début de

ma mission, j'ai donc configuré le serveur dans un environnement de test (un serveur et un poste client

déconnecté du réseau fonctionnel), avant d’appliquer la configuration adéquate obtenue sur le serveur de Production Cette méthode de travail m'a permis de prendre le temps de configurer la plupart des services réseaux, sans risque, et d’eHectuer !a migration sans perturbation et sans immobilisation du réseau (ia

configuration du serveur de production a été effectuée en un week end)

4.1 Installation de Debian Lenny

Depuis les plus récentes versions, Debian s’installe trés facilement J'ai choisi de faire cette installa-

tion par Internet, en utilisant seulement un CD d'installation : la plupart des paquets va étre téléchargée depuis les dépdts (dans un souci de rapidité, j'ai utilisé des miroirs situés 4 Hong-Kong)

Cetie séparation permet de réinstaller le systeme en cas de probleme sans perdre les données utili-

sateurs dans /home, et d’allouer la place suifisante 4 /var et /usr, dossiers dans lesquels beaucoup de données relativas aux applications sont écrites

Enfin, la dernière difficulté concernait le format de fichier des disques de stockage de données En effet, si les disques systéme ont été reformatés au format exts lors de I'installation, les 3 disques de stockage étaient toujours au format cher A Windows : NTFS Heureusement, Il existe un pilote NTFS libre

pour Linux, ntfs-3g, qui permet I'accés en lecture et en écriture aux disques NTFS

Pour résumer la situation des disques, voici le résultat de la commande di -b :

Filesystem Size Used Avail Use% Mounted on

Maintenant que [on đispose đun sys†ème fonctionnel, nous allons pouvoir mettre en place les services

réseau sur notre serveur

Trang 15

42 Dhcpd

4.21 Fonctionnement

Lorsquun client, équipé de TCP/IP, tente de se connecter & un réseau, il charge une adresse IP vide

et diffuse un paquet DHCPDISCOVER sur le réseau Le paquet DHCPDISCOVER contient le nom du poste de travail, 'adresse MAC de I'interface réseau et peut aussi contenir la derniére adresse TCPAP que le client a obtenu du serveur Avec cette information, le serveur est capable de donner au client Ja méme adresse que celle qu'il avait recu lors de sa derniére requéte

Lorsqu’un serveur DHCP actif regoit le paquet DHCPDISCOVER, ’état de sélection commence Le serveur réserve une adresse de sa liste et diffuse une réponse au poste de travail La réponse, ap- pelée paquet DHCPOFFER, contient une proposition d'adresse TCP/IP pour le poste de travail ainsi que adresse MAC du poste de travail, les informations de masque de sous-réseau, la longueur du bail et

adresse TCP/IP du serveur DHCP faisant [offre

Une fois que te client a regu un paquet DHCPOFFER, I'état de requéte commence Le client génére

un paquet DHGPREQUEST qui accepte l'adresse TCP/IP offerte par le serveur qui a issu le paquet

DHGPOFFER Le paguet DHCPREQUEST inclut 'adresse TCP/IP du serveur quia fourni I'adresse client

Pour conclure l'état de requéte, le client effectue une diffusion de masse du paquet DHCPREQUEST

Tous les serveurs DHCP sur le réseau receivent le paquet et comparent ses informations d’adresses serveurs avec leur propre adresse Si l'adresse du serveur ne correspond pas avec celle dans le paquet,

alors le serveur libére 'adresse qu'il avait réservée pour le client dans son prapre paquet DHCPOFFER

Si un serveur trouve sa propre adresse TGP/IP dans le paquet DHCPREQUEST, il répond au client avec

un paquet DHGPACK Ge paquet contient le bail pour le client

Lorsque le client regait le paquet DHCPACK, la phase de liaison commence en reliant l'adresse as- signée au protocole TCP/IP tournant sur sa carte réseau et finissant alors le démarrage A ce point, le client peut communiquer sur le réseau en utilisant TCP/IP Le client garde l'adresse TCP/IP qui iui est

assignée pour la période de bail

Lorsque le client atteint 50% de san temps de bail assigné, il entre en phase de rencuvellement Le client envoie un paquet DHCPREQUEST directement au serveur qui lui a donné son adresse TCP/IP Le

serveur DHCP renouvelle le bail et renvoie un paquet DHCPACK, qui contient le nouveau bail et toute information de configuration qui pourrait avoir changer depuis le bail initial

‘St le client ne peut communiquer avec le serveur qui a accardé le bail, il affichera une erreur mais continuera & tourner normalement Lorsque 87.5% du temps de bail du client expire, le client commence

