Les travaux qui y sont pr ´esent ´es concernentl’am ´elioration d’un r ´eseau existant `a l’aide de solutions issues du monde du logiciel libre.Sont d ´evelopp ´ees dans ce document les
Trang 1Migration d’un serveur de production de Windows vers Linux
et mise en place d’outils de collaboration
Jules DAGNAUD
17 juillet 2009
Encadrants NKB Archi : Nicolas Berry, Nguyen Dang Kiem Encadrant UCBL : Thierry Excoffier
Trang 2Je tiens en premier lieu `a remercier Monsieur Nicolas Berry, directeur g ´en ´eral de l’entreprise NKBArchi, pour m’avoir accueilli et fait confiance en me donnant de grandes responsabilit ´es au sein de sasoci ´et ´e.
Je voudrais remercier ´egalement l’administrateur informatique de l’entreprise, Monsieur Nguyen DangKiem, pour m’avoir accompagn ´e dans ma mission
Je remercie ensuite mes enseignants de l’IFI, Messieurs Victor Moraru et Nguyen Hong Quang, ainsique Monsieur Thierry Excoffier, mon tuteur p ´edagogique de l’UCBL, pour leur disponibilit ´e et le partage
de leurs connaissances
Merci ´egalement `a mes coll `egues, et plus particuli `erement les membres de ma salle : Tu, Duong,Nhung, Kim Anh, Thoa, Huyen, ainsi qu’ `a la communaut ´e francophone de l’entreprise : Guillaume, Tho-mas, Sophie, Guilhem, Andrew et Ga ¨elle, qui, gr ˆace `a leur accueil chaleureux et leur bonne humeur, ontgrandement facilit ´e mon insertion dans l’entreprise
Enfin, je remercie mes amis, mes colocataires et ma famille qui m’ont soutenu pendant cette ann ´eepass ´ee au Vietnam
Trang 3r ´eseau au sein de l’agence d’architecture NKB Archi Les travaux qui y sont pr ´esent ´es concernentl’am ´elioration d’un r ´eseau existant `a l’aide de solutions issues du monde du logiciel libre.
Sont d ´evelopp ´ees dans ce document les principales modifications apport ´ees au syst `eme tion de l’agence, `a savoir : les ´etapes de la migration du serveur de production de Windows 2003 Serververs Debian Lenny, et la mise en place d’outils de collaboration au sein de l’entreprise
d’informa-Mots-cl ´es : Libre, Linux, s ´ecurit ´e, information, communication, DNS, DHCP, intranet, proxy
produc-Keywords : Free, Linux, s ´ecurity, information, communication, DNS, DHCP, intranet, proxy
Trang 41 Introduction 6
2.1 Pr ´esentation de l’entreprise 7
2.2 R ˆole occup ´e au sein de l’agence 8
2.2.1 Description de la mission 8
2.2.2 Calendrier Pr ´evisionnel 8
3 Description de l’existant, des besoins, et envisagement des solutions 10 3.1 Audit 10
3.1.1 Audit mat ´eriel 10
3.1.2 Audit syst `emes 10
3.1.3 Audit des services r ´eseaux 10
3.2 Exigences pour la nouvelle architecture 12
3.3 Analyse et choix 12
3.3.1 Topologie 12
3.3.2 Syst `emes 12
3.3.2.a Serveurs 12
3.3.2.b Postes clients 13
3.3.3 Services r ´eseau 13
3.3.3.a OpenLdap 14
3.3.3.b Dhcpd 14
3.3.3.c Bind 14
3.3.3.d Netfilter/Iptables 14
3.3.3.e Samba 14
3.3.3.f Squid 14
3.3.3.g SSH 15
3.3.3.h Backup Manager 15
3.3.3.i Openfire 15
3.3.3.j Plone 15
4 Migration du serveur 16 4.1 Installation de Debian Lenny 16
4.2 Dhcpd 17
4.2.1 Fonctionnement 17
4.2.2 Installation 18
4.2.3 Configuration 18
4.3 DNS 18
4.3.1 Fonctionnement 18
4.3.2 Installation 19
4.3.3 Configuration 19
4.4 Netfilter 21
4.4.1 Fonctionnement 21
4.4.2 Configuration de la passerelle 23
Trang 54.5 Annuaire de centralisation 24
4.5.1 Fonctionnement 24
4.5.2 Installation 25
4.5.3 Configuration 25
4.6 Partage de ressources 26
4.6.1 Fonctionnement 26
4.6.2 Installation 26
4.6.3 Configuration 27
4.7 Serveur mandataire / Proxy 27
4.7.1 Fonctionnement 27
4.7.2 Installation 28
4.7.3 Configuration 28
4.8 Sauvegarde des donn ´ees 29
4.8.1 Strat ´egie de sauvegarde 29
4.8.2 Sauvegarde sur le serveur de production 29
4.8.3 Sauvegarde sur nkbbackup 29
4.9 Sch ´ema r ´ecapitulatif 30
5 Mise en place d’outils de communication 31 5.1 Messagerie interne 31
5.1.1 Utilit ´e 31
5.1.2 Le protocole Jabber 31
5.1.3 Le serveur Jabber OpenFire 31
5.2 Plate-forme de travail collaboratif 33
5.2.1 Utilit ´e 33
5.2.2 Plone 33
5.2.3 Travail r ´ealis ´e 33
6 Bilan du travail accompli 37 6.1 Difficult ´es rencontr ´ees 37
6.1.1 Difficult ´es techniques 37
6.1.2 Autres difficult ´es 37
6.2 Ma contribution au sein de l’agence 38
6.3 Am ´eliorations possibles 38
Trang 6E Annexe 5 : Script d’ajout d’utilisateur Samba/LDAP 50
Trang 71 Introduction
Apr `es avoir suivi ma deuxi `eme ann ´ee de Master `a l’Institut de la Francophonie pour l’Informatique, j’ai
d ´ecid ´e de prolonger mon exp ´erience `a l’ ´etranger en effectuant mon stage de fin d’ ´etudes en entreprise
au Vietnam L’entreprise d’architecture NKB Archi m’en a donn ´e la possibilit ´e en m’accueillant en tantqu’administrateur informatique
Le Vietnam, `a l’image des entreprises qui y sont implant ´ees, est actuellement dans une phase de
d ´eveloppement et de modernisation Aussi, les soci ´et ´es se sont massivement ´equip ´ees de l’outil tique, v ´eritable moteur de d ´eveloppement ´economique et social, ces derni `eres ann ´ees
