Transcript Table des matières

Table des matières
Devis pour mise en place de l’environnement Windows ............................................................................. 5
Installation de Windows server 2008 (Hermes) ....................................................................................... 5
Installation d’Active Directory et dns (hermes) ...................................................................................... 11
Intellimirror ............................................................................................................................................. 35
Contrôle de l’environnement graphique pour les autres (groupe_invite) ......................................... 50
Contrôle de l’utilisation du panneau de configuration ....................................................................... 55
Le nom du dernier utilisateur ne sera pas affiché au login pour tous les ordinateurs du domaine... 58
Les comptes seront bloqués après 3 tentatives infructueuses et le compte administrateur bloqué 60
Tous les navigateurs de l’entreprise pointeront vers la page web de l’entreprise ............................ 61
PPTP (Point-to-point tunneling Protocol) en local .................................................................................. 64
Installation et mise en place du service WSUS ....................................................................................... 71
Le service de deploiement Windows (wds) ............................................................................................ 91
Deploiement de Windows 7 avec l’application OpenOffice (sysprep) ................................................. 106
Installation de Windows 7(hera1)......................................................................................................... 124
Jonction du client Windows 7 (hera1) au domaine w2008.org (hermes) ............................................ 127
Devis pour la mise en place des serveurs Linux ........................................................................................ 137
Installation de Linux xfce (Debian 7) ..................................................................................................... 137
Jonction de hera2 au domaine w2008.org ........................................................................................... 140
Installation et mise en place du serveur zeus ...................................................................................... 142
Installation de zeus ........................................................................................................................... 142
Installation et configuration du service dhcp sur zeus ..................................................................... 145
Installation et configuration du service dns sur zeus........................................................................ 150
Installation et configuration du service proxy squid sur zeus........................................................... 157
Configuration d’un firewall et ajout de règles iptables pour le filtrage des entrées sorties des
requêtes ............................................................................................................................................ 161
Connexion ssh au réseau equitable.net ............................................................................................ 163
Installation et mise en place de la téléphonie VOIP ......................................................................... 167
Installation du serveur aphrodite ......................................................................................................... 179
Configuration du service dns secondaire sur aphrodite ....................................................................... 181
Configuration du service de courriel postfix sur aphrodite .................................................................. 186
1
Installation et mise en place de squirrelmail sur aphrodite ................................................................ 190
Configuration de spamassassin sur aphrodite ...................................................................................... 194
Installation du serveur poseidon .......................................................................................................... 198
Configuration du service apache sur poseidon..................................................................................... 200
Configuration de mediawiki sur poseidon ............................................................................................ 203
Configuration du service ftp sécurisé sur poseidon.............................................................................. 209
Installation du serveur jupiter (archivage.net) ..................................................................................... 214
Configuration du service dns ................................................................................................................ 220
Deploiement du poste vesta via l’outil kickstart .................................................................................. 225
Configuration d’un tunnel vpn (jupiter-zeus) ....................................................................................... 235
Installation et configuration de rsync sur vesta .................................................................................... 241
Devis pour la mise en place du serveur Solaris ......................................................................................... 243
Installation et mise en place du serveur de fichier Solaris ................................................................... 243
Installation du serveur Solaris ........................................................................................................... 243
Configuration du protocole SAMBA et Active Directory ..................................................................... 253
2
Préséntation ét misé én situation
Il est demandé de mettre en place un réseau LAN/WAN sécurisé pour l'entreprise Équitable et de fournir des
cahiers d’installations pour les informaticiens et des cahiers d’utilisation pour les usagers. Cette petite PME
québécoise aux ambitions internationales s'est donnée comme mandat d'offrir une expertise de pointe aux petites
PME des pays émergents pour qu'elles se munissent de services Internet haute vitesse à moindre coût.
Une vingtaine d'employés se partagent le travail. Il y a un président et sa secrétaire, un gestionnaire de projets, un
comptable, un technicien réseau (vous !), 5 concepteurs basés à Montréal et 10 sur la route un peu partout à
travers la planète.
Équitable veut utiliser des plates-formes commerciales et de «logiciels libres » pour l’ensemble de son
infrastructure informatique et réseautique. Elle tient à utiliser l’univers Windows pour la gestion des comptes, des
logiciels et des imprimantes dans son réseau privé interne. Par contre, elle veut que tous ses services stratégiques
et externes (pare-feu, courriel...) soient regroupés sous Linux. Elle désire utiliser une version «logiciel libre » pour
les logiciels bureautiques (open office). Elle veut également que le serveur de fichiers soit un serveur Solaris.
Équitable sera également accessible de n’importe que coin du monde sous VPN, tunnel SSH ou Terminal Server.
Elle sera reliée par réseau sécurisé à l’entreprise Archivage pour la duplication des données.
Lés spécifications dés systémés
informatiqués
Windows 7 et Linux xfce français serviront principalement aux applications de type bureautique et Windows 2008
(serveur de base, anglais) permettra l'authentification des utilisateurs à l'aide d'un contrôleur de domaine. Le
domaine portera le nom W2008.ORG.
Linux offrira des services de pare-feu, de proxy, de courriel, de DNS, de Web classique (http, ftp anonyme), de
courriel WEB, et de branchement sécurisé (ssh, scp, sftp).
Un serveur Solaris servira essentiellement de serveur de fichiers. Les comptes personnels des usagers, leur « Mes
documents » pointeront vers ce serveur en utilisant le protocole Samba et le contrôle se fait par Group Policy. Bien
sûr, cela ne sera disponible qu’à partir du réseau interne.
Tous les accès distants pour le personnel devront toujours se faire à l’aide d’un tunnel SSH et Terminal Server ou
VNCServer.
Pour réduire les coûts des services téléphoniques, Équitable vous demande de mettre en place un réseau de
téléphonie IP pour ses appels internes et pour les appels externes venant des employés sur la route. Pour réduire
l’utilisation de la bande passante, Équitable vous demande d’installer un miroir pour les rustines de sécurité
Windows (WSUS). Équitable veut utiliser un service d’archivage en ligne avec l’entreprise « Archivage ». Cette
dernière utilise un pare-feu/openvpn Centos et un ensemble de serveurs d’archivage Centos. Bien sûr, les données
sont transférées cryptées et compressées à l’aide de rsync.
3
Dévis pour la misé én placé dés
énvironnéménts virtuéls
Tous les ordinateurs de l’entreprise Équitable et ceux de l’entreprise Archivage doivent être installés sous
VirutalBox. Et l’ensemble ne doit pas dépasser 120 GIG !
Tout le nécessaire est sur Internet, Charon, titan et notre ami Google !
Il y a deux services WEB, un internet et un intranet. Le service FTP est anonyme seulement et tous les transferts de
données en écriture se feront par le service SFTP. OPENVPN assurera l’échange des données entre les deux
entreprises.
Schéma du Projét
4
Devis pour mise en place de l’environnement Windows
Le serveur et contrôleur de domaine utilisera la version Windows 2008 serveur standard anglais. Les postes clients,
la version française Windows 7 et Linux xfce.
On doit préparer une installation automatisée (WDS) incluant la suite bureautique OpenOffice pour les clients
Windows. Pour Linux, on fera l’installation à la main.
Les logiciels suivants seront publiés pour les usagers Windows « power users » : Win zip, Acrobat Reader, et
Mozilla Firefox mais forcés pour les autres. Pour ces derniers, vous contrôlerez l’environnement graphique ainsi
que l’utilisation du panneau de configuration.
Pour tous les ordinateurs du domaine, le nom du dernier utilisateur ne sera pas affiché au login, les comptes
seront bloqués après trois tentatives infructueuses et le compte administrateur bloqué. Tous les navigateurs de
l’entreprise pointeront vers la page Web de l'Intranet.
Lorsque le serveur Solaris sera opérationnel, le répertoire « Mes Documents » de tout le monde (Windows, Linux)
pointera vers le répertoire « /export/home/$HOME » de l’usager.
Installation de Windows server 2008 (Hermes)
On procède comme habitude à partir de VirutalBox on clique sur nouveau, on donne un nom un notre serveur et
on choisit la version du système
5
On clique sur suivant
On clique sur suivant
On clique sur suivant
6
On alloue 40 Go de disque dur et on clique sur créer
Dans VirutalBox on va dans stockage et on rajoute l’image de notre Windows pour l’installation
7
On clique sur installer
On clique sur suivant
8
On clique su suivant
On choisit installation personnalisée
9
On clique sur suivant
On attend la fin de l’installation. On rentre un nouveau mot de passe et on se connecte à notre serveur
hermes
10
Installation d’Active Directory et dns (hermes)
On procède avec les 3 étapes suivantes :
i) Installation
ii) Configuration
iii) Intégrer une machine dans le domaine
On commence par ouvrir le "Gestionnaire de serveur" et cliquer sur "Ajouter des rôles"
11
On clique sur suivant
Cocher la case "Services de domaine Active Directory"
On clique sur suivant
12
On clique sur suivant
On attend que le rôle s’installe
13
Une fois l’installation terminée, on exécute la commande dcpromo pour configurer active
directory
14
On va dans cette étape, configurer notre domaine Active Directory
15
On crée un nouveau domaine dans une nouvelle forêt
On rentre le nom de notre domaine : w2008.org et on clique sur suivant
16
17
18
On clique sur yes et on va configurer les zones dns dans les prochaines étapes. On clique sur
suivant
On rentre un mot de passe et on clique sur suivant
19
On clique sur suivant.
20
On redémarre pour que les changements soient appliques
21
Il est important pour un serveur de lui affecter une adresse statique. Pour cela, on accède aux
propriétés de la carte réseau de notre machine et on lui donne l’adresse ip correspondante. On
spécifie également l’adresse du dns principal (hermes)
On clique sur avancées et on va dans l’onglet dns.
