Projet BMS
Projet BMS
Liste des missions du projet BMS.
Mission 1 : Installation du serveur de domaine BMS.local (ServeurDomBMS), du serveur de fichiers ServeurFicBMS, de l'imprimante HPLaserJet5N, et du PC client PC1.
Mission 2 : Installation et configuration générale du Routeur-Pare-feu Pfsense.
Mission 3 : Gestion de l'Active Directory (utilisateurs, droits d'accès aux dossiers, GPO).
Mission 4 : Supervision avec Nagios.
Mission 5 : Mappage automatique d'un lecteur réseau.
Mission 6 : Installation du serveur de Bases de Données ServeurBDBMS, du serveur Web ServeurWebDMZ, et de l'application de gestion des frais.
Mission 7 : Configuration des règles de filtrage du routeur-pare-feu Pfsense.
-
Mission 1 : Installation du serveur de domaine BMS.localServeurDomBMS, du serveur de fichiers ServeurFicBMS, de l'imprimante HPLaserJet5N, et du PC client PC1.
Schéma du réseau.
- Création de la VM à partir du clone Windows 2022 sur Vsphere dans le dossier de notre projet
Mission 1 A : Installation du contrôleur de domaine
Travail a faire :
Installer le serveur de contrôleur de domaine avec les rôles ADDS / DNS / DHCP.
Modifier l'adresse IP en 192.168.10.1
Modifier le nom en ServeurDomBMS
Modification du nom du serveur
Modification de l'adresse IP du serveur
Installation des rôles ADDS DNS et DHCP.
"Ajouter une nouvelle forêt" nous mettons "BMS.local"
Nous renseignons un mot de passe. Dans notre cas : Windows2022
Nom du NetBIOS -> BMS
Mission 1 B : Installation d'un serveur du serveur de fichier
Travail a faire :
Installer le serveur appelé ServeurFicBMS qui sera le serveur de fichier sur le domaine BMS.local
Réalisation du travail :
Configuration du réseau du serveur ServeurFicBMS
- Adresse IP : 192.168.10.4
- Masque : 255.255.255.0
- Passerelle : 192.168.10.254
- DNS : 192.168.1 ( serveur doms )
Il faut maintenant joindre le serveur de fichiers au domaine GSB.local
Liens d'accès de modification du domaine : Panneau de configuration -> Joindre le domaine -> Bouton Modifier
Un pop-up apparaitra avec écrit : Bienvenue dans le domaine DMS.local. Puis redémarrer l'ordinateur
Mission 1 C : Installation du poste client PC1
Travail a faire :
Installer le PC ( sa configuration IP doit être obtenue du DHCP, il doit être connecté au domaine BMS.local )
Mission 1 D : installation/déploiement de
l'imprimante sur les postes
Travail a faire :
- Installer l'imprimante LaserJet 5200 en réseau (adresse IP 192.168.10.50 ; configurer le
serveur ServeurDomBMS comme serveur d'impression pour cette imprimante, puis configurer le
déploiement automatique de cette imprimante sur tous les postes (serveurs et clients) du domaine
BMS - Vérifier le bon fonctionnement de l'imprimante sur le poste PC1.
Pour installer l’imprimante en réseau et mettre le ServeurDoms comme serveur d'impression nous devons aller dans Outils -> DHCP dans contenu de DHCP -> Bouton Action puis Nouvelle réservation
Maintenant nous allons nous rendre dans le Panneau de configuration -> Matériel -> Périphériques et imprimantes
Pour notre cas vue qu'il s'agit d'une imprimante qui n'existe pas nous allons faire -> L'imprimante souhaitée n'est pas indiquée
Puis cocher la casse -> Ajouter une imprimante local ou réseau avec des paramètres manuels
Puis sur la deuxième page cliquer sur Crée un nouveau port avec la configuration suivante
Dans la partie Informations supplémentaires requises concernant le port
Sélectionner Standard et Generic Network Card
Puis configurer le serveur ServeurDomBMS comme serveur d'impression pour cette imprimante
Nous allons ajouter le rôles pour le serveur d'impression
Nous mettons en place la stratégie de groupe -> Gestionnaire de serveur -> Outils -> Gestion des stratégies de groupes
Nom : LaserJet5200 | Objet starter GPO source : Aucun
Puis lier l'objet de statégie de groupe
Après avoir cliquer sur Lier un objet de stratégie de groupe existant sélectionner LasetJet5200
Puis déployer l'imprimante
Mettre l'accès au serveur pour pouvoir y accéder depuis le PC1
Vérifier que l'imprimante et bien detecté sur le serveur FicBMS
Cela permet de vérifier que l'imprimante et bien connecté au domaine
Mission 2 : Installation et configuration générale du Routeur-Pare-feu Pfsense
Mission 3 : Gestion de l'Active Directory ( utilisateurs, droits d'accès aux dossiers. GPO )
Mission 3 A : Installation / déploiement de logiciels sur les postes
Travail a faire
Configurer le déploiement automatique du logiciel Z-Zip sur tous les postes ( serveurs et clients ) du domaine BMS
- Configurer le déploiement automatique du logiciel Gantt Project uniquement sur les postes clients ( PC1 et autres clients futurs ) du domaine BMS.