informa-L’utilisation de tout logiciel est soumise `a l’acceptation d’un contrat d’utilisation, aussi appel ´e licence.Pour la plupart des logiciels, dits ”propri ´etaires”, seule l’utilisation est autoris ´ee, ce qui satisfait g ´en ´eralement
le client Leurs ´equivalents libres sont soumis `a des contrats plus permissifs Ils permettent `a toute sonne qui poss `ede une copie du logiciel non seulement de l’utiliser, mais aussi de l’ ´etudier, le modifier et
per-le redistribuer
Il est important pour les utilisatrices que sont les entreprises de connaˆıtre objectivement l’offre cielle existante Or, la position dominante et les moyens marketing des grands acteurs en place biaisentl’information dont elles b ´en ´eficient C’est particuli `erement vrai au Vietnam, o `u on peut ajouter d’autres rai-sons pour expliquer la faible utilisation des logiciels libres, notamment le fait que les logiciels commerciaux
logi-et propri ´logi-etaires sont trop faciles `a trouver pour une faible somme
Cependant, les inspections au sein des entreprises se multiplient suite `a la campagne lanc ´ee par legouvernement vietnamien pour ´eliminer l’utilisation des logiciels pirat ´es De plus, le ministre vietnamien
de l’Information et des Communications, Le Doan Hop, a annonc ´e un plan national pr ´evoyant le passagevers des logiciels libres et Linux au sein des administrations nationales et locales d’ici 2010
Ce m ´emoire, au d ´el `a de d ´ecrire mes cinq mois de stage pass ´es `a NKB Archi, se donne pour ambition
de pr ´esenter comment am ´eliorer significativement le r ´eseau et la communication au sein d’une entreprise
´equip ´ee de logiciels propri ´etaires, en appliquant des solutions libres et gratuites
Apr `es une pr ´esentation de l’entreprise d’accueil, nous d ´ecrirons la situation du r ´eseau `a mon arriv ´ee
en analysant ses forces et ses faiblesses Nous proposerons ensuite des solutions et am ´eliorations, dontnous aborderons la mise en place, avant de faire un bilan du travail accompli
Trang 82 L’entreprise d’accueil
2.1 Pr ´esentation de l’entreprise
En janvier 1969, M Jacques Berry, le p `ere de M Nicolas Berry, lance sa propre agence d’architecture
`a Paris Il est rejoint par son fils, en janvier 2003 En janvier 2005, Nicolas devient Directeur G ´en ´eral del’agence qui se renomme alors NKB Archi France En d ´ecembre de la m ˆeme ann ´ee, NKB Archi VietnamLtd est lanc ´e `a Hanoi
Depuis sa cr ´eation, l’entreprise n’a cess ´e de se d ´evelopper, tant du point de vue de ses diff ´erentes
r ´ealisations, qu’au niveau de ses locaux et du nombre de ses employ ´es qui d ´epasse aujourd’hui la quantaine Entre temps, NKB Archi Vietnam Limited a mont ´e un bureau de repr ´esentation `a Ho Chi MinhCity, a lanc ´e NKB Planning, filiale sp ´ecialis ´ee dans l’urbanisme, et est sur le point de cr ´eer Space by NKB,
cin-`a Hong-Kong et au Vietnam, dans le but d’investir le march ´e du meuble
L’agence d’architecture NKB Archi se compose de deux p ˆoles ; le premier, NKB Archi France dont lebureau est situ ´e `a Paris, travaille sur une architecture `a ´echelle locale, tout en participant ponctuellement
`a des projets de plus grande envergure Le second p ˆole et le plus important, NKB Archi Vietnam ted, prend en charge des r ´ealisations d’ensembles `a ´echelles nationales ou internationales comme descomplexes touristiques, des b ˆatiments publics ou encore des r ´esidences priv ´ees
Limi-L’agence de Hanoi qui m’a employ ´e durant ce stage est celle qui compte le plus grand nombre ploy ´es Elle est implant ´ee au 159 Lo Duc, dans le quartier Hai Ba Trung de Hanoi, depuis plus d’un an
d’em-Les locaux se divisent en deux b ˆatiments L’un abrite la r ´eception et les bureaux des architectesconception et technique, l’autre est r ´eserv ´e `a l’administration et aux bureaux des ing ´enieurs Mon poste
a ´et ´e install ´e dans la salle des architectes techniques, la plus proche de la salle des serveurs
Le p ˆole hanoien emploie majoritairement des vietnamiens, bien que les postes de conception tecturale soient en grande partie occup ´es par des occidentaux expatri ´es Cette atmosph `ere multiculturelleest tr `es enrichissante au jour le jour De plus, le contexte de travail est exclusivement anglophone
archi-Le champ d’intervention de l’agence s’ ´etend sur de nombreux types de r ´ealisations qui peuvent avoirfonction de logements, bureaux, commerces, h ˆotels, b ˆatiments publics ou industriels, allant de l’architec-ture d’int ´erieur jusqu’ `a l’am ´enagement urbain
FIG 1 – Les employ ´es de l’agence de Hanoi
Trang 92.2 R ˆ ole occup ´e au sein de l’agence
Le poste occup ´e pendant 5 mois fut celui d’administrateur syst `eme et r ´eseau du parc informatique del’agence
Recherche et proposition des outils de remplacement / `a ajouter 2 semaines
Formation des employ ´es `a l’utilisation du nouveau r ´eseau 1 semaine
Mise en place d’outils de collaboration et formation de l’administrateur en place 9 semaines