22
On va à présent configurer le dns de hermes pour qu’il puisse résoudre le nom de toutes les
machines qui font partie du domaine w2008.org
23
Rendu à cette étape, on configure la zone de recherche directe.
24
On fait la même procédure pour toute les machines
25
On va maintenant à la zone de recherche inverse
26
27
28
29
30
31
On fait la même procédure pour le restant des machines et on obtient l’affichage suivant
Jusqu’à cette étape, notre serveur hermes résout le domaine w2008.org. Mais le rôle du
serveur dns hermes est de résoudre tous les domaines du réseau. Donc on va lui rajouter le
domaine equitable.net.
Pour cela, il suffit de rajouter le domaine equitable.net dans les paramètres avances tcp/ip de
notre serveur hermes.
32
33
On redémarre le service dns et on passe à la batterie de test pour s’assurer que notre service
dns fonctionne correctement, en utilisant la commande nslookup
On voit bien dans les captures ci-dessous, que notre serveur hermes résout le domaine
w2008.org et le domaine equitable.net
34
Intellimirror
1- Méthode de déploiement
La stratégie de groupe (Group Policy) prend en charge deux méthodes de déploiement d'un
package MSI :
Assigner un logiciel : Un programme peut être assigné à un utilisateur ou à une machine. S’il est
assigné à l'utilisateur, il sera installé lorsque l'utilisateur se connecte. Toutefois, s’il est assigné à
une machine, alors le programme sera installé pour tous les utilisateurs lorsque la machine
démarre.
Publier un logiciel : Un programme peut être publié pour un ou plusieurs utilisateurs. Ce
programme sera ajouté à la liste Ajouter ou supprimer des programmes et l'utilisateur sera en
mesure de l'installer à partir de là.
2- Création d’un point de distribution
La première étape dans le déploiement d'un MSI par GPO consiste à créer un point de
distribution sur le serveur de publication. Cela peut être fait-en suivant ces étapes:
-Connectez-vous au serveur en tant qu'administrateur.
-Créer un dossier de réseau partagé (ce dossier contiendra le package MSI).
-Définir des autorisations sur ce dossier afin de permettre l'accès au package de distribution.
-Copier le MSI dans le dossier partagé.
35
3. Créer un objet de stratégie de groupe (Group Policy Object)
Un package MSI est déployé (distribuée) par GPO comme un objet de stratégie de groupe. Afin
de créer un objet pour votre paquet, vous pouvez suivre ces étapes:
-Cliquez sur le bouton Démarrer, sur Programmes, sélectionnez Outils d'administration, puis
sélectionnez Utilisateurs et ordinateurs Active Directory.
-Cliquez-droit sur votre nom de domaine dans l'arborescence de la console et sélectionnez le
menu contextuel Propriétés.
-Sélectionnez l'onglet Stratégie de groupe, puis cliquez sur Nouveau
-Définir le nom de la politique (par exemple MyApplication)
- sur Propriétés et sélectionnez l'onglet Sécurité
-Cochez la case de stratégie de groupe s'appliquent uniquement pour les groupes dont la
politique sera appliquée
4. Assigner un package MSI
Un package peut être affecté a un utilisateur ou une machine. En outre, si le paquet est assigné,
il sera automatiquement installé en mode silencieux. Pour attribuer un package, vous pouvez
suivre ces étapes.
-Cliquez sur le bouton Démarrer, Programmes, sélectionnez Outils d’administration, puis
sélectionnez Utilisateurs et ordinateurs Active Directory.
-Cliquez-droit sur votre nom de domaine dans l’arborescence de la console et sélectionnez le
menu contextuel Propriétés.
-Cliquez sur l'onglet Stratégie de groupe, sélectionnez l'objet que vous voulez et cliquez sur
Modifier.
-Développez Paramètres du logiciel sous Configuration ordinateur.
-Clic-droit installation du logiciel, sélectionnez le menu contextuel Nouveau, puis cliquez sur
Package.
-Dans le type de dialogue Ouvrir le chemin UNC complet du package partagé que vous voulez
assigner
-Cliquez sur le bouton Ouvrir.
-Cliquez sur Assigné puis cliquez sur OK (le paquet sera ajouté dans le volet droit de la fenêtre "
Stratégie de groupe “).
-Fermer la stratégie de groupe snap-in, cliquez sur OK et quittez les utilisateurs Active Directory
et les ordinateurs un composant logiciel enfichable.
-Lorsque les ordinateurs clients démarrent, le package assigné sera installé automatiquement.
36
5. Publier un package MSI
Lorsque vous utilisez la stratégie de groupe, vous pouvez publier un package afin de permettre
à l'utilisateur cible de l'installer en utilisant Ajouter ou supprimer des programmes. Les étapes
pour la publication d'un package sont:
-Cliquez sur le bouton Démarrer, sur Programmes, sélectionnez Outils d’administration, puis
sélectionnez Utilisateurs et ordinateurs Active Directory.
-Cliquez-droit sur votre nom de domaine dans l’arborescence de la console et sélectionnez le
menu contextuel Propriétés.
-Cliquez sur l'onglet Stratégie de groupe, sélectionnez l'objet que vous souhaitez et cliquez sur
Modifier.
-Développez Paramètres du logiciel sous Configuration utilisateur.
-Clic-droit installation du logiciel, sélectionnez le menu contextuel Nouveau, puis cliquez sur
Package.
-Dans le type de dialogue Ouvrir le chemin UNC complet du package partagé que vous
souhaitez publier.
-Cliquez sur le bouton Ouvrir.
Cliquez sur Publier, puis cliquez sur OK (le paquet sera ajouté dans le volet droit de la fenêtre "
Stratégie de groupe “)
Fermer la stratégie de groupe snap-in, cliquez sur OK et quittez les utilisateurs Active Directory
et les ordinateurs un composant logiciel enfichable.
6. Tester le package
-Se connecter à l’ordinateur cible.
-Cliquez sur le bouton Démarrer et sélectionnez Panneau de configuration.
-Double-cliquez sur Ajouter ou supprimer des programmes applet et sélectionnez Ajouter de
nouveaux programmes.
-Dans la zone Ajouter des programmes à partir de votre liste de réseau sélectionnez le
programme que vous avez publié.
-Utilisez le bouton Ajouter pour installer le package.
-Cliquez sur OK, puis fermez.
37
Une fois qu’Active Directory est installé, on va créer 2 unités organisationnelles qu’on nommera
OU1 et OU2. La première va contenir le groupe « power_users » et la deuxième va contenir les
autres, le groupe « groupe_invite ». Dans chacun de ces 2 groupes on mettra 2 utilisateurs
qu’on appellera « user1 » et « user2 » pour le groupe power_users et « invite1 » et « invite2 »
pour le groupe groupe_invite.
38
39
40
On procède de la même manière pour les autres utilisateurs pour obtenir les 2 affichages
suivants :
41
Rendu à cette étape on va créer une gpo qu’on appellera installation_logiciel et qu’on va lier à
l’unité organisationnelle OU1. Pour cela on va à démarrer, outils administrations gestion de
stratégie de groupe. Dans l’arborescence qui apparait, on fait un clic droit sur OU1 pour créer la
gpo
42
Un double clic sur notre gpo installation_logiciel
43
Comme on voit dans la capture ci-dessus, notre gpo s’applique aux utilisateurs authentifiés. Ce
n’est le but qu’on cherche. On veut appliquer la gpo au groupe power_users. Pour cela on doit
modifier le filtrage de sécurité
44
À présent, on va éditer notre gpo installation logiciel, une nouvelle fenêtre s’ouvre, on
développe l’arborescence et on sélectionne configuration utilisateur, stratégie, installation
logicielle
45
Une autre fenêtre s’ouvre. On rentre le chemin du repertoire (partage) ou se trouvent nos
logiciels qu’on veut déployer. Il est important de noter que le repertoire en question soit en
partage sur le réseau pour la visibilité.
Ces logiciels seront publiés pour le groupe power_users. On sélectionne les logiciels un à un et
on clique sur ouvrir. Une fenêtre s’ouvre
46
On clique sur avancée pour mieux personnaliser les logiciels qu’on veut déployer
On procède de la même façon pour les autres logiciels pour obtenir ceci :
47
Test de la gpo installation_logiciel :
On se connecte sur notre client Windows 7. On se connecte avec user1 du groupe power_users. On
ouvre une console cmd et on rentre la commande : gpupdate /force
Notre client va redémarrer, on se reconnecte avec user1ou user2, on voit bien dans la capture
ci-dessous que les logiciels sont publiés et c’est au choix de l’utilisateur de les installer
48
On procède de la même manière pour forcer les mêmes logiciels pour les autres (groupe_invite)
ayant invite1 et invite2 comme utilisateur. On a créé une gpo qu’on a appelé
installation_logiciel_assigne
A la fin de la procédure, on se connecte avec les usagers du groupe_invite à notre client
Windows 7. Dans la capture ci-dessous, on voit les logiciels sur le bureau et dans le menu
démarrer
49
Contrôle de l’environnement graphique pour les autres (groupe_invite)
On peut décider d’imposer un certain environnement graphique et empêcher les autres
utilisateurs de modifier les paramètres de cet environnement. Pour y arriver, on va créer une
gpo dans l’unité organisationnelle ou se trouve les autres utilisateurs c.-à-d. : groupe_invite
dans OU2. On appellera cette gpo : contrôle_env _graphique
50
Les paramètres de cette gpo seront appliqués uniquement au groupe_invite
On édite cette gpo : dans l’arborescence de la fenêtre qui apparait, on développe configuration
utilisateur, stratégie, modèles d’administration, composants Windows et on double clic sur
système de couleurs Windows.