@ paniquer et entre dans une phase de reliaison Lors de ta phase de reliaison, le client commence a

diffuser des paquets DHCPREQUEST sur le réseau en direction de tout serveur DHCP qui y répondra

Le serveur DHCP courant peut répondre avec un paquet DHGPACK qui permet au client de continuer 4

utiliser 'adresse qui lui avait été assignée au départ Ou il peut envoyer un paquet DHCPNAK, qui force

le client a réinitialiser TCP/IP et & obtenir une nouvelle adresse TCPAP et un veau bail S'il accepte le Paquet DHCPNAK, le client recommence le processus complet a la phase d’ lisation

Trang 16

apt-get install dhcp3-server

On dispose désormais d'un serveur DHGP sur la machine Il faut maintenant le configurer

entre 192.168.1.10 et 182.168 1.19) Pour cela, on peut effectuer des réservations d'adresses : on va,

pour une adresse donnée, limiter la possibilité d'octroi de cette adresse a un client possédant une adresse

physique donnée Si cette solution est fastidieuse, elle est néanmoins possible 4! échelle de notre réseau

de taille moyenne Cette méthode permet également de dresser une premiére barriére de sécurité sur le

réseau : le filtrage par adresse MAC

La configuration s effectue par lédition du fichier /etc/dhcp3/dhcpd conf (disponible en annexe}

Une fois la configuration effectuée il faut relancer le serveur pour que les modifications soient prises

Trang 17

détenant l'information désirée

Ainsi, il existe 3 types de serveurs DNS :

— les serveurs de noms locaux & qui s’adresseront les requétes locales (c'est ce qui nous intéresse

ici,

— les serveurs de noms racine, censés savoir comment approcher de la réponse

— les serveurs de noms de source autorisée, connaissant les correspondance officielles

Dans notre situation, nous avians besoin d'un serveur DNS local récursif pour effectuer la résolution des noms des machines du réseau interne Pour les machines extérieures au réseau local, le serveur

DNS envoie une requéte a un serveur racine, qui se procurera l'adresse auprés d’un serveur de source

autorisée et la fera parvenir a notre serveur local

4.32 Installation

Nous alions installer le paquet binds qui cantient la derniére version du serveur de noms récursif

pour Debian Lenny

apt-get install bind9

Notre installation de binag @ produit une configuration par défaut, minimaliste, qui permet au serveur

de fonctionner en mode récursif

Tout se trouve dans le répertoire /etc/bind/

4.3.3 Configuration

Notre but est de construire un serveur de noms local, qui sera capable de résoudre des noms d’hétes

sur le réseau interne a l’entreprise, mais également sur Internet

Les informations contenues dans le fichier db root permettent 4 natre serveur de résoudre tous les

noms d'hétes sur Internet En effet, ce fichier contient toutes les informations sur les 13 serveurs de noms

TacInes

Nous devons done maintenant créer une zone pour l'Iniranet de l'entreprise Ceci passe par la création

on des fichiers db nkb com et db 192 168.1 {pour la zone de résolution inverse) Ces fichiers sont

On peut maintenant identifier les hétes de notre réseau par des noms (le nom d'une machine est le

nom de l'employé lutilisant)

Trang 18

La figure 4 montre létat du réseau après la configuration des serveurs DHCP et DNS Par sécurité (notre machine ne dispose pas encore de pare-feu), le serveur n'est pas connecté au modem et n’endosse donc pas le réle de passerelle pour I’instant

Linstallation d'un parefeu et le partage de la connexion Internet est la prochaine étape

Pas de routage vere Intemet

Internet 192.168.1.254

192.168.1.60 - 69 192.168.1,50 - S3 192.168.1.10 - 19

Trang 19

Serveur de nom racine

Serveur de nom local (nkbservernkb XZ a

Netfilter se présente comme une série de 5 points d'accrochage de paquets dans la pile IP, sur lesquels des modules de traitement vont se greffer Ces points sont :

On peut représenter le trajet des paquets dans la pile IP comme sur la figure 8}

A travers ces cing points d'insertion, Netfilter va étre capable :

— d'effectuer des filtrages de paquets, principalement pour assurer des fonctions de Firewall

— d’effectuer des opérations de NATF]

— d'effectuer des opérations de marquage des paquets, pour leur appliquer un traitement spécial

Network Address Translation.Ces fonctions sont particuliérement utiles lorsque I'on veut faire communiquer un réseau

privé avec Internet

Trang 20

Fie 8 — Trajet des paquets dans la pile IP

Pour effectuer ces opérations, Netfilter dispose d'une commande a tout faire avec iptables Cette commande va permettre d’écrire des régles de filtrage dans les 3 trois tables de Nettilter, correspondant aux 3 fonctions ci-dessus