FIG 2 – Calendrier Pr ´evisionnel
Trang 10FIG 3 – Organigramme de l’entreprise
Trang 113 Description de l’existant, des besoins, et envisagement des lutions
so-3.1 Audit
3.1.1 Audit mat ´eriel
Le r ´eseau est peupl ´e d’une cinquantaine de machines : deux serveurs (que nous appellerons S1 etS2), une quarantaine d’ordinateurs clients et une imprimante r ´eseau Ces ´equipements sont r ´epartis dansles neuf salles des deux b ˆatiments qui constituent les locaux de l’agence (la salle des serveurs, le bureau
de la direction, le bureau administratif, l’accueil, et les cinq salles de travail)
Nous avons `a faire `a un r ´eseau Ethernet classique, conc¸u selon une topologie hybride en bus et en
´etoile Les deux serveurs sont reli ´es entre eux par une liaison (commutateur et c ˆables) Gigabit Ethernet1000BaseT Dans chaque salle, les h ˆotes sont reli ´es `a un commutateur 100BaseT Tous les commutateursreli ´es entre eux forment le Backbone du r ´eseau
De nombreux tests, avec du mat ´eriel sp ´ecialis ´e, ont r ´ev ´el ´e qu’aucun composant de liaison physique n’ ´etait
d ´efectueux
Les caract ´eristiques des machines du parc informatique sont assez homog `enes (processeurs Inteldouble coeurs, 1Go de m ´emoire vive) En ce qui concerne les serveurs, le serveur S1 est performant (avec2Go de m ´emoire vive et un processeur double coeur cadenc ´e `a 2,13GHz) Le serveur S2 en revancheest tr `es limit ´e avec seulement 512Mo de m ´emoire et un processeur cadenc ´e `a 1GHz
3.1.2 Audit syst `emes
Tous les postes sont ´equip ´es d’un environnement Windows :
– Windows 2003 Server pour les deux serveurs,
– Windows XP pour tous les clients
Les syst `emes sont assez instables (red ´emarrages fr ´equemment n ´ecessaires), notamment le serveurS2, qui, en plus d’ ˆetre tr `es lent, plante r ´eguli `erement `a la suite de d ´epassement m ´emoire Beaucoup demachines sont ´egalement porteuses de virus (dont les deux serveurs)
3.1.3 Audit des services r ´eseaux
Les services r ´eseaux propos ´es sont r ´epartis sur les deux serveurs Le premier serveur, S1, a commeunique r ˆole celui de serveur de fichier, tandis que le serveur S2 s’occupe de tous les autres services :– serveur d’adressage DHCP : une plage de cent adresses est distribu ´ee dynamiquement aux h ˆotes
du r ´eseau Les adresses des deux serveurs sont r ´eserv ´ees
– serveur de noms : `a chaque adresse IP est associ ´ee un nom, cependant les noms sont incoh ´erents,certaines machines portant le nom de leur utilisateur, et d’autres un nom sans signification parti-culi `ere
– pare-feu : le pare-feu int ´egr ´e `a Windows 2003 Server est tr `es basique Il est utilis ´e ici pour prot ´eger
le r ´eseau (ouverture de seulement quelques ports utiles) et pour filtrer les acc `es Internet (tous lesemploy ´es n’ont pas le droit d’utiliser Internet) en fonction des adresses IP
– passerelle vers internet
Trang 12– sauvegarde des fichiers partag ´es sur le premier serveur Une sauvegarde p ´eriodique est effectu ´eetous les jours.
FIG 4 – R ´eseau de l’entreprise
Trang 133.2 Exigences pour la nouvelle architecture
La premi `ere exigence ´etait de nature ´economique : le prix des syst `emes d’exploitation du parc devaitˆetre le plus faible possible
De plus, une r ´eduction significative des probl `emes d’instabilit ´e des serveurs et de lenteur du r ´eseau
´etait n ´ecessaire
Le nouveau r ´eseau devait proposer les m ˆemes services que celui en place pr ´ec ´edemment ainsi que
de nouvelles fonctionnalit ´es :
– adressage automatique,
– service de nommage,
– partage contr ˆol ´e de ressources,
– identification des utilisateurs et notion de groupes d’utilisateurs,
– partage contr ˆol ´e de l’Internet,
– service de messagerie instantan ´ee interne,
– plate-forme collaborative de travail,
– contr ˆole du serveur `a distance,
– sauvegarde automatique et r ´eguli `ere des donn ´ees
Le choix op ´er ´e f ˆut donc d’utiliser le serveur S1, beaucoup plus performant, comme unique fournisseur
de services Le serveur S2, totalement obsol `ete, sera quant `a lui charg ´e d’une seule t ˆache : le stockagedes sauvegardes des donn ´ees partag ´ees
Pour r ´epondre aux exigences ´economiques, le choix, pour les serveurs, d’un syst `eme d’exploitationgratuit et libre s’imposait Il ´etait donc naturel de s’orienter vers une distribution Linux Ayant utilis ´e prin-cipalement Mandriva et Debian, mon choix s’est finalement port ´e sur Debian, beaucoup plus stable et
´evolutive que Mandriva, bien que demandant plus de connaissances pour son installation, son tration, et sa maintenance Un avantage non n ´egligeable de cette distribution est ´egalement sa gestion
adminis-de l’installation adminis-de paquets, transparente et structur ´ee, ainsi que le nombre d’outils disponibles Tout lecontraire de Mandriva qui, dans sa version gratuite, pr ´esente de nombreux probl `emes de stabilit ´e Enfin,