51
On active l’option interdire l’installation ou désinstallation du profil couleurs
52
Les utilisateurs du groupe_invite ne seront plus capables d’installer ou désinstaller le profil
couleur de Windows
Rendu à cette étape on va imposer un papier peint sur le bureau des utilisateurs du
groupe_invite
53
On double clic sur papier peint du bureau, on active la propriété et on donne le chemin du
papier peint qu’on veut imposer
On vérifie sur notre client Windows 7 que les changements ont été pris en compte. On voit bien
que le papier peint original de Windows 7 a changé.
54
Contrôle de l’utilisation du panneau de configuration
Dans l’unité organisationnelle UO2, en créé une nouvelle GPO « contrôle_panneau_configuration », qui va
empêcher les utilisateurs du groupe groupe_invite d’accéder au panneau de configuration.
On clique sur notre nouvelle gpo et on l’applique sur le groupe_invite
On édite la gpo et on développe l’arborescence qui apparait et on clique sur panneau de configuration. A droite de
la fenêtre, on clique droit sur interdire l’accès au panneau de configuration pour activer ce paramètre
55
On passe au test de la gpo en ouvrant une session avec les usagers du groupe_invite.
On voit bien dans la capture ci-dessous que le panneau de configuration (disparu) n’est plus accessible aux usagers
du groupe_invite
56
57
Le nom du dernier utilisateur ne sera pas affiché au login pour tous les ordinateurs du
domaine
Comme cette GPO sera appliqué sur tous les ordinateurs du domaine, donc on ne va pas créer de nouvelle GPO,
on va juste activer la GPO Default Domain Policy du domaine w2008.org.
58
On passe au test de notre nouvelle gpo en ouvrant une session sur notre client Windows 7 pour voir si le nom du
dernier usager n’apparait plus.
Il est important de redémarrer notre serveur pour que les changements soient pris en compte.
On voit bien que le nom du dernier utilisateur ne s’affiche pas sur notre contrôleur de domaine hermes
On
vérifie également sur notre client Windows 7 qui fait partie du domaine w2008.org
59
Les comptes seront bloqués après 3 tentatives infructueuses et le compte administrateur
bloqué
On procède de la même façon, cette GPO sera appliqué sur tous les ordinateurs du domaine, donc on ne va pas
créer de nouvelle GPO, on va juste utiliser la GPO Default Domain Policy du domaine w2008.org
On définit le seuil de verrouillage à 3 tentatives
60
On définit le compteur de temps à 3 minutes (l’usager est bloqué pendant 3 minutes)
On passe au test du fonctionnement de notre gpo. En ouvrant une session sur notre client Windows 7 et en
rentrant un mauvais mot de passe 3 fois de suite
On voit bien que le compte est verrouillé, il faut attendre 3 min pour se reconnecter
Tous les navigateurs de l’entreprise pointeront vers la page web de l’entreprise
Cette GPO sera appliquée sur tous les ordinateurs du domaine, on va créer une GPO « page_acceuil_ie » dans le
domaine w2008.org
61
On clique sur ok. Dans l’arborescence on double clic sur notre gpo nouvellement créée et on rajoute les utilisateurs
du domaine
On édite la gpo. Dans configuration utilisateur on développe l’arborescence jusqu’à voir « internet explorer ». À
droite dans la fenêtre, on va selectionner « désactiver changer les paramètres de la page d’accueil ».
Un clic droit puis propriétés, on coche activé et on rentre l’url de notre domaine.
62
Pour tester la gpo, on se connecte à notre client Windows 7 avec un des usagers (user2)
63
PPTP (Point-to-point tunneling Protocol) en local
PPTP (Point-to-point tunneling Protocol) est un protocole de tunnel point-à-point, conçu par Microsoft. Il permet
de mettre en place des réseaux privés virtuels VPN entre des machines distantes.
Pour mettre en place ce protocole sur la machine Hermès, on installe d’abord le rôle Service de stratégie et d’accès
réseau.
On coche les cases services de routage et accès à distance et on continue l’installation
64
Une fois l’installation terminée, dans le menu Outils d’administration, on clique sur Routage et accès distant. On
sélectionne configuration personnalisée et on clique suivant
On sélectionne le service vpn
65
On clique sur terminer et on démarre le service
Le service est bien installé
Pour concevoir un tunnel entre deux machines distance, deux adresses IP sont nécessaires (une pour chaque
entrer du tunnel), pour l’ensemble des utilisateurs du domaine, on aura besoin d’une plage d’adresse suffisante
pour que l’on puisse créés plusieurs tunnels.
Avec le bouton droit de la souris, on clique sur propriétés d’Hermès, et dans l’onglet IP4, on coche la case Pool
d’adresse statique, Ajouter et on ajoute une plage d’adresses.
66
On doit s’assurer que les règles du pare feu Windows ne bloquent pas le protocole PPTP sur le port 1723 et le
protocole GRE sur le port 47
Une fois qu’on a terminé les configurations du VPN sur la machine hermes, on ouvre une session sur la machine
hera1 avec l’utilisateur user1. On crée une nouvelle connexion réseau et dans le menu, on choisit l’option
Configurer une connexion d’accès distance ou VPN.
Il est important d’autoriser l’usager à se connecter avec le dial-up. Dans hermes on accède aux propriétés d’user1
et on l’autorise à utiliser ce type de connexion
67
68
On rentre l’adresse ip de hermes et le nom de l’usager
On rentre le nom de l’usager et le mot de passe et on clique sur se connecter
On voit que la connexion vpn a réussi
69
Ici on voit tous les détails de la connexion
Sur le poste hermes on voit bien que le client est ajouté
70
En ligne de commande sur hermes on tape ipconfig /all et on voit une interface qui a été rajoutée
Installation et mise en place du service WSUS
Les ordinateurs et plus particulièrement les nombreux logiciels qui y sont installés ont besoin d'être tenu à jour.
Cela signifie que pour assurer la sécurité de nos données ainsi que la stabilité de notre serveur, il est impératif de
mettre en place une politique de mise à jour sérieuse ! On installe le rôle wsus
On rajoute le rôle web server IIS
71
On clique sur next
On est invité à la configuration et on clique sur suivant
72
On choisit le lecteur C pour l’emplacement de wsus et on clique suivant
On installe la base de données de wsus dans le lecteur C et on clique sur suivant
73
On spécifie le site web à utiliser pour wsus, par défaut c’est IIS et on clique sur suivant
L’installation commence
74
On clique sur suivant
On clique sur suivant
75
On se synchronise à partir de Microsoft Update et on clique sur suivant
On clique sur suivant
76
On ne spécifie pas de proxy et on clique sur suivant
77
On comment la connexion avec le serveur de Microsoft Update
On voit dans la capture ci-dessous que le service s’est installé avec succès
78
On choisit la langue anglaise
On choisit le produit Windows 7 et Windows server 2008 pour les mises à jour
79
On laisse par défaut et on coche le service pack
On choisit une heure où l’on peut voir les mises à jour pour le contrôle
80
La capture ci-dessous nous montre des alertes de mise à jour
81
On va présentement appliquer une gpo pour que les mises ajour soient transmises sur notre client Windows 7
Avant de créer la gpo on commence par créer un groupe d’ordinateur qui vont recevoir les mises à jour à partir de
notre serveur hermes. Pour cela on accède au service wsus et on ajoute un nouveau groupe qu’on appellera
groupe_w7
82
On voit bien que le groupe d’ordinateur est crée
Ensuite, on va créer une unité organisationnelle dans le domaine w2008.org qu’on appellera par le même nom que
le groupe crée précédemment
83
On va mettre dans la OU groupe_w7 les ordinateurs qui vont recevoir les mises à jour. Ceux-ci se trouvent dans le
repertoire Computers, on va juste es déplacer
84
On va à présent appliquer la gpo sur notre groupe_w7, on accède à la stratégie de groupe et on crée la gpo et on la
lie au groupe_w7
85
On donne un nom à la gpo
On édite la gpo
On va dans configuration ordinateur, stratégie, modèles d’administrations, composants Windows et finalement
Windows update
86
On commence par configurer les mises à jour automatiques et on clique sur propriétés
On active les mises à jour automatiques et on rentre la fréquence et l’heure de la mise à jour
87
On spécifie l’emplacement de notre Intranet
On active l’option et on rentre l’URL de notre intranet
On sélectionne l’option targeting et on clique sur propriétés
88
Une fois les trois options de mises à jour activées et configurées, on se connecte à notre a client hera1 et on rentre
la commande gpupdate /force
On vérifie à présent que la gpo est bien appliquée. Sur notre post hermes on accède au service wsus et on clique
sur ordinateurs comme le montre cette capture les mises a jours sont reçues par les clients Windows 7
89
Si on veut avoir un rapport détaillé de notre client Windows 7 (hera1 )
90
Le service de deploiement Windows (wds)
Ce service sert à la mise en partage des images à déployer sur le réseau, la multidiffusion mais aussi la
personnalisation des images à partir d'un fichier de réponse.
Installer les services de rôles :
Serveur de déploiement : Le serveur de déploiement fournit toute la fonctionnalité des services de
déploiement Windows, que vous pouvez utiliser pour configurer et installer à distance des systèmes d'exploitation
Windows. Avec les services de déploiement Windows, vous pouvez créer et personnaliser des images, puis les
utiliser pour installer des ordinateurs. Pour pouvoir fonctionner, le serveur de déploiement a besoin des
composants fondamentaux de Serveur de transport.
Serveur de transport : Le serveur de transport fournit un sous-ensemble de la fonctionnalité des services
de déploiement Windows. Il contient uniquement les parties centrales de la mise en réseau, que vous pouvez
utiliser pour transmettre des données par multidiffusion sur un serveur autonome. Vous devez utiliser ce service
de rôle si vous souhaitez transmettre des données par multidiffusion, mais ne souhaitez pas incorporer tous les
services de déploiement Windows.