- Vérifier le bon fonctionnement des déploiements de Gantt Project, et Z-Zip sur le poste PC1.
Réalisations :
Nous allons crée une nouvelle stratégie. Pour cela se rendre sur Gestion de stratégie de groupe clique droit puis nouveau puis lui donnée un nom
Puis nous allons lier la stratégie pour que cela s'enregistre plus rapidement car la mise a jour des paramètre GPO peut mettre un certains temps.
Sur le PC1 nous allons exécutez la commande gpupdate /force afin de permettre d'actualiser les stratégies de groupe.
Puis relancer les postes en questions
Mission 3 B : Création des utilisateurs avec leur dossier personnel de base ; configuration d'autorisations spécifiques à certains dossiers
Travail a faire :
- Sur le serveur ServeurFicBMS, créer le dossier REPBASES et configurer ses autorisations de partage et ses autorisations
de sécurité NTFS ; REPBASES contiendra les dossiers personnels de base de chaque utilisateur (TP SI5 de référence : TP2
A - Création de comptes-utilisateurs ).
- Créer les utilisateurs suivants (chacun avec son dossier personnel) (pour plus de simplicité, le mot de passe de chaque
utilisateur ne changera jamais) ; vérifier ensuite que chaque utilisateur a son dossier dans REPBASES et qu'il est le seul à
pouvoir y accéder, hormis les administrateurs et le système :
On crée le dossier REPBASES puis nous le partageons au réseau GSB.local
On oublie pas de cliqué sur Autorisations est de mettre Contrôle Total
On enlève l'héritage et on oublie pas de supprimer les Utilisateurs sinon il vous avoir accès au fichiers des autres
Puis on applique
Maintenant nous allons crée les utilisateurs est crée les dossiers de chaque utilisateurs dans le dossier REPBASES
Pour cela on va sur le Gestionnaire de serveur -> Outils ->Utilisateurs et ordinateurs Active Directory
Clique droit sur Users -> Nouveau -> Utilisateur
Puis on renseigne les informations des différents utilisateurs que nous voulons crée
Après avoir crée nos utilisateurs on les sélectionne tous puis clique droit -> propriétés -> Profil est on mets le chemin d'accès
Dans notre cas on mets \\SERVEURDEFICHIE\REPBASES\%username%
Si tout a bien fonctionné les fichiers des utilisateurs devrais apparaitre dans le dossier REPBASES
Création des groupes d'utilisateurs
Nous allons crée les groupes Commerciaux et Juridique et ajouter les utilisateurs au groupes concernées
Pour y accéder Gestionnaire de serveur -> Outils > Utilisateurs et ordinateurs Active Directory puis clique droit dans le dossier Users ( en domaine local )
Pour ajouter les utilisateurs au groupe on sélectionne les utilisateurs au auquel on veut ajouter au groupes puis clique droit -> Ajouter à un groupes
Ensuite on ajoute le nom du groupes puis OK afin d'ajouter les utilisateurs au groupes
Par la suite nous allons créer et partager des dossiers directement relié au groupes que nous avons crée ( sur le serveurs de Fichiers )
On crée le fichier on le partage on fais une recherche de plus de personnes
On ajoute le nom du groupe ainsi que Vérifier les noms et ajouter Lecture/écriture afin qu'il puisse écrire et lire
On se connecte a l'un des compte associé au groupe pour vérifier que cela fonctionne et qu'on est bien accées au dossier en questio
INFO JULIEN ( sur 1 dossier mettres les 2 groupes et bien joué sur les autorisation )
Maintenant nous allons configurer les permissions de nos fichiers DocJuridique & DocCommerciaux
Pour le dossier DocJurique
- Sur le dossier DocJuridique
- Dans paramètre avancé puis partage : tout autorisé et désactiver l'héritage
- Permissions : Lire Créer Modifier Supprimer
Et on ajoute aussi les commerciaux mais nous mettons seulement : Lecture & Affichage du contenu du dossier
- Sur le dossier DocCommerciaux
Mission 4 : Supervision Nagios.
Pour installer Nagios nous allons chercher le .sh de l'installateur Nagios sur le serveur du BTS avec la commande suivante :
smb://192.168.216.71/docs
On donne les permissions au fichiers pour s'éxécuter.
On va juste update les packet du serveur linux
apt update
Puis on lance l'installation de Nagios
./InstallNagios4v2.sh
Connexion a Nagios
User : nagiosadmin
Pass : nagios
Nous fessons
mousepad /usr/local/nagios/etc/objects/templates.cfg
On ajoute aussi ces trois lignes dans la définition du serveur ( define serveur, name genric service )
Nous allons maintenant configurer notre réseau.cfg ou nous allons stockés les infromations que nous allons supervisé
Le fichier serra stocké dans /usr/local/nagios/etc/objects/
Nous allons éditier le fichier nagios.cfg
mousepad /usr/local/nagios/etc/nagios.cfg
et on rajoute la liste
cfg_file=/usr/local/nagios/etc/objects/monReseau.cfg
Maintenant on va crée le fichier MonReseau.cfg et le modifier
mousepad /usr/local/nagios/etc/objects/monReseau.cfg
Puis on ajoute les machines qu'on souhaite supervisé ex:
Define host {
use generic-host
host_name SERVEUR1
alias Serveur Windows Serveur1
address 192.168.3.1
}
Supervision http, dhcp, dns
1. Installation des rôles sur le serveur ServeurDOMBMS :
Sur le serveur ServeurDOMBMS, installez les rôles Serveur Web (IIS) et DHCP. Ces rôles sont nécessaires car ils seront supervisés dans les étapes suivantes du TP.