Trang 14Debian respecte totalement la philosophie du monde du logiciel libre, comme le t ´emoigne le Contrat cial Debian dont la partie consacr ´ee aux principes du logiciel libre a ´et ´e adopt ´ee par la communaut ´e dulogiciel libre comme base pour la d ´efinition de l’informatique libre De plus, il existe une forte communaut ´ed’utilisateurs autour de cette distribution, il est donc assez ais ´e de trouver de la documentation fiable etabondante Le syst `eme install ´e sur les serveurs sera donc la derni `ere version stable de Debian, DebianLenny 5.0
So-Concernant les virus, la l ´egende selon laquelle les syst `emes d’exploitation Linux y sont invuln ´erablesest erron ´ee Linux poss `ede des failles de s ´ecurit ´e qui peuvent ˆetre exploit ´ees par des programmes mal-veillants Linux est donc sensible aux virus, tout comme Windows, mais dans une moindre mesure Eneffet, on recense seulement une trentaine de virus existant sous Linux, ce qui est n ´egligeable en compa-raison des millions existant sous Windows Ceci peut ˆetre expliqu ´e par plusieurs raisons :
– les utilisateurs de Linux n’ont pas les droits administrateur, et ne peuvent donc pas modifier lesfichiers syst `eme Il est ainsi difficile pour un virus d’infecter la machine,
– Linux oblige `a d ´eclarer si un fichier est ex ´ecutable ou non Ce n’est pas l’extension qui d ´etermine
si un fichier est ex ´ecutable Il est donc difficile d’ex ´ecuter un fichier sans le vouloir, en pensant quec’ ´etait un fichier d’un autre type,
– Linux est open-source, c’est- `a-dire que tout le monde peut examiner son code source, y comprisdes experts en s ´ecurit ´e Les failles ont donc plus de chances d’ ˆetre d ´etect ´ees,
– la plupart des logiciels sont install ´es `a partir de d ´ep ˆots, dont le contenu est contr ˆol ´e,
– enfin, il existe de nombreuses distributions diff ´erentes, ce qui limite la propagation des virus
3.3.2.b Postes clients
L’id ´ee d’utiliser Linux pour les postes clients a tr `es vite ´et ´e abandonn ´ee `a court terme En effet, tecture utilise de nombreux outils informatiques sp ´ecifiques (logiciels de dessin technique, de retouchephoto, conception d’image 3D, design .) Si des ´equivalents `a ces logiciels existent bel est bien sous Li-nux, ces outils sont tout de m ˆeme diff ´erents et requi `erent une exp ´erience utilisateur consid ´erable Aussi,l’adaptation ne semblait pas possible dans l’imm ´ediat
l’archi-Le projet, extr ˆemement b ´en ´efique en termes d’ ´economie et d’image, de passer `a un parc informatiqueenti `erement gratuit et libre, n’a cependant pas ´et ´e abandonn ´e
3.3.3 Services r ´eseau
Debian Lenny est un syst `eme particuli `erement orient ´e r ´eseau On trouve facilement sur les d ´ep ˆotsofficiels les paquets n ´ecessaires `a la mise en place d’un serveur de production complet Les outils ont ´et ´echoisis selon les crit `eres suivants :
– gratuit ´e et respect de la philosophie des logiciels libres,
– conformit ´e aux standards,
– s ´ecurit ´e,
– quantit ´e et qualit ´e de la documentation disponible
Les outils retenus sont les suivants :
Trang 153.3.3.a OpenLdap
Devant le besoin d’identifier/authentifier les utilisateurs sur le r ´eseau, et devant le grand nombre deservices qui seront pourvus, la mise en place d’un annuaire de centralisation des informations utilisateurss’imposait Le standard en la mati `ere est le protocole LDAP On va pouvoir gr ˆace `a cet annuaire r ´eunirles informations (noms d’utilisateurs, mots de passe, noms, pr ´enoms, mail .) de chaque utilisateur du
r ´eseau Ainsi, un employ ´e aura les m ˆeme identifiants pour acc ´eder `a Internet, aux donn ´ees partag ´ees, `a
la plate-forme collaborative ou `a la messagerie interne OpenLdap est l’impl ´emention libre de ce protocole
la plus renomm ´ee
r ´ealiser avec cet outil des passerelles et pare-feux aussi performants que ce que l’on peut obtenir avec
du mat ´eriel sp ´ecialis ´e
3.3.3.e Samba
C’est une implantation du protocole SMB de Microsoft permettant de partager de ressource sur un
r ´eseau Windows Samba ´emule un domaine SMB sur un serveur Linux Ainsi gr ˆace `a Samba, on vapouvoir partager des ressources entre notre serveur Linux et nos clients Windows On peut identifier lesutilisateurs avec LDAP
3.3.3.f Squid
Un serveur mandataire (proxy) capable d’utiliser les protocoles FTP, HTTP, et HTTPS C’est un logiciellibre distribu ´e selon les termes de la licence GNU GPL Squid garde les donn ´ees les plus fr ´equemmentutilis ´ees dans un cache, am ´eliorant ainsi les performances Il permet ´egalement d’identifier les utilisateurs
et de filtrer les acc ´es HTTP Squid est compatible avec Ldap
1 Internet Systems Consortium
Trang 163.3.3.g SSH
SSH2 est `a la fois un programme informatique et un protocole de communication s ´ecuris ´e SSH estpour l’instant la r ´ef ´erence de l’acc `es distant s ´ecuris ´e sous linux
3.3.3.h Backup Manager
Un utilitaire de sauvegarde de fichiers locaux sous forme d’archives Backup Manager est une solution