Sur notre poste hermes, on ajoute le role windows deployment services
91
On clique sur suivant. Il est important de lire l’introduction pour comprendre le principe de fonctionnement de ce
service
On clique sur suivant
On clique sur suivant
92
On clique su installer
On attend la fin de l’installation
93
Une fois le service installé, aller dans :
Le gestionnaire de serveur-> Services de déploiement Windows -> Serveurs -> hermes.w2008.org, Clic droit, puis
configurer le serveur
On clique sur suivant
94
Pour les paramètres du serveur PXE, on cocher la case répondre à tous les ordinateurs clients, on clique sur
suivant
On clique sur fin
95
On décoche ajouter images maintenant, on a le choix d’ajouter les images plus tard et on clique sur fin
On a créé au préalable un répertoire qu’on a nommé image-w7 sur le disque C de notre serveur hermes, il
contient une image iso de Windows 7 qu’on a téléchargé à partir du serveur titan
96
Dans le Services de déploiement Windows et dans le répertoire Images d’installation, on clique sur Ajouter une
image d’installation.
97
On choisit la version Windows 7 professionnel
98
On vérifie l’intégrité de l’image pour l’ajouter au groupe image
99
On voit que l’image d’installation est bien la
On va à présent ajouter l’image de démarrage (boot.wim)
On vérifie
l’intégrité de l’image de démarrage
100
L’image de démarrage a été ajoutée
Une fois les 2 images install et boot sont configurées, on va utiliser un outil de Microsoft (AIK) qui va nous générer
2 fichiers de réponses pour exécuter une installation automatique .
101
Le fichier OOBEunattend.xml
102
Le fichier WDSunattend.xml
103
On crée une machine hera7 sur virtual box et on démarre sur le réseau
On lui donne une interface réseau dans le réseau interne
104
On part notre machine et tout s’installe automatiquement sans aucune intervention de l’utilisateur
Notre client est joint au domaine de w2008.org
105
Deploiement de Windows 7 avec l’application OpenOffice (sysprep)
On télécharge l’application OpenOffice
106
On crée une capture d’image de démarrage de notre client Windows 7 fraichement déployé avec open office
installé de boot
107
On mettra la capture d’image dans le lecteur « C » et on l’appellera « captureimage » et on clique sur ouvrir
On clique sur suivant
108
L’image de démarrage est en train de se créer
On voit bien dans le lecteur C que la capture d’image de démarrage est bien la
109
On va maintenant ajouter cette capture d’image de démarrage dans l’image de boot
Une fenêtre s’ouvre et on va selectionner la capture d’image de démarrage et on clique sur ouvrir
110
On clique sur suivant
On clique sur suivant
111
L’image de démarrage est en train de s’ajouter
112
Par la suite, on va utiliser le sysprep de notre client pour préparer un gabarit de notre nouvelle machine
On accède au disque C puis Windows, system32 et sysprep et on exécute le logiciel
113
Une fois l’opération terminée, le poste Windows 7 éteint. On démarre encore une fois la machine sur le réseau et
on choisit le démarrage avec « capture image »
On clique sur entrée
114
Un assistant apparait. On clique sur suivant
On rentre le nom de l’image et la description et on clique sur suivant
115
On coche la case et on rentre l’adresse IP du serveur ou bien le nom de domaine et on clique sur se connecter
Une fenêtre d’authentification s’ouvre en rentre les informations demandées et on clique sur ok
116
Le nom du groupe d’image apparait. On clique sur parcourir pour spécifier l’emplacement ou l’on va mettre
sysprep.
On a créé un repertoire de partage « partage » sur hermes et pour y accéder. On appuie sur alt + f10 pour avoir la
console cmd et dans la console on rentre le chemin du partage
117
118
La capture de l’image sysprep prend beaucoup de temps. Il faut être très patient
On revient dans le service de deploiement wds et on va ajouter une image d’installation
119
120
L’image d’installation sysprep est créée
121
Rendu à cette étape, on va utiliser les 2 fichiers de réponses dont on s’est servi pour le wds. On va juste changer le
nom de l’image à déployer dans le fichier sysprepunatten.xml.
On démarre une nouvelle machine qu’on appellera sysprephera7
122
L’installation se fait automatiquement sans aucune intervention. A la fin de l’installation, on obtient la capture cidessous. On voit bien l’utilitaire OpenOffice
123
Installation de Windows 7(hera1)
Pour installer hera1, on alloue 512 Go de RAM et 15 Go de disque dur
124
125
126
Jonction du client Windows 7 (hera1) au domaine w2008.org (hermes)
Avant de joindre notre client au domaine, on va créer un usager dans hermes qu’on va utiliser pour tester la
jonction du client au serveur. Pour cela, on va dans Start, Administrative Tools, Active Directory Users and
Computers
127
128
On vérifie que notre serveur hermes communique avec le client hera1
On va maintenant aller voir que notre client hera1 peut communiquer avec le serveur hermes. Il est important de
spécifier l’adresse dns de notre serveur hermes au client hera1 (Windows 7)
129
On ping hermes pour tester la communication
La procédure de jonction est la suivante :
130
131
On voit apparaitre la fenêtre de la jonction. On rentre le nom du poste et le mot de passe
132
La jonction a réussi.
133
On redémarre notre client pour que les changements soient effectifs.
134
Après redémarrage, on se connecte avec a hera1 l’usager toto qu’on a créé précédemment dans notre serveur
hermes
On voit bien dans la capture ci-dessous que toto s’est bien connecté à hera1
135
On fait un ipconfig /all pour vérifier que notre client hera1 fait partie du domaine w2008.org
136
Devis pour la mise en place des serveurs Linux
L'organisation Équitable désire qu'il y ait au moins trois serveurs Linux utilisant la plate-forme Debian.
Un premier serveur agira à titre de pare-feu, proxy, serveur de VPN, DNS et de serveur de téléphonie IP.
Deux autres serveurs seront disponibles dans la DMZ; un premier comme serveur de courrier
électronique et DNS secondaire et un second comme serveur WEB, MediaWiki et serveur FTP «
anonyme ».
La compagnie Archivage quant à elle possède un minimum de 2 serveurs Linux; un premier serveur
Centos/Redhat caractères agissant comme pare-feu, DNS et serveur VPN et un second, Centos/Redhat
du même type, comme serveur d'archivage grâce au logiciel RSYNC. Le second doit être installé à l’aide
de la technologie Kickstart de Redhat.
Tous les Linux doivent être des versions stables et leur configuration ne peuvent être conduite qu’à
partir d’un environnement caractères ou par lien WEB grâce Webmin. Pas d’environnement graphique !
Iptables et Squid seront les outils de base pour la protection des
Installation de Linux xfce (Debian 7)
Dans un premier temps, on procede a l’installation de hera2 et par la suite, on joindra notre poste au domaine
w2008.org. On choisira une version trés légere de debian avec une interface graphique. On va allouer 192 Mo de
RAM et 8 Go de disque dur. Les captures ci-dessous, nous montrent les étapes les plus importantes de linstallation .
On clique sur suivant
137
On clique sur suivant
On clique sur créer
138
On clique sur ok et on démarre l’installation pour obtenir à la fin l’affichage ci-dessous
139
Jonction de hera2 au domaine w2008.org
Il est important avant de joindre le poste de vérifier les paramètres réseaux de notre machine hera comme le
fichier /etc/hosts et le fichier /etc/resolv.conf.
Pour cela, on va installer le logiciel samba et le configurer (on laisse la configuration par défaut. On change juste le
nom de workgroup)
Une fois samba installé, le fichier smb.conf se trouve dans le repertoire /etc/samba
140
On édite le fichier de configuration smb.conf et on change la valeur du paramètre workgroup
On sauvegarde et on redémarre le service samba pour que les changements soient pris en compte
On se connecte sur notre client Windows 7 avec un utilisateur du domaine w2008.org (user1). On voit hera2
Cette capture ci-dessous montre également le poste hera2 qui est joint au domaine w2008.org sur le serveur
hermes
141
Installation et mise en place du serveur zeus
Pour installer et configurer notre machine zeus, on doit effectuer les étapes suivantes :
-Installation de zeus (format caractères)
-Installation et configuration du service dhcp sur zeus
-Installation et configuration du service dns sur zeus
-Installation et configuration du service proxy squid sur zeus
-Configuration d’un firewall et ajout de règles iptables pour le filtrage des entrées sorties des requêtes
Installation de zeus
Pour l’installation on va juste prendre les captures les plus importantes comme le nom de la machine la
distribution linux, la quantité de mémoire ram allouée et l’espace disque réservé à notre poste. On installe avec
notre machine uniquement le service ssh.
142
143
144
Installation et configuration du service dhcp sur zeus
Avant d’installer le service dhcp, on va affecter aux interfaces eth0, eth1 et eth2 de la machine zeus des adresses
fixes. On édite le fichier /etc/network/interfaces et on rajoute les adresses ip de nos interfaces.
145
On sauvegarde le fichier et on redémarre le service /etc/init.d/networking. On passe a l’installation du service
dhcp.
Une fois le dhcp installé, on va le configurer pour qu’il écoute sur les interfaces eth1 et eth2 de zeus. Pour cela, on
édite le fichier /etc/defaults/isc-dhcp et on rajoute a la ligne interfaces= et1 eth2. On sauvegarde les
changements.
146
On va présentement éditer le fichier /etc/dhcp/dhcpd.conf pour le configurer selon les caractéristiques de notre
réseau.
Sur l’interface eth1 de zeus est connecté hermes, hera1, hera2 et apollon. Sur l’interface eth2 de zeus est
connecte aphrodite, poseidon et apollon.
Comme hermes et apollon et aphrodite et poseidon feront office de serveurs, il préférable de fixer leurs adresses
ip.
147
148
On sauvegarde le fichier et on redémarre le service.
149
Installation et configuration du service dns sur zeus
On installe le service dns pour le domaine (equitable.net)
Le fichier /etc/hostname
On rajoute la ligne zeus.equitable.net
On sauvegarde le fichier et on démarre le script hostname.sh
Dans le fichier « /etc/host.conf », on va insérer les paramètres suivants : order hosts, bind
On sauvegarde le fichier en question. Dans « /etc/hosts », on va modifier le fichier en fonction du nom de notre
serveur zeus
150
On sauvegarde notre fichier.