OUTPUT

Fie 9— Les 3 tables de Netfilter et leurs chaines

La table F/LTER va contenir toutes les règles qui permettront de filtrer les paquets Cette table

contient trois chạnes :

— INPUT : cette chaine décidera du sort des paquets entrant localement sur I'héte,

— OUTPUT : les paquets émis par I'héte local qui seront filtrés ici,

— FORWARD : filtrage des paquets qui traversent I'héte suivant les routes implantées

La table VAT permet d'effectuer toutes les translations d'adresses nécessaires :

— PREROUTING : permet de faire de la translation d'adresse de destination,

— POSTROUTIN' lle permet de faire de la translation d’adresse de la source,

— OUTPUT : Celle-ci va permettre de modifier la destination de paquets générés par la passerelle

elle-méme

La table \J ANGLE permet le marquage des paquets entrants (chaine PREROUTING) et générés

localement (chaine OUTPUT)

Trang 21

4.4.2 Configuration de la passerelle-

Pour commencer, il faut tout fermer au niveau de la passerelle dans la table F/7.TER

iptables -P INPUT DROP

iptables -P DUTPUT DROP

iptables -P FORWARD DROP

On peut tout ouvrir au niveau des tables NAT et MZANGLE, cela ne pose pas de probleme puisque

tout est bloqué au niveau Mier ea

Cette manipulation permet d’étre sũr de l'état de Netfilter

Maintenant, nous considérans que notre machine est sire, et que les processus locaux peuvent com- Muniquer entre eux :

iptables -A INPUT -i lo -j ACCEPT

iptables -A DUTPUT -o lo -j ACCEPT

Aprés avoir "nettoyé" tous les ordinateurs du réseau local, nous pouvons considérer que celui-ci est sir également :

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A DUTPUT -o ethi -j ACCEPT

Ace stade, tous les ordinateurs du réseau local peuvent communiquer avec le serveur, mais ls réseau

est totalement isolé du monde extérieur

Il faut faire une translation d’adresse pour tout ce qui traverse la passerelle :

iptables -t nat -A POSTROUTING -o ethO -j MASQUERADE

Il faut maintenant accorder des autorisations de passage sur FORWARD Nous allons accepter toutes les connexions qui sortent du LAN vers Internet, 4lexception des connexions HTTP (nous voulons filtrer 'accés au Web pour certains utilisateurs, et utiliserons un Proxy Squid pour cela) :

iptables -A FORWARD -p tcp dport | 80 -i eth1 -o eth0O -m state

state NEM,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp dport | 80 -i ethO -o othi -m state

state ESTABLISHED, RELATED -j ACCEPT

Aussi, Seules les connexions déja établies ou en relation avec des connexions établies sont acceptées

venant d’Internet vers le LAN

iptables -A FORWARD -p tcp dport | 80 -i ethO -o ethi -m state

state ESTABLISHED RELATED -j ACCEPT

Désormais, notre réseau local pourra se connecter sur tout serveur internet (hors HTTP), mais aucune

nouvelle connexion ne pourra étre créée depuis le Net vers notre installation

Enfin, il faut bien penser a rajouter les régles le DNS On rajoutera ensuite les régles nécessaires au

fonctionnement du Proxy, puis permetiant un accés SSH par Internet, ainsi qu'un accés externe a la future méssagerie instantannée

Vous trouverez en annexe, le script Bash complet de configuration de la passerelle

Rapport de stage de Jules DAGNAUD 2a

Trang 22

2 Comevon sane FE “DROP*

Fic 10 — Fonctionnement du Firewall

4.5 Annuaire de centralisation

NKB Archi souhaitait pouvoir identifier et authentifier les utilisateurs du réseau, dans le but de créer une vision personnalisée de l'intranet a chaque utilisateur Un utilisateur n’aura pas les mémes droits qu'un utilisateur 1ˆ, que cela soit au niveau du partage de ressources (certain fichiers sont accessibles, d'autres non), ou au niveau de la navigation Web (X, par exemple, n’a pas l'autorisation de naviguer sur internet, alors que Y dispose d'un accés illimité)

Aussi, la mise en place d'un annuaire LDAF]permettait de centraliser l'authentification des utilisateurs pour plusieurs services (connexion au serveur de fichiers, connexion au Proxy, connexion a la messagerie

instantanée et a la plate-forme de travail .)