de sauvegarde simple, automatique et s ˆure Son param ´etrage est fourni et intuitif
3.3.3.i Openfire
Openfire est un serveur Jabber (protocole de messagerie instantan ´ee), ´ecrit en Java, sous licenceGNU GPL Il est stable, poss `ede une interface d’administration intuitive et peut s’appuyer sur une impor-tante communaut ´e Enfin, Openfire poss `ede de nombreux plugins permettant de personnaliser la messa-gerie, et notamment un permettant l’authentification des utilisateurs via LDAP
3.3.3.j Plone
Un syst `eme de gestion de contenu Web libre publi ´e selon les termes de la GNU GPL Il est construitau-dessus du serveur d’applications Zope, ´ecrit en langage Python Plone est consid ´er ´e comme ´etantl’un des meilleurs CMS open-source existants, et est r ´eguli `erement r ´ecompens ´e au Open Source CMSAwards Plone est extr ˆemement flsyst `emes exible et puissant, et il existe une grande quantit ´e de modulesdisponibles pour le personnaliser
2 Secure SHell
Trang 174 Migration du serveur
Sous peine de paralyser l’agence toute enti `ere, l’ ´echec de la migration ´etait intol ´erable N’ayant que
tr `es peu d’exp ´erience dans la cr ´eation et l’administration d’un r ´eseau mixte Linux/Windows au d ´ebut de
ma mission, j’ai donc configur ´e le serveur dans un environnement de test (un serveur et un poste client
d ´econnect ´e du r ´eseau fonctionnel), avant d’appliquer la configuration ad ´equate obtenue sur le serveur deproduction Cette m ´ethode de travail m’a permis de prendre le temps de configurer la plupart des services
r ´eseaux, sans risque, et d’effectuer la migration sans perturbation et sans immobilisation du r ´eseau (laconfiguration du serveur de production a ´et ´e effectu ´ee en un week end)
4.1 Installation de Debian Lenny
Depuis les plus r ´ecentes versions, Debian s’installe tr `es facilement J’ai choisi de faire cette tion par Internet, en utilisant seulement un CD d’installation : la plupart des paquets va ˆetre t ´el ´echarg ´eedepuis les d ´ep ˆots (dans un souci de rapidit ´e, j’ai utilis ´e des miroirs situ ´es `a Hong-Kong)
installa-Le seul point d ´elicat consiste `a choisir comment partitionner l’espace disque J’ai choisi de s ´eparer sur
3 partitions diff ´erentes :
utili-Enfin, la derni `ere difficult ´e concernait le format de fichier des disques de stockage de donn ´ees Eneffet, si les disques syst `eme ont ´et ´e reformat ´es au format ext3 lors de l’installation, les 3 disques destockage ´etaient toujours au format cher `a Windows : NTFS Heureusement, il existe un pilote NTFS librepour Linux, ntfs-3g, qui permet l’acc `es en lecture et en ´ecriture aux disques NTFS
Pour r ´esumer la situation des disques, voici le r ´esultat de la commande df -h :
Filesystem Size Used Avail Use% Mounted on
Maintenant que l’on dispose d’un syst `eme fonctionnel, nous allons pouvoir mettre en place les services
r ´eseau sur notre serveur
Trang 184.2 Dhcpd
4.2.1 Fonctionnement
Lorsqu’un client, ´equip ´e de TCP/IP, tente de se connecter `a un r ´eseau, il charge une adresse IP vide
et diffuse un paquet DHCPDISCOVER sur le r ´eseau Le paquet DHCPDISCOVER contient le nom duposte de travail, l’adresse MAC de l’interface r ´eseau et peut aussi contenir la derni `ere adresse TCP/IPque le client a obtenu du serveur Avec cette information, le serveur est capable de donner au client la
m ˆeme adresse que celle qu’il avait rec¸u lors de sa derni `ere requ ˆete
Lorsqu’un serveur DHCP actif rec¸oit le paquet DHCPDISCOVER, l’ ´etat de s ´election commence Leserveur r ´eserve une adresse de sa liste et diffuse une r ´eponse au poste de travail La r ´eponse, ap-pel ´ee paquet DHCPOFFER, contient une proposition d’adresse TCP/IP pour le poste de travail ainsi quel’adresse MAC du poste de travail, les informations de masque de sous-r ´eseau, la longueur du bail etl’adresse TCP/IP du serveur DHCP faisant l’offre
Une fois que le client a rec¸u un paquet DHCPOFFER, l’ ´etat de requ ˆete commence Le client g ´en `ere
un paquet DHCPREQUEST qui accepte l’adresse TCP/IP offerte par le serveur qui a issu le paquetDHCPOFFER Le paquet DHCPREQUEST inclut l’adresse TCP/IP du serveur qui a fourni l’adresse client.Pour conclure l’ ´etat de requ ˆete, le client effectue une diffusion de masse du paquet DHCPREQUEST.Tous les serveurs DHCP sur le r ´eseau rec¸oivent le paquet et comparent ses informations d’adresses ser-veurs avec leur propre adresse Si l’adresse du serveur ne correspond pas avec celle dans le paquet,alors le serveur lib `ere l’adresse qu’il avait r ´eserv ´ee pour le client dans son propre paquet DHCPOFFER
Si un serveur trouve sa propre adresse TCP/IP dans le paquet DHCPREQUEST, il r ´epond au client avec
un paquet DHCPACK Ce paquet contient le bail pour le client