On édite le fichier « /etc/resolv.conf », on fera quelques modifications et on va rentrer le domaine, la zone de
recherche et le nom du serveur DNS
On sauvegarde les changements.
Dans le dossier de /etc/bind.
On va à présent nous intéresser à la zone de recherche directe. On va copier le fichier db.local en le renommant
comme notre domaine, db.equitable.net
On édite le fichier nouvellement crée
151
On va adapter ce fichier de configuration pour la zone de recherche directe selon les besoins de notre réseau
On sauvegarde le fichier. Passons à la zone de recherche inverse. On copie le fichier « db.127 » en le renommant
selon notre nom de domaine db.equipe4.edu.inv.
152
On édite le fichier db.equipe4.edu.inv
On va adapter le fichier selon les données de notre réseau.
On enregistre les changements. Maintenant on va éditer le fichier named.conf.local et on rajoute les zones.
153
On enregistre les changements. On redémarre notre serveur DNS pour que les changements soient effectifs.
Passons maintenant à la configuration des fichiers /etc/resolv.conf de nos 3 machines Aphrodite, Poséidon et
Apollon on va rajouter le domaine et l’adresse de notre serveur DNS.
Aphrodite :
Poseidon :
154
Apollon :
On passe au test de notre service dns pour vérifier qu’il résout les noms de nos machines.
A partir de zeus :
A partir d’Aphrodite :
155
A partir de poseidon :
156
Installation et configuration du service proxy squid sur zeus
Le rôle d'un proxy est le plus souvent de partager un accès internet entre plusieurs clients d'un réseau privé. Squid
est capable de s'affranchir de bien d'autres tâches :
-Filtrage des requêtes des clients ;
-Restriction de l'accès à internet ;
-Authentification des clients ;
-Accélération des accès aux ressources grâce au système de cache ;
-Réécriture des requêtes vers internet (pour protéger son anonymat par exemple).
Un proxy peut agir en deux modes différents : serveur ou transparent.
En mode serveur, une configuration sera requise sur les postes clients afin d'indiquer l'adresse du serveur et le
port sur lequel il doit s'y connecter.
En mode transparent, les clients n'auront pas connaissance du proxy et leurs requêtes seront alors formée comme
lors d'une communication sans intermédiaire. Notons que dans ce dernier mode, certains services comme
l'authentification ne pourront bien sûr pas être assurés.
157
Avec la commande : apt-get install squid.
Dès l’installation on voit bien que squid est en fonction.
En parcourant le repertoire /etc/squid on va trouver le fichier de configuration de squid (squid.conf)
Comme le fichier de configuration est très long, on va lui appliquer une commande pour le réduire à une
configuration de base.
On commence par sauvegarder le fichier de configuration original et on applique la deuxième commande :
On édite le fichier de configuration de squid. On essaye de comprendre le fonctionnement du fichier pour
l’adapter aux besoins de notre réseau. Tout d’abord, on va déclarer nos réseaux « interne et dmz1 » pour avoir
accès au proxy.
158
Ensuite il faut autoriser squid à fournir un accès Internet à nos postes du réseau. Pour cela, il faut rechercher à la
suite des acl, dans la partie http_access.
On veut que notre serveur fonctionne en mode transparent, on rajoute le mot « transparent » à la ligne
correspondante. On donne un nom significatif a notre squid on rajoute la ligne visible_hostname SQUID_ZEUS.
159
On sauvegarde le fichier en question et on redémarre le service squid.
Il est important de préciser que le fichier log de squid est d’une grande utilité. Il nous permet de voir les accès
internet de tous nos postes sur le réseau. Mais avant d’éditer ce fichier, on va écrire quelques règles iptables
dans notre firewall pour que notre squid soit entièrement fonctionnel.
160
A présent, on va faire un test pour vérifier que squid fonctionne en mode transparent. On va naviguer sur
aphrodite. Sur zeus on édite le fichier /var/log/squid/access.log pour voir les logs de nos postes qui naviguent sur
internet.
Configuration d’un firewall et ajout de règles iptables pour le filtrage des entrées sorties des
requêtes
Les règles iptables de notre firewall (zeus) permettent de sécuriser notre réseau et de filtrer les accès entrants à
nos serveurs.il est construit au fur à mesure qu’on rajoute un périphérique ou un service.
Les captures ci-dessous résument les règles suivantes :
-La machine zeus fait office de routeur
-Les connexions sortantes de notre réseau sont acceptées
161
-Les connexions ssh à partir d’Ariel vers zeus sont acceptées
-Pour des fins de test, les requêtes ping entre les machines sont acceptées
- des requêtes web vers notre squid
-Autoriser le service dns d’accéder aux interfaces des machines appartenant au réseau
La suite des règles iptables.
162
Connexion ssh au réseau equitable.net
En tant que technicien de réseau, il arrive parfois que nos machines rencontrent des problèmes ou un
dysfonctionnement dans le réseau et que le technicien ne soit pas disponible dans l’entreprise. Pour remédier à ce
genre de situation, il est très pratique et efficace d’envisager une connexion en tout temps en utilisant le service
ssh. Afin de palier à ce problème, on procède de la manière suivante :
Dans VirutalBox on va accéder aux paramètres réseaux de notre machine zeus. On va enregistrer la redirection
des ports de chaque machine du réseau à laquelle on désire se connecter par ssh. On affectera des numéros de
ports différents correspondants à chaque machine.
163
164
Une fois les numéros de ports ajoutés, on doit écrire des règles iptables pour pouvoir accéder à nos machines de
l’extérieur via ssh.
On fait quelques tests de connexions à partir d’ariel :
Sur la machine zeus :
Sur la machine aphrodite :
Se connecter à poseidon :
165
Se connecter à hera2 :
Se connecter à apollon :
166
Installation et mise en place de la téléphonie VOIP
La voix sur IP, ou « VoIP » pour Voice over IP, est une technique qui permet de communiquer par la voix sur des
réseaux compatibles IP, qu'il s'agisse de réseaux privés ou d'Internet, filaire (câble/ADSL/optique) ou non (satellite,
Wi-Fi, GSM, UMTS ou LTE). La VoIP concerne le transport de la voix sur un réseau IP.
Avant d’installer le service VOIP sur notre poste zeus, On va mettre à jour notre distribution et installer les
dépendances nécessaires à la compilation d’Asterisk. On ajoute les deb-src dans le fichier /etc/apt/source.list.
On sauvegarde le fichier et on exécute successivement les commandes ci-dessous pour les mises à jour : apt-get
update; apt-get dist-upgrade; apt-get build-dep asterisk
167
On exécute la dernière commande: apt-get install linux-headers-`uname -r`
On procède au téléchargement de de zaptel, libpri et Asterisk. Nous allons travailler avec ces fichiers stables en
date du 29-Nov-2012 11:41 1.6M. On crée un repertoire asterisk dans /usr/src
Wget http://downloads.digium.com/pub/zaptel/releases/zaptel-1.4.12.1.tar.gz
Wget http://downloads.digium.com/pub/libpri/releases/libpri-1.4.11.4.tar.gz
Wget http://downloads.digium.com/pub/asterisk/releases/asterisk-1.4.36.tar.g
On décompresse
Tar zxf zaptel-1.4.12.1.tar.gz
Tar zxf libpri-1.4.11.4.tar.gz
Tar zxf asterisk-1.4.36.tar.gz
On compile
Cd zaptel-1.4.12.1
. /install_prereq test
168
. /install_prereq install
. /configure
On fait la même chose pour le paquet libri-1.4.11.4
Cd ../libpri-1.4.11.4; make; make install
Le dernier paquet asterisk-1.4.33
Cd ../asterisk-1.4.36; ./configure
169
make menuselect # (pour choisir certaines options si on est expert !!)
make (un message d’erreur concernant le protocole H.323 peut apparaître, retaper make dans ce cas rare)
make install
make samples
On remplace sip.conf, extensions.conf, voicmail.conf et iax.conf par les quatre suivants :
cd /etc/asterisk
cat /dev/null > sip.conf
170
cat /dev/null > extensions.conf
cat /dev/null > voicemail.conf
cat /dev/null > iax.conf
On édite le fichier sip.conf : joe sip.conf et on met les lignes suivantes dans le fichier
171
On édite le fichier extensions.conf : joe extensions.conf et on rajoute les lignes suivantes :
172
On édite le fichier voicemail.conf : joe voicemail.conf et on rajoute les lignes suivantes :
On édite le fichier iax.conf : joe iax.conf et on rajoute les lignes suivantes :
173
On lance le logiciel et on entre dedans !
asterisk
asterisk -rvvvvvvvvv
On ajoute de règles iptables sur zeus pour permettre les connexions SIP :
174
On va maintenant installer sur nos postes hôtes hermes et hera le logiciel sip (un téléphone software).
Il existe un très grand nombre de soft phones dont l'un des plus célèbres est X-Lite proposé par X-ten. Les
interfaces de ces soft phones sont souvent simples d'utilisation et très complètes puisque toutes les
fonctionnalités qui existent sur des téléphones classiques existent aussi sur les soft phones.
Sur hermes
On redémarre pour finir l’installation
175
Après le redémarrage, on ouvre le logiciel installé sur hermes et on le configure comme suit :
176
On installe le même logiciel sur hera1
177
On passe au test d’appel. A partir de hera1 on va appeler yves avec le numéro 4000
On va voir sur hermes si l’appel est bien reçu par yves.
On voit bien l’appel reçu dans hermes pour yves et le numéro de George qui s’affiche (4001)
178
Installation du serveur aphrodite
Pour l’installation du poste aphrodite, on procède de la même façon que celle démontrée dans l’installation de
zeus.