De plus, la nouvelle architecture devait introduire la notion de groupes d'utilisateurs : les utilisateurs

d'un méme groupe ont des droits en commun, sachant qu'un utilisateur peut appartenir à plusieurs

LDAP est uniquement prévu pour gérer l'interfagage avec les annuaires Plus exactement, il s'agit

d'une norme définissant la fagon suivant laquelle les informations sont échangées entre le client et le

serveur LDAP ainsi que la maniére dont les données sont représentées Ainsi ce protocole se conforme

a quatre modéles de base :

— un modéle d'information, définissant le type d'information stockée dans |'annuaire,

— un modéle de nommage, définissant la facon de laquelle les informations sont organisées dans l'annuaire et leur désignation,

Trang 23

— un modéle fonctionnel, définissant la manière daccéder aux informations et éventuellement de les

modifier, c'est-à-dire les services offerts par ['annuaire,

— un modéle de sécurité, définissant les mécanismes d'authentification et de droits d’accés des utilisateurs a l'annuaire

De plus, LDAP définit la communication entre :

— le client et le serveur, c'est-a-dire les commandes de connexion et de déconnexion au serveur, de

recherche ou de modification des entrées,

— les serveurs eux-mémes, pour définir d'une part le service de réplication (un échange de contenu entre serveurs) et synchronisation d'autre part pour créer des liens entre les annuaires

En résumé, LDAP va nous servir a stocker des données relatives aux utilisateurs (groupe, nom, login, mot de passe, mail ) de maniére organisée dans un annuaire, qui sera exploitable par d'autres appli-

cations ayant besoin de ces données Cela va nous permettre de ne pas avoir a recréer des utilisateurs pour chaque application utilisée

4.5.2 Installation

Encore une fois, l'installation est trés simple avec aptitude :

apt-get install slapd

cellente interface web PhpLdapAdmin (qui a nécessité l'installation d'un serveur Apache’)

ll serait trop long et compliqué de décrire exactement la configuration de notre annuaire LDAP (cela

passerait notamment par I'introduction de tous les attributs utilisés) Nous allons plutôt décrire l'organisa- tion générale de notre annuaire

Comme on peut le constater sur la figure[T1] notre arborescence est assez simple La racine de notre

annuaire est notre nom de domaine interne, nkb.com De la racine naissent 3 fils :

— cn=nkbadmin : c'est l'administrateur du serveur LDAP (cn est un acronyme pour “Common Name",

c'est le nom sous lequel est connu l'entité) Cette entité comprend seulement le nom de I'administrateur et son mot de passe crypté avec le hachage SSHAT]

— ou=users est une entité de type organizationalUnit (ou) Ce noeud n’a pas đautre utilité que d'or- ganiser la hiérarchie de I'annuaire De ce noeud de I'arbre naissent toutes les entrées de l'annuaire correspondant aux utilisateurs Chaque entité utilisateur comporte les mémes attributs (identifiant,

mot de passe crypté avec SSHA, nom complet, mail, numéro de téléphone .)

Trang 24

dc=nkb,dc=com

——- xằẶ

uid=userl Lid=user2 en=archi

g

mamber=user1, usar2

Fia 11 — Arborescence d'informations hiérarchiques simplifiée

— ou=groups est également une entité de type organizationalUnit C'est le noeud pére de toutes les entrées correspondant aux groupes d'utilisateurs Chaque groupe d’utilisateurs posséde les altri- buts cn (nom du groupe), description, gid (identifiant numérique unique, qu'il faudra synchroniser

au gid des groupes d’utilisateurs Linux correspondants pour l'utilisation avec Samba) et member (la

liste des identitiants des utilisateurs membres du groupe en question)

Cet annuaire seul n’est d’aucune utilité Nous allons voir son utilisation avec les outils suivants

4.6 Partage de ressources

Le partage de ressources est un élément indispensable au fonctionnement de l'entreprise En effet,

lors d’un projet, plusieurs équipes {architectes concept, architectes techniques, ingénieurs .) travaillent ensemble et ont besoin de partager des documents Actuellement, Samba est la seule solution éprouvée Pour partager des ressources sur un réseau mixte (Linux, Windows)

4.6.1 Fonctionnement

Samba contigure des partages réseau pour les répertoires UNIX (y compris le contenu de tous les sous-répertoires) Ils apparaissent pour les utilisateurs de Windows comme des dossiers Windows clas-

siques accessibles via le réseau Chaque répertoire peut avoir des priviléges c'accés différents Par

exemple : les répertoires ayant un accés en lecture/écriture pour tous les utilisateurs définis, permetient

a chacun d’eux d'accéder à leurs propres fichiers Mais ils n’ont pas accés aux dossiers des autres, sauf

si une autorisation est définie

Un logiciel lipre nommé smbldap_tools assure la liaison avec un annuaire LDAP de comptes ulilisa-

teurs C'est un ensemble de scripts Perl interlacés directement avec un service conforme au protocole LDAP (comme notre serveur OpenLDAP}