Lorsque le client rec¸oit le paquet DHCPACK, la phase de liaison commence en reliant l’adresse sign ´ee au protocole TCP/IP tournant sur sa carte r ´eseau et finissant alors le d ´emarrage A ce point, leclient peut communiquer sur le r ´eseau en utilisant TCP/IP Le client garde l’adresse TCP/IP qui lui estassign ´ee pour la p ´eriode de bail
as-Lorsque le client atteint 50% de son temps de bail assign ´e, il entre en phase de renouvellement Leclient envoie un paquet DHCPREQUEST directement au serveur qui lui a donn ´e son adresse TCP/IP Leserveur DHCP renouvelle le bail et renvoie un paquet DHCPACK, qui contient le nouveau bail et touteinformation de configuration qui pourrait avoir changer depuis le bail initial
Si le client ne peut communiquer avec le serveur qui a accord ´e le bail, il affichera une erreur maiscontinuera `a tourner normalement Lorsque 87.5% du temps de bail du client expire, le client commence
`a paniquer et entre dans une phase de reliaison Lors de la phase de reliaison, le client commence `adiffuser des paquets DHCPREQUEST sur le r ´eseau en direction de tout serveur DHCP qui y r ´epondra
Le serveur DHCP courant peut r ´epondre avec un paquet DHCPACK qui permet au client de continuer `autiliser l’adresse qui lui avait ´et ´e assign ´ee au d ´epart Ou il peut envoyer un paquet DHCPNAK, qui force
le client `a r ´einitialiser TCP/IP et `a obtenir une nouvelle adresse TCP/IP et un nouveau bail S’il accepte lepaquet DHCPNAK, le client recommence le processus complet `a la phase d’initialisation
Trang 19FIG 5 – Le protocole DHCP
4.2.2 Installation
La version 3 du serveurDhcpd est disponible dans le paquet dhcp3-server On l’installe donc avec
aptitude, le gestionnaire de paquets de Debian :
apt-get install dhcp3-server
On dispose d ´esormais d’un serveur DHCP sur la machine Il faut maintenant le configurer
4.2.3 Configuration
Notre r ´eseau comporte une cinquantaine d’ordinateurs On peut donc utiliser une adresse de
sous-r ´eseau de classe C : 192.168.1.0 qui pesous-rmet d’adsous-ressesous-r 254 h ˆotes
Pour assigner les adresses de fac¸on logique, nous allons adresser les ordinateurs d’une m ˆeme salledans la m ˆeme dizaine (par exemple les ordinateurs de la salle 1 auront tous une adresse IP compriseentre 192.168.1.10 et 192.168.1.19) Pour cela, on peut effectuer des r ´eservations d’adresses : on va,pour une adresse donn ´ee, limiter la possibilit ´e d’octroi de cette adresse `a un client poss ´edant une adressephysique donn ´ee Si cette solution est fastidieuse, elle est n ´eanmoins possible `a l’ ´echelle de notre r ´eseau
de taille moyenne Cette m ´ethode permet ´egalement de dresser une premi `ere barri `ere de s ´ecurit ´e sur le
r ´eseau : le filtrage par adresse MAC
La configuration s’effectue par l’ ´edition du fichier /etc/dhcp3/dhcpd.conf (disponible en annexe).Une fois la configuration effectu ´ee, il faut relancer le serveur pour que les modifications soient prises
Trang 20r ´esolution des noms de domaines, ce qui consiste `a assurer la conversion entre les noms d’h ˆotes et lesadresses IP.
Aucun serveur ne connaˆıt toutes les correspondances entre noms et adresses IP sur Internet Si unserveur ne connaˆıt pas une correspondance, il interroge un autre serveur jusqu’ `a atteindre le serveur
d ´etenant l’information d ´esir ´ee
Ainsi, il existe 3 types de serveurs DNS :
– les serveurs de noms locaux `a qui s’adresseront les requ ˆetes locales (c’est ce qui nous int ´eresseici),
– les serveurs de noms racine, cens ´es savoir comment approcher de la r ´eponse,
– les serveurs de noms de source autoris ´ee, connaissant les correspondance officielles
Dans notre situation, nous avions besoin d’un serveur DNS local r ´ecursif pour effectuer la r ´esolutiondes noms des machines du r ´eseau interne Pour les machines ext ´erieures au r ´eseau local, le serveurDNS envoie une requ ˆete `a un serveur racine, qui se procurera l’adresse aupr `es d’un serveur de sourceautoris ´ee et la fera parvenir `a notre serveur local
4.3.2 Installation
Nous allons installer le paquet bind9 qui contient la derni `ere version du serveur de noms r ´ecursif Bind
pour Debian Lenny
apt-get install bind9
Notre installation de bind9 a produit une configuration par d ´efaut, minimaliste, qui permet au serveur
de fonctionner en mode r ´ecursif
Tout se trouve dans le r ´epertoire /etc/bind/
Nous devons donc maintenant cr ´eer une zone pour l’Intranet de l’entreprise Ceci passe par la cr ´eation
et l’ ´edition des fichiers db.nkb.com et db.192.168.1 (pour la zone de r ´esolution inverse) Ces fichiers sontdisponibles en annexe
Comme pour notre serveur DHCP, il faut relancer BIND :
/etc/init.d/bind9 stop
/etc/init.d/bind9 start
On peut maintenant identifier les h ˆotes de notre r ´eseau par des noms (le nom d’une machine est lenom de l’employ ´e l’utilisant)
Trang 21La figure 6 montre l’ ´etat du r ´eseau apr `es la configuration des serveurs DHCP et DNS Par s ´ecurit ´e(notre machine ne dispose pas encore de pare-feu), le serveur n’est pas connect ´e au modem et n’endossedonc pas le r ˆole de passerelle pour l’instant.