179
180
Configuration du service dns secondaire sur aphrodite
La mise en place d’un serveur secondaire sur un réseau important est vivement recommandée pour éviter toute
panne de résolutions de noms en cas de dysfonctionnement du serveur principale.Sur le deuxième serveur,
aphrodite, il faut également installer bind :
Changement de la configuration du serveur maître zeus
Sur le serveur principal zeus, il faut modifier les zones du fichier « /etc/bind/named.conf.local », pour ajouter la
ligne « allow-transfer». Exemple :
zone "mondomaine.com" {
type master;
allow-transfer {adresseIP du serveur esclave;
file "/etc/bind/db.mondomaine.com";
};
181
Sur le serveur principal zeus, il faut ajouter dans chaque zone à exporter une ligne « NS » pour chaque serveur
esclave. Exemple : @
IN NS ServeurEsclave.mondomaine.com.
Dans la zone directe :
Dans la zone inverse :
182
Configuration du serveur esclave aphrodite
Sur le serveur esclave aphrodite, il faut ajouter dans le fichier « /etc/bind/named.conf.local », les zones à importer
du serveur principal. Voici un exemple :
zone "equitable.net" {
type slave;
masters {10.11.11.2; };
file "/var/cache/bind/db.equitable.net ";
};
zone "0.168.192.in-addr.arpa" {
type slave;
masters {10.11.11.2; };
file "/var/cache/bind/db.equitable.net.inv";
};
Le nom des zones doit correspondre exactement aux zones définies sur le serveur principal.
L’adresse IP du serveur principal est indiqué à la ligne « masters »
On redémarre le service bind et notre serveur esclave est prêt à fonctionner dans le cas où le serveur maitre zeus
tombe en panne.
On va rajouter l’adresse IP de notre serveur esclave aphrodite dans le fichier de configuration du dhcp
183
On va à présent passer au test de notre serveur secondaire. On désactive le serveur maitre zeus
On va questionner le serveur esclave aphrodite pour résoudre le nom de poste du domaine equitable.net
Sur poseidon
184
Sur apollon
On teste nslookup à partir de poseidon
185
Configuration du service de courriel postfix sur aphrodite
On procède comme d’habitude avec la commande : apt-get install postfix
On selection l’option internet site et on clique ok
On rentre le nom du domaine
186
Une fois le service installé, on édite le fichier /etc/postfix/main.cf. Il est configuré par défaut
On fait un test d’envoi (externe) d’un email vers ma boite gmail à l’adresse: [email protected]
On accède à ma boite gmail
On va créer 2 usagers dans aphrodite et on va tester l’envoi de courriel en local.
187
On envoie un email depuis jean vers julie
On se connecte en tant que julie et on vérifie sa boite mail
188
On installe dovecot
Une fois dovecot installé, on se contente de la configuration par défaut. Ce dernier permet le transférer des mails
jusqu’au client comme icedove, squirrelmail ou thundebird.
Important :
Comme notre réseau est muni d’un firewall, il est primordial de laisser passer le trafic de courriel et ouvrir les ports
utilisé par les protocoles de messagerie comme le smtp de postfix et l’imap de dovecot. Pour cela on rajoute
quelques règles iptables :
189
Installation et mise en place de squirrelmail sur aphrodite
De la même façon, avec la commande : apt-get install squirrelmail.
Avant de configurer SquirrelMail, il faudrait préalablement installer et configurer un serveur web (SquirrelMail
étant un webmail), apache par exemple. Dans notre cas, apache est déjà installé.
On fait un lien symbolique du répertoire /etc/squirrelmail/ qui contient le fichier apache.conf vers le répertoire
/etc/apache2/conf.d/ qui va contenir le fichier de configuration squirrelmail.conf.
On se connecte sur un poste du réseau interne sur hera2 par exemple et tapant dans le navigateur :
http://10.11.11.6/squirrelmail, la page web du webmail s’ouvre et on rentre les coordonnées de julie pour
consulter ses mails, comme indiqué les 2 captures ci-dessous.
190
On envoie un message à jean avec le compte de julie en utilisant squirrelmail
On ouvre icedove avec le compte de jean pour consulter sa boite mail
On voudrait maintenant faciliter l’accès à squirrelmail en tapant seulement http://webmail.equitable.net, pour
cela on va créer un site virtuel (webmail) dans le repertoire /etc/apache2/sites-available
191
On édite le fichier webmail pour la configuration
On sauvegarde et on redémarrer apache2. On va rajouter une ligne dans la zone db.equitable.net pour déclarer
notre site webmail pour pouvoir le résoudre plus tard.
On sauvegarde et on redémarre le service bind de zeus.
Dans le fichier /etc/squirrelmail/apache.conf, on modifie la ligne suivante : on remplace /squirrelmail par
/webmail
192
On va créer un lien symbolique pour que le dossier de squirrelmail se trouve dans le dossier www. Pour ce faire,
exécutez la commande suivante :
On
donne les droits aux autres d’accéder au dossier en question
Une fois terminé, on va tester notre squirrelmail en tapant : http://webmail.equitable.net
Dans hermes
193
Dans hera2
Configuration de spamassassin sur aphrodite
Comment fonctionne Spamassassin
Spamassassin est un programme (en perl) qui fait passer un certain nombre de tests au
message. En fonction du résultat de ces tests, il attribue un score au message, chaque test
rajoutant des points au score.
Si le score dépasse un certain seuil, le mail est alors considéré comme du Spam. Spamassassin
modifie alors le titre du message (il l’encadre par ***** SPAM *****). De plus, Spamassasin
positionne deux nouveaux en-têtes au message : X-Spam-Status et X-Spam-Level.
Ces deux en-têtes permettent alors de créer des filtres dans votre client mail pour orienter le
message (la corbeille est une bonne destination :).
Tous les messages doivent donc passer par Spamassassin pour être traités, avant d’arriver dans
leur dossier définitif.
194
Pré-requis :
Un serveur mail avec Postfix qui fonctionne. On a déjà un serveur postfix sur notre poste aphrodite
Installation :
Apt-get install spamassassin
Configuration :
Tout d’abord on va éditer le fichier /etc/default/spamassassin pour changer la valeur du paramètre enabled de 0
à1
On démarre spamassassin avec la commande : /etc/init.d/spamassassin start
La commande ci-dessus fait démarrer spamd, une version démonisée de SpamAssassin, qui est beaucoup plus
rapide que la version officielle Perl car il charge en fait toutes les règles de SpamAssassin au démarrage et il n'y a
plus de besoin de lire et charger à nouveau toutes les règles
Spamassassin est installé. Faisons quelques modifications. Tout d'abord, nous allons ajouter un utilisateur / groupe
appelé "spamd" en vertu de laquelle Spamassassin sera exécuté
195
Les fichiers de configuration se trouvent dans : /etc/mail/spamassassin le plus important est local.cf
On édite le fichier /etc/mail/spamassassin/local.cf et remplacer le contenu du fichier de local.cf avec les
paramètres de configuration suivants:
Configurer Postfix pour utiliser SpamAssassin
On édite le fichier /etc/postfix/master.cf et ajouter les paramètres suivants:
196
Et on rajoute à la fin du même fichier la ligne suivante :
On redémarre les 2 services spamassassin et postfix
On passe au test de spamassassin en envoyant un message de type gtube. On se connecte au webmail avec le
compte de jean et on écrit le message suivant :
On vérifie dans la boite mail de julie
197
Installation du serveur poseidon
On procède de la même façon que la précédente :
198
199
Configuration du service apache sur poseidon
L’installation d’un serveur web permettra aux employés de la compagnie à accéder au site web intranet a la
recherche des informations désirées. On installe apache avec la commande : apt-get install apache2. Une fois
installe, on tape dans le navigateur : http://localhost
C’est le site par défaut d’apache. On va configurer un site pour notre compagnie dans le domaine equitable.net
quo appellera monsite.equitable.net. On va créer un site virtuel monsite dans /etc/apache2/sites-availables et un
repertoire dans /var/www qu’on nommera également monsite.
On édite le fichier monsite
200
On redémarre le service apache et on va accéder au site intranet monsite.equitable.net localement pour tester
que tout fonctionne bien.
On se connecte à partir de hermes au site intranet
201
Le site est protégé par un mot de passe
On se connecte à partir de hera2
202
Configuration de mediawiki sur poseidon
Pour installer notre Wiki, il faut installer le paquet mediawiki. Pour ce faire, on exécute la commande suivante:
apt-get install mediawiki
On rentre un mot de passe pour la base de donnée MySQL et on clique sur ok
203
Tout d'abord on veut être capable de nous servir du mot wiki de /wiki au lieu de /mediawiki parce que c'est plus
court à taper. Cela nécessite deux modifications de la configuration par défaut. Nous devons modifier l'alias dans le
fichier de configuration d'Apache (/ etc/apache2/conf.d/mediawiki.conf): Alias / wiki / var/lib/mediawiki
Configuration d’Apache2 sur poseidon
MediaWiki possède un fichier de configuration, il suffit de créer un lien vers celui-ci pour qu’Apache2 l’utilise. Pour
ce faire exécutez les commandes suivantes :
204
Nous allons maintenant redémarrer le serveur web pour qu’il prenne en compte toutes les modifications. Pour ce
faire, exécutez la commande suivante:
En tapant dans le navigateur de hera ou hermes : http//10.11.11.9/mediawiki, on obtient cette page ci-dessous.
Configuration de MediaWiki
Pour configurer MediaWiki, nous devons ouvrir un navigateur web et taper dans l'adresse
http://localhost/mediawiki ou bien http:// 10.11.11.9/mediawiki.
Nous devons ensuite cliquer sur « set up the wiki » et suivre les instructions qui apparaissent à l’écran.