4.6.2 Installation

Linstallation se fait par la récupération du paquet samba :

Trang 25

apt-get install samba

apt-get install smbldap-toola

4.6.3 Configuration

La configuration est réalisée par l’édition d’un fichier unique /etc/samba/smb.conf disponible en annexe Une fois ce fichter correctement édité (on y spécifie le nom du groupe de travail, les dossiers a partager, les droits d'accés comment accéder a l’'annuaire LDAP }, on peut passer à la création des

groupes et des utilisateurs

Tout d'abord, les utilisateurs et groupes Samba doivent exister an tant qu'utilisateurs et groupes Linux Une fois les utilisateurs et groupes Linux créés, on peut créer les utilisateurs et groupes dans 'annuaire LDAP grace aux scripts du logiciel smbldap-tools : smbldap-useradd et smbldap-groupada Il ne reste plus ensuite qu’a ajouter les utilisateurs aux groupes appropriés via I'interiace web Phpi dapAdmin

Pour faciliter la création des utilisateurs, j'ai écrit un script Bash disponible en annexe

Désormais, les utilisateurs du réseau doivent s'identifier avant d'accéder au serveur de fichier Selon

cette identification, effectuée a l'aide de 'annuaire OpenLdap, les utilisateurs auront des droits différents, définis par l'appartenance ou non a un groupe

A [heure de rédaction de ce rapport, je travaille toujours en collaboration avec fe Directeur Général,

Nicolas Berry, et le Directeur Artistique, Thomas Montreau, a l'élaboration d'une politique d’accés aux

fichiers partagés Néanmoins, certaines données sensibles sont dores et déja protégées, et accessibles seulement par une partie définie des employés, ce qui n’était pas le cas 4 mon arrivée

4.7 Serveur mandataire / Proxy

4 Tissue des bails DHCP, ou tout simplement si un utilisateur change de poste de travail

Notre proxy Squid va authentifier les utilisateurs grace aux entrées présentes dans |'annuaire LDAP

Nous r’avons pas besoins de recréer des utilisateurs spécifiquement pour ce service Gependant, l'au-

thentification des utilisateurs n'est pas compatible avec I'utilisation o’un proxy transparent (ce qui aurait

pu tre intéressant, évitant de configurer manuellement tous les navigateurs Web de agence)

Le proxy fonctionne donc de maniére classique : le client demande au proxy d’interrager le serveur HTTP cible Si le client est correctement authentitié, ce dernier répond au proxy qui communique alors la réponse au client Le client est configuré pour utiliser un proxy et ii modifie les requétes http en fonction

Trang 26

Nous devons installer le paquet squids pour le proxy lui méme et le paquet squid_idap_auth pour

l'authentification via l'annuaire LDAP

apt-get install squid3

apt-get install squid_idap_auth

4.7.3 Configuration

Le fichier de configuration est /etc/squid3/squid.conf Il faut rajouter les lignes suivantes pour

préciser que l'on veut utiliser une authification par LDAP :

auth_param basic program /usr/1ib/squid3/squid_1dap_auth -b

ou=users,đdc=nkb,đc=com -u wid localhost auth_param basic children 5

auth_param basic realm Identification proxy

auth_param basic credentialsttl 2 hours

acl Idapauth proxy_auth REQUIRED

acl authenticated proxy_auth REQUIRED

On distingue deux types de régles dans ce fichier de configuration :

— les ac1]: permettent de définir, par exemple, un plage d'adresses IP ou une plage de ports,

— les http_access : définissent des autorisations (a11ow) ou interdictions (deny) pour une ac1 donnée

Les restrictions indiquent quoi faire lorsque ces conditions sont vérifiées On autorise ou on interdit

en fonction d'une acl ou d'un groupe d'aci La premiére restriction vérifiée est la bonne, d'ó l'im- portance de l'ordre dans lequel elles sont placées

Access Control List

Tiêu đề	Migration d’un Serveur de Production de Windows Vers Linux et Mise en Place d’Outils de Collaboration
Tác giả	Jules Dagnaud
Trường học	Université Claude Bernard Lyon 1
Chuyên ngành	Master Systèmes Informatiques et Réseaux
Thể loại	Rapport de stage
Năm xuất bản	2008-2009
Thành phố	Lyon

Định dạng
Số trang	52
Dung lượng	1,83 MB