L’installation d’un parefeu et le partage de la connexion Internet est la prochaine ´etape
FIG 6 – Nouvel adressage et nouveau nommage avec Dhcp et Bind9
Trang 22FIG 7 – Notre serveur DNS r ´ecursif
4.4 Netfilter
4.4.1 Fonctionnement
Une fois que le r ´eseau local dispose d’un serveur de noms, il faut s’int ´eresser au partage de laconnexion Internet pour tous les ordinateurs du parc Cependant, ce partage doit ˆetre contr ˆol ´e, et le
r ´eseau local doit ˆetre prot ´eg ´e de l’ext ´erieur Netfilter, le pare-feu de Linux, permet de le r ´ealiser
Netfilter se pr ´esente comme une s ´erie de 5 points d’accrochage de paquets dans la pile IP, sur lesquelsdes modules de traitement vont se greffer Ces points sont :
On peut repr ´esenter le trajet des paquets dans la pile IP comme sur la figure 8
A travers ces cinq points d’insertion, Netfilter va ˆetre capable :
– d’effectuer des filtrages de paquets, principalement pour assurer des fonctions de Firewall
– d’effectuer des op ´erations de NAT3
– d’effectuer des op ´erations de marquage des paquets, pour leur appliquer un traitement sp ´ecial
3 Network Address Translation.Ces fonctions sont particuli `erement utiles lorsque l’on veut faire communiquer un r ´eseau priv ´e avec Internet.
Trang 23FIG 8 – Trajet des paquets dans la pile IP
Pour effectuer ces op ´erations, Netfilter dispose d’une commande `a tout faire avec iptables Cettecommande va permettre d’ ´ecrire des r `egles de filtrage dans les 3 trois tables de Netfilter, correspondantaux 3 fonctions ci-dessus
FIG 9 – Les 3 tables de Netfilter et leurs chaines
La table F ILT ER va contenir toutes les r `egles qui permettront de filtrer les paquets Cette tablecontient trois chaˆınes :
– INPUT : cette chaˆıne d ´ecidera du sort des paquets entrant localement sur l’h ˆote,
– OUTPUT : les paquets ´emis par l’h ˆote local qui seront filtr ´es ici,
– FORWARD : filtrage des paquets qui traversent l’h ˆote suivant les routes implant ´ees
La table N AT permet d’effectuer toutes les translations d’adresses n ´ecessaires :
– PREROUTING : permet de faire de la translation d’adresse de destination,
– POSTROUTING : elle permet de faire de la translation d’adresse de la source,
– OUTPUT : Celle-ci va permettre de modifier la destination de paquets g ´en ´er ´es par la passerelleelle-m ˆeme
La table M AN GLE permet le marquage des paquets entrants (chaˆıne PREROUTING) et g ´en ´er ´eslocalement (chaˆıne OUTPUT)
Trang 244.4.2 Configuration de la passerelle
Pour commencer, il faut tout fermer au niveau de la passerelle dans la table F ILT ER
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
On peut tout ouvrir au niveau des tables N AT et M AN GLE, cela ne pose pas de probl `eme puisquetout est bloqu ´e au niveau F ILT ER
Cette manipulation permet d’ ˆetre s ˆur de l’ ´etat de Netfilter
Maintenant, nous consid ´erons que notre machine est s ˆure, et que les processus locaux peuvent muniquer entre eux :
com-iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Apr `es avoir “nettoy ´e” tous les ordinateurs du r ´eseau local, nous pouvons consid ´erer que celui-ci est
s ˆur ´egalement :
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
`
A ce stade, tous les ordinateurs du r ´eseau local peuvent communiquer avec le serveur, mais le r ´eseauest totalement isol ´e du monde ext ´erieur
Il faut faire une translation d’adresse pour tout ce qui traverse la passerelle :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Il faut maintenant accorder des autorisations de passage sur F ORW ARD Nous allons acceptertoutes les connexions qui sortent du LAN vers Internet, `a l’exception des connexions HTTP (nous voulonsfiltrer l’acc ´es au Web pour certains utilisateurs, et utiliserons un Proxy Squid pour cela) :
iptables -A FORWARD -p tcp dport ! 80 -i eth1 -o eth0 -m state
state NEW,ESTABLISHED,RELATED -j ACCEPTiptables -A FORWARD -p tcp dport ! 80 -i eth0 -o eth1 -m state
state ESTABLISHED,RELATED -j ACCEPTAussi, Seules les connexions d ´ej `a ´etablies ou en relation avec des connexions ´etablies sont accept ´eesvenant d’Internet vers le LAN
iptables -A FORWARD -p tcp dport ! 80 -i eth0 -o eth1 -m state
state ESTABLISHED,RELATED -j ACCEPT
D ´esormais, notre r ´eseau local pourra se connecter sur tout serveur Internet (hors HTTP), mais aucunenouvelle connexion ne pourra ˆetre cr ´e ´ee depuis le Net vers notre installation
Enfin, il faut bien penser `a rajouter les r `egles le DNS On rajoutera ensuite les r `egles n ´ecessaires aufonctionnement du Proxy, puis permettant un acc `es SSH par Internet, ainsi qu’un acc `es externe `a la future
m ´essagerie instantann ´ee
Vous trouverez en annexe, le script Bash complet de configuration de la passerelle
Trang 25FIG 10 – Fonctionnement du Firewall
4.5 Annuaire de centralisation
NKB Archi souhaitait pouvoir identifier et authentifier les utilisateurs du r ´eseau, dans le but de cr ´eerune vision personnalis ´ee de l’intranet `a chaque utilisateur Un utilisateur X n’aura pas les m ˆemes droitsqu’un utilisateur Y , que cela soit au niveau du partage de ressources (certain fichiers sont accessibles,d’autres non), ou au niveau de la navigation Web (X, par exemple, n’a pas l’autorisation de naviguer surinternet, alors que Y dispose d’un acc `es illimit ´e)
Aussi, la mise en place d’un annuaire LDAP4permettait de centraliser l’authentification des utilisateurspour plusieurs services (connexion au serveur de fichiers, connexion au Proxy, connexion `a la messagerieinstantan ´ee et `a la plate-forme de travail .)