On clique sur continuer jusqu’à la dernière étape. On voit bien le fichier LocalSettings.php
205
Après avoir téléchargé le fichier en question, qui se trouve sur le poste hera2 dans le repertoire Download. On va
éditer le fichier pour le configurer à nos besoins.
On remplace la valeur mediawiki par wiki. C’est plus court à écrire
On sauvegarde le fichier. Maintenant que le fichier se trouve sur le poste hera2, il faut le copier dans la machine
poseidon en utilisant la commande scp
On va vérifier que le fichier en question se trouve bien sur notre poste poseidon
206
Maintenant notre wiki est un site, donc on doit le rajouter à notre zone DNS, dans le fichier de configuration
db.equitable.net pour qu’il soit le cname de notre domaine poseidon.equitable.net. On redémarre bind9
Comme notre wiki est un site donc un virtualhost. On va créer cela dans le repertoire /sites-available, on édite le
fichier wiki pour le configurer en conséquence.
207
On sauvegarde le fichier et on active le site avec la commande : a2ensite wiki et on redémarre apache
Nous allons maintenant attribuer les droits pour la sécurité de notre wiki. Pour ce faire, exécutez la commande
suivante :
On rentre dans le navigateur de hermes ou hera2 et on tape : http://wiki.equitable.net
208
Notre wiki est installé et on peut y accéder facilement.
Configuration du service ftp sécurisé sur poseidon
FTP, est un protocole de communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Il
permet, depuis un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou encore de supprimer
ou de modifier des fichiers sur cet ordinateur. Ce mécanisme de copie est souvent utilisé pour alimenter un site
web hébergé chez un tiers.
Comme l’échange d’informations se fait en clair, La variante de FTP est protégée par les protocoles SSL ou TLS, il
obéit à un modèle client-serveur. Par convention, deux ports sont attribués (well known ports) pour les connexions
FTP : le port 21 pour les commandes et le port 20 pour les données.
209
On installe le service avec la commande : apt-get install proftpd
Configuration proftpd sur poseidon
On édite le fichier /etc/proftpd/proftpd.conf, on désactive le ipv6, on définit le repertoire par défaut /var/www
210
Pour sécuriser la connexion on décommente la ligne suivante :
On autorise seulement l’utilisateur local à accéder au ftp par exemple user2
Création du répertoire pour la clé et le certificat auto-signé : mkdir /etc/proftpd/ssl et on se place dans le
repertoire en q uestion pour générer une clé
211
Création du certificat
Édition de /etc/proftpd/tls.conf et on décommente les lignes suivantes :
On sauvegarde et on relance le service
212
On ajoute 2 règles iptables pour autoriser le port 20 et 21
On teste de connexion avec un client ftp comme WinSCP installé sur hermes
213
Installation du serveur jupiter (archivage.net)
Notre poste jupiter est muni d’un système d’exploitation linux de la famille Redhat (CentOs). Pour l’installer, on va
commencer avec l’image netinstall qui se trouve sur titan et on continue l’installation via une url, une version
caractère minimale.
214
On commence avec 512 Mo de RAM mais une fois l’installation terminée, on réduira cette quantité
On alloue 8 Go au disque dur
215
On choisit la langue « anglais »
On choisit un clavier anglais, c’est plus pratique
216
On sélectionne une installation via une url
On rentre l’adresse de l’url
217
On sélectionne la zone géographique pour le réglage de l’horloge
218
On rentre le mot de passe root
219
On redemmarre
Configuration du service dns
Configuration des interfaces
Une fois le poste installe, il faut configurer les interfaces réseau de jupiter. Selon le schéma du projet, elle en a 2.
Une interface en Nat (eth0) et une autre en interne (eth1).
220
On commence avec eth0 : on se met sur le repertoire /etc/sysconfig/network-scripts. On édite le fichier ifcfgeth0 et on met le paramètre ONBOOT à yes. On sauvegarde et on vérifie l’adresse de nos interfaces avec la
commande : ip a
Installation mise en place du service dns sur le poste jupiter
La configuration se fait en plusieurs étapes :
1ere étape : on installe bind avec la commande suivante :
2eme étape : on assigne une adresse statique à notre interface eth1
221
3eme étape : on assigne un nom FQDN à notre serveur jupiter
4eme étape : on ajoute une entrée dans le fichier /etc/hosts
5eme étape : on ajoute l’adresse ip du serveur au fichier resolv.conf
Une fois les prérequis du DNS terminés, on passe à la configuration principale. On édite le fichier /etc/named.conf
et on le modifie à nos besoins
6eme étape : Maintenant on édite le fichier /etc/named.rfc1912.zones et on applique les changements
222
7eme étape : On va créer la zone directe forward et inverse reverse
8eme étape : on édite la zone forward
223
9eme étape : on édite la zone reverse
10eme étape : on affecte les permissions aux fichiers forward et reverse
11eme étape: on démarre le service en tapant :
224
12eme étape : on redémarre et on test notre dns avec la commande dig
Deploiement du poste vesta via l’outil kickstart
Kickstart : installation et mise en place
Kickstart est un outil qui vous permet de faire des installations personnalisées automatiques sans intervention de
l'utilisateur via le réseau. Le fichier kickstart contient différentes informations de configuration et la liste des
paquets à installer.
Dans notre réseau dmz2 du projet, il nous est demandé d’installer un machine centos6.4 en utilisant une image cd
ou dvd (jupiter). La machine jupiter, une fois installée, elle génère un fichier de réponse (kickstart) dont on va s’en
servir pour automatiser l’installation d’un autre poste Vesta.
225
Pour automatiser l’installation de Vesta il faut :
i)
Configurer PXE : yum install tftp-server
On édite le fichier /etc/xinetd.d/tftp et mettre le paramètre disable a « no »
On redémarre xinetd: service xinetd start; chkconfig xinetd on
On installe syslinux: yum install syslinux:
On copie les fichiers suivants du répertoire syslinux vers le répertoire tftp : /var/lib/tftpboot
cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot/
cp /usr/share/syslinux/menu.c32 /var/lib/tftpboot/
cp /usr/share/syslinux/memdisk /var/lib/tftpboot/
cp /usr/share/syslinux/mboot.c32 /var/lib/tftpboot/
cp /usr/share/syslinux/chain.c32 /var/lib/tftpboot/
On crée un répertoire pour notre menu pxe qu’on appellera pxelinux.cfg
mkdir -p /var/lib/tftpboot/pxelinux.cfg
On crée un répertoire de base pour l’image de CentOs qu’on veut installer :
mkdir -p /var/lib /tftpboot/images/centos/x86_64/6.4
Si on fait un ll ou un ls pour voir que les répertoires et les fichiers sont bien là :
226
Pour chaque "Release" et "ARCH" copier les fichiers vmlinuz et initrd.img depuis le répertoire /images/pxeboot/
du "disque cd ou dvd " au repertoire /tftpboot/images/centos/$ARCH/$RELEASE
On télécharge une image de centos 6.4 minimale sur notre poste jupiter
wget http://centos.mirror.iweb.ca/6.4/isos/x86_64/CentOS-6.4-x86_64-minimal.iso
On monte l’image de notre centos sur le répertoire /media comme ceci:
mount -o loop -t iso9660 image.iso /media
On va vérifier l’emplacement de nos 2 fichiers vmlinuz et initrd.img
On copie vmlinuz et initrd.img dans notre cas, à partir de /media/isolinux / vers le répertoire
/var/lib/tftpboot/centos/images/x86_64/6.4
cp /media/isolinux/initrd.img /var/lib/tftpboot/images/centos/x86_64/6.4
cp /media/isolinux/vmlinuz /var/lib/tftpboot/images/centos/x86_64/6.4
On vérifie que les deux fichiers sont bel et bien dans le répertoire:
ls var/lib/tftpboot/images/centos/x86_64/6.4
227
ii)
Un service dhcp configuré de façon à fournir les adresse ip aux postes qui sont dans le réseau yum
install dhcp
On rajoute les lignes suivantes dans le fichier/etc dhcp/dhcpd.conf :
allow booting;
allow bootp;
option option-128 code 128 = string;
option option-129 code 129 = text;
next-server 172.16.192.3;
filename "pxelinux.0";
On adapte notre firewall en rajoutant les 2 règles suivantes pour autoriser le dhcp
iptables -A INPUT –p udp --dport 67 -j ACCEPT
iptables -A INPUT –p udp --dport 68 -j ACCEPT
On redémarre le service dhcp : service dhcpd start, chkconfig dhcpd on.
On crée un menu (fichier default) pour notre os (système d’exploitation) sélectionné et le configurer par défaut
après avoir téléchargé le pxe : joe /var/lib/tftpboot/pxelinux.cfg/default et on insère les lignes suivantes :
228
iii)
Installer un serveur web (apache), celui-ci va servir de dépôt de l’image de l’installation : yum install
httpd –y
Une fois le service httpd installé, on va créer un répertoire centos dans /var/www/html/ et on mettra dans ce
répertoire l’image de notre centos et on rajoutera le fichier kickstart anaconda-ks.cfg (on lui donnera le nom
ks.cfg)
cp -ar /media/. /var/www/html/centos/
cp /root /anaconda-ks.cfg /var/www/html/centos/ks.cfg
Note importante : donner les permissions sur le repertoire /var/www pour avoir l’accès :
chmod 755 /var/www
Pour que le fichier ks.cfg soit lu par les autres il faut lui donner les permissions comme ceci
chmod 664 /var/www/html/centos/ks.cfg
On vérifie que l’image et le fichier ks.cfg sont bien là : ls /var/www/html/centos
On va ajuster le fichier ks.cfg à nos besoins pour automatiser l’installation de Vesta, on édite le fichier
229
230
Une fois terminé, on rajoute une règle iptables pour ouvrir le port 80
On redémarre le service httpd : service http start et chkconfig httpd on
On ouvre également le port 69 pour le service tftp
On va créer une nouvelle machine Vesta on va la configurer pour quelle démarre sur le réseau
231
232
233
234
On vérifie les interfaces réseau de notre poste
Une fois la machine vesta déployée, on va lui donner un nom en éditant le fichier /etc/sysconcofig/network
On sauvegarde le fichier et on redémarre la machine avec init 6
Configuration d’un tunnel vpn (jupiter-zeus)
Installation et mise en place d’un tunnel vpn sur zeus (openvpn)
Openvpn est un logiciel libre, capable de créer des tunnels sécurisés, le plus souvent entre deux réseaux distants.
Notre machine hôte g4b dispose de deux adresses ip : 205.236.45.155 et 205.236.45.156
On ajoute une règle de port forwarding au niveau de la VirutalBox de zeus pour le tunnel VPN
235
On commence par installer openvpn sur zeus en rentrant la commande suivante :
Sur jupiter :
On ajoute une règle de port forwarding au niveau de la VirutalBox de jupiter pour le tunnel vpn
On rentre cette suite de commandes dans l’ordre
Yum install rpm-build
Yum install autoconf.noarch
Yum install zlib-devel
Yum install pam-devel
Yum install openssl-devel
Yum install gcc
Wget http://openvpn.net/release/openvpn-2.0.9.tar.gz
Wget http://openvpn.net/release/lzo-1.08-4.rf.src.rpm
Rpmbuild - -rebuild lzo-1.08-4.rf.src.rpm
Rpm –Uvh /root/rpmbuild/RPMS/x86_64/lzo-*.rpm
Rpmbuild -tb openvpn-2.0.9.tar.gz
Rpm -Uvh /root/rpmbuild/RPMS/x86_64/openvpn-2.0.9-1. x86_64.rpm
Modprobe tun
Cd /etc/openvpn
Openvpn --genkey --secret shared.key
236
Une fois la clé secrète générée dans le poste jupiter, il faudra la partager avec zeus. Pour cela, on va la copier et la
coller dans le repertoire /etc/openvpn de zeus avec le même nom de fichier (shared.key)
NB : j’ai des connexions ssh à partir d’ariel vers jupiter et vers zeus donc ça facilite le copier-coller du fichier
shared.key.
On redémarre le service
On voit bien que le démarrage a échoué, pour remédier à cela on va désactiver la sécurité selinux
On édite le fichier /etc/sysconfig/selinux et on met la valeur du paramètre selinux a ‘’disabled’’
On sauvegarde le fichier et on redémarre le poste
On vérifie si la nouvelle interface vpn est ajoutée
237
On va également créer un fichier de configuration openvpn.conf qu’on déposera dans le repertoire /etc/openvpn,
on ajoute les routes et la clé partagée
On vérifie les routes disponibles en tapant : route, une nouvelle route 10.11.11.0 via 10.14.14.2 s’est créée
238
Sur zeus :
On a installé openvpn et on dépose la clé partagée générée par jupiter, il reste à créer le fichier de configuration
openvpn.conf qu’on déposera dans le répertoire /etc/openvpn
On vérifie la création de l’interface vpn sur zeus en tapant ifconfig
On vérifie également les routes disponibles. On voit bien que la route 172.16.192.0 via 10.14.14.1 est ajoutée
239
On passe au test de ping pour vérifier la connexion vpn entre jupiter et zeus
240
Installation et configuration de rsync sur vesta
Rsync (synchronisation à distance) est un logiciel plus couramment utilisé pour la copie et la synchronisation des
fichiers et des répertoires à distance ou localement dans les systèmes Linux / Unix. Avec l'aide de la commande
Rsync, on peut copier et synchroniser nos données à distance et localement dans des répertoires, sur des disques
et des réseaux, effectuer des sauvegardes de données et de mise en miroir entre deux machines Linux.
Avantages et caractéristiques de commande Rsync




Il copie efficacement et les fichiers de synchronisation en provenance ou à un système distant.
Prise en charge des liens de copie, des dispositifs, des propriétaires, des groupes et des autorisations.
Il est plus rapide que scp (Secure Copy), car Rsync utilise le protocole à distance de mise à jour qui
permet de transférer seulement la différence entre les deux ensembles de fichiers. Première fois, il copie
tout le contenu d'un fichier ou d'un répertoire de la source à la destination, mais la prochaine fois, il ne
copie que les blocs modifiés et d'octets à la destination.
Rsync consomme moins de bande passante car il utilise la compression et la décompression méthode lors
de l'envoi et la réception de données aux deux extrémités.
-On installe le service rsync sur le poste vesta
Une fois rsync installé, on édite le fichier /etc/xinetd.d/rsync et on commente la ligne disable=yes et on change la
valeur de flags par ipv4
On sauvegarde le fichier. Comme rsync établit ses connexions sur le port TCP 873 par défaut, on va rajouter une
règle iptables
241
-Sur apollon rsync est déjà installé grâce à la librairie csw que j’ai installé précédemment
On va rajouter des règles iptables sur zeus et sur jupiter
Sur zeus
Sur jupiter
On va à présent faire un backup avec rsync du repertoire /export/home de apollon vers /home/mydocs de vesta
rsync -avuz --stats --delete --rsync –path=/opt/csw/bin/rsync [email protected]:/export/home /home/mydocs
242
Devis pour la mise en place du serveur Solaris
Ce serveur regroupera l'ensemble des répertoires des utilisateurs; ce dernier sera accessible de l'interne sous
forme de partage « Windows » grâce au protocole SAMBA et il sera également disponible d'accès à partir de la
DMZ grâce au service scp, sftp et rsync (backup). Il sera installé en version graphique, puis utilisé seulement en
version caractères ou Webmin.
Installation et mise en place du serveur de fichier Solaris
Solaris est un système d'exploitation UNIX propriétaire développé à l'origine par Sun Microsystems. Dans notre
projet le serveur Solaris (apollon) regroupera l'ensemble des répertoires des utilisateurs; ce dernier sera accessible
de l'interne sous forme de partage « Windows » grâce au protocole SAMBA et il sera également disponible d'accès
à partir de la DMZ grâce au service scp, sftp et rsync (backup).
Installation du serveur Solaris
Sur la virtual box on procède de la même manière en suivant les étapes suivantes :
243
On alloue au départ 1024 Mo de RAM pour l’installation et on diminuera cette quantité après.
On alloue 25 Go de disque dur
244
On choisit un clavier anglais, c’est plus pratique
245
On indique que notre machine est sur le réseau et quelle utilise le service dhcp pour se procurer une adresse ip
246
247
On sélectionne les paramètres géographiques pour le réglage de l’heure et la langue
248
249
On rentre le mot de passe root et on tape f2 (suivant)
250
251
On rentre le nom de la machine : apollon et on clique sur installer maintenant
252
On attend la fin de l’installation
Configuration du protocole SAMBA et Active Directory
253
Le protocole SMB est utilisé par Microsoft Windows pour partager des disques et des imprimantes. En utilisant les
outils Samba d'Andrew Tridgell, les systèmes Unix (Linux inclus) peuvent également partager des disques et des
imprimantes avec des hôtes Windows.
Avec Samba, on peut :
- Partager un disque Linux(Unix) pour des machines Windows ;
- Accéder à un disque Windows depuis une machine Linux ;
- Partager une imprimante Linux pour des machines Windows ;
- Utiliser une imprimante Windows à partir d'un hôte Linux.
Sous Solaris 10 samba est déjà installé, pour le vérifier, on ouvre une session terminal sous Solaris et on rentre le
petit script. On voit les informations affichées.
Si on veut vérifier la version de samba installée dans notre machine, on rentre :
Le fichier de configuration de samba se trouve dans le repertoire : /etc/sfw : smb.conf-example
254
Pour configurer samba, on va dans un premier temps copier le fichier de configuration par défaut dans un autre
fichier qu’on appellera smb.conf.
Pour cette mise en place on va procéder en plusieurs étapes :
i-
configurer le fichier smb.conf de SAMBA dans Solaris. On édite ce fichier et on rajoute les lignes
suivantes :
255
On sauvegarde le fichier smb.conf
256
ii-
rajouter les usagers de Active Directory de hermes dans Solaris (apollon)
iii- Créer des mots de passe. On nous demande de rentrer un mot de passe et le confirmer (il faut que le mot de
passe soit le même que celui de Windows 2008)
On fait la même chose avec tous les utilisateurs sans oublier de donner les mêmes mots de passes que ceux
d’Active Directory
iv- création d’une gpo la redirection du dossier mes documents vers le serveur
SAMBA
Sur hermes on ouvre le gestionnaire de stratégie de groupe et on crée une nouvelle gpo
On édite la gpo
257
v-
ajout d’un script écrit en VB qui s’exécute à l’ouverture de session utilisateur pour forcer la redirection de
dossier mes documents. On édite la gpo créée précédemment :
258
On donne un nom au script et on le rajoute
Le script contient les lignes suivantes :
259
vi-
vii-
on exécute gpupdate dans hermes et on redémarre le serveur
Joindre le serveur apollon au domaine w2008.org
Sous Solaris en mode terminal, on rentre la commande suivante :
260
viii-
on vérifie que les utilisateurs et les groupes d’Active Directory sont bien dans apollon
261
viv-
on ouvre une session sur hera1 (Windows 7) avec un usager (user2) et on va créer un repertoire dans le
dossier Documents dans lequel on va mettre un fichier quelconque
x-
on vérifie si on peut voir le dossier et le fichier d’user2 dans le serveur apollon
262
On clique sur l’icône Windows Network (SMB)
On clique sur l’icône Windows 2008
On clique sur l’icône hera1
263
On clique sur l’icône Users
On clique sur user2
264
On clique sur Documents
On voit bien le repertoire mondoc2 d’user2. On clique dessus
Enfin on voit le fichier créé (test2.txt) dans le repertoire mondoc2
265
Le contenu du fichier :
266
267
268
269
270
271
272