De plus, la nouvelle architecture devait introduire la notion de groupes d’utilisateurs : les utilisateursd’un m ˆeme groupe ont des droits en commun, sachant qu’un utilisateur peut appartenir `a plusieursgroupes
Tout ceci est possible avec les annuaires LDAP, et l’implantation que nous allons utiliser, OpenLdap
`a quatre mod `eles de base :
– un mod `ele d’information, d ´efinissant le type d’information stock ´ee dans l’annuaire,
– un mod `ele de nommage, d ´efinissant la fac¸on de laquelle les informations sont organis ´ees dansl’annuaire et leur d ´esignation,
4 Lightweight Directory Access Protocol
Trang 26– un mod `ele fonctionnel, d ´efinissant la mani `ere d’acc ´eder aux informations et ´eventuellement de lesmodifier, c’est- `a-dire les services offerts par l’annuaire,
– un mod `ele de s ´ecurit ´e, d ´efinissant les m ´ecanismes d’authentification et de droits d’acc `es des sateurs `a l’annuaire
utili-De plus, LDAP d ´efinit la communication entre :
– le client et le serveur, c’est- `a-dire les commandes de connexion et de d ´econnexion au serveur, derecherche ou de modification des entr ´ees,
– les serveurs eux-m ˆemes, pour d ´efinir d’une part le service de r ´eplication (un ´echange de contenuentre serveurs) et synchronisation d’autre part pour cr ´eer des liens entre les annuaires
En r ´esum ´e, LDAP va nous servir `a stocker des donn ´ees relatives aux utilisateurs (groupe, nom, login,mot de passe, mail .) de mani `ere organis ´ee dans un annuaire, qui sera exploitable par d’autres appli-cations ayant besoin de ces donn ´ees Cela va nous permettre de ne pas avoir `a recr ´eer des utilisateurspour chaque application utilis ´ee
4.5.2 Installation
Encore une fois, l’installation est tr `es simple avec aptitude :
apt-get install slapd
Il serait trop long et compliqu ´e de d ´ecrire exactement la configuration de notre annuaire LDAP (celapasserait notamment par l’introduction de tous les attributs utilis ´es) Nous allons plut ˆot d ´ecrire l’organisa-tion g ´en ´erale de notre annuaire
Comme on peut le constater sur la figure 11, notre arborescence est assez simple La racine de notreannuaire est notre nom de domaine interne, nkb.com De la racine naissent 3 fils :
– cn=nkbadmin : c’est l’administrateur du serveur LDAP (cn est un acronyme pour “Common Name”,c’est le nom sous lequel est connu l’entit ´e) Cette entit ´e comprend seulement le nom de l’adminis-trateur et son mot de passe crypt ´e avec le hachage SSHA7
– ou=users est une entit ´e de type organizationalUnit (ou) Ce noeud n’a pas d’autre utilit ´e que ganiser la hi ´erarchie de l’annuaire De ce noeud de l’arbre naissent toutes les entr ´ees de l’annuairecorrespondant aux utilisateurs Chaque entit ´e utilisateur comporte les m ˆemes attributs (identifiant,mot de passe crypt ´e avec SSHA, nom complet, mail, num ´ero de t ´el ´ephone .)
d’or-5 Lightweight Data Interchange Format
6 Serveur HTTP
7 SSHA est un algorithme de hachage de mot de passe C’est une am ´elioration de l’algorithme SHA-1
Trang 27FIG 11 – Arborescence d’informations hi ´erarchiques simplifi ´ee
– ou=groups est ´egalement une entit ´e de type organizationalUnit C’est le noeud p `ere de toutes lesentr ´ees correspondant aux groupes d’utilisateurs Chaque groupe d’utilisateurs poss `ede les attri-buts cn (nom du groupe), description, gid (identifiant num ´erique unique, qu’il faudra synchroniser
au gid des groupes d’utilisateurs Linux correspondants pour l’utilisation avec Samba) et member (laliste des identifiants des utilisateurs membres du groupe en question)
Cet annuaire seul n’est d’aucune utilit ´e Nous allons voir son utilisation avec les outils suivants
4.6 Partage de ressources
Le partage de ressources est un ´el ´ement indispensable au fonctionnement de l’entreprise En effet,lors d’un projet, plusieurs ´equipes (architectes concept, architectes techniques, ing ´enieurs .) travaillentensemble et ont besoin de partager des documents Actuellement, Samba est la seule solution ´eprouv ´eepour partager des ressources sur un r ´eseau mixte (Linux, Windows)
4.6.1 Fonctionnement
Samba configure des partages r ´eseau pour les r ´epertoires UNIX (y compris le contenu de tous lessous-r ´epertoires) Ils apparaissent pour les utilisateurs de Windows comme des dossiers Windows clas-siques accessibles via le r ´eseau Chaque r ´epertoire peut avoir des privil `eges d’acc `es diff ´erents Parexemple : les r ´epertoires ayant un acc `es en lecture/ ´ecriture pour tous les utilisateurs d ´efinis, permettent
`a chacun d’eux d’acc ´eder `a leurs propres fichiers Mais ils n’ont pas acc `es aux dossiers des autres, sauf
si une autorisation est d ´efinie
Un logiciel libre nomm ´e smbldap_tools assure la liaison avec un annuaire LDAP de comptes teurs C’est un ensemble de scripts Perl interfac ´es directement avec un service conforme au protocoleLDAP (comme notre serveur OpenLDAP)
utilisa-4.6.2 Installation
L’installation se fait par la r ´ecup ´eration du paquet samba :