Pour que la supervision du service DHCP fonctionne correctement, le serveur DHCP supervisé doit disposer d’une étendue configurée pour distribuer des adresses IP dans la même plage que celle du serveur Nagios.
2. Vérification et configuration du DHCP sur SERVEUR1 :
Sur SERVEUR1, vérifiez que le serveur DHCP possède bien une étendue permettant de distribuer des adresses IP dans la plage 192.168.3.0/24, correspondant à celle du serveur Nagios.
Si cette étendue n'existe pas, créez-la.
3. Définition des services supervisés :
Configurez la supervision des services HTTP, DNS et DHCP en utilisant les commandes suivantes :
- check_http1 pour vérifier que les serveurs HTTP répondent correctement aux requêtes HTTP,
- check_dns1 pour contrôler que les serveurs DNS répondent aux requêtes DNS,
- check_dhcp1 pour tester que les serveurs DHCP répondent correctement aux requêtes DHCP.
Ces commandes doivent être définies conformément aux notices d’utilisation des plugins check_http, check_dns et check_dhcp fournies ci-dessous.
Autorisation des plugins nécessitant des droits root :
Pour permettre l’utilisation de certains plugins, notamment le plugin check_dhcp, qui requièrent des commandes nécessitant des droits root, il est nécessaire de modifier leurs permissions d’accès.
sudo chown -R root:root /usr/local/nagios/libexec/*
sudo chmod -R u+s /usr/local/nagios/libexec/*
Installation de l'agent SNMP sur chaque poste du réseau
Installation de l'agent SNMP sur les postes à superviser :
Installez l’agent SNMP sur chacun des dispositifs à superviser, à savoir : ServeurDOMBMS, ServeurFICBMS, PC1, PFSENSE, ainsi que sur le serveur Debian hébergeant Nagios.
Pour simplifier la configuration, utilisez les mêmes noms de communauté (public et private) sur tous les dispositifs supervisés.
⚠️ Attention : Les noms de communauté sont sensibles à la casse, veillez à respecter leur exactitude.
Ajout de la fonctionnalité Service SNMP :
Commencez par ajouter la fonctionnalité Service SNMP au serveur. Pour ce faire :
- Ouvrez le Gestionnaire de serveur.
- Accédez à Gérer > Ajouter des rôles et fonctionnalités.
- Sur SERVEUR1, ajoutez la fonctionnalité Service SNMP.
Configuration du service SNMP :
- Accédez à Panneau de configuration > Système et sécurité > Outils d'administration.
- Dans la liste des outils, sélectionnez Services.
- Recherchez et sélectionnez le Service SNMP dans la liste des services.
- Vérifiez que le service est démarré (par défaut, il doit être configuré en démarrage automatique).
Paramètres à configurer :
- Dans l’onglet Agent, cochez toutes les cases pour activer tous les services.
- Dans l’onglet Sécurité :
Installer l'agent & le configurer SNMP sur Debian
apt install snmpd snmp
mousepad /etc/snpm/snpmd.conf
1. Configurer l’écoute réseau du démon SNMP :
Ajoutez la ligne suivante pour permettre au démon snmpd d’écouter le réseau :
AgentAddress udp:161,udp6:[::1]:161
Ensuite, supprimez toutes les autres directives AgentAddress pour éviter qu’il n’écoute uniquement l’hôte local.
2. Définir la hiérarchie des OID à rendre visible :
Ajoutez la ligne suivante pour rendre la hiérarchie des OID accessible :
View systemonly included .1.3.6.1
Supprimez toutes les autres définitions View Systemonly existantes.
3. Vérifier la configuration de la communauté publique :
Assurez-vous que le nom de communauté publique est défini comme suit :
default -V systemonly
rocommunity public
Puis on restart l'agent snmp afin d'enregister la configuration
systemctl restart snmpd
Installer l'agent SNMP sur Pfsense
Dans l'interface graphique de pfSense, accédez à la section Services SNMP et activez l'option SNMP Daemon Enable. Vérifiez également que le mot de passe pour la lecture est défini sur public.
Mission 5 : Mappage automatique d’un lecteur réseau
Créer un script PowerShell de mappage automatique d'un lecteur réseau (qui sera exécuté au démarrage d'une session utilisateur) :
Créer un script PowerShell nommé Mappage.ps1 puis copiez le script ci dessous sur le serveur
# Utilisateur actuel
$login = $Env:USERNAME
# Vérif des groupes
$groups = (Get-ADUser -Identity $login -Properties MemberOf).MemberOf
# Connecter le lecteur R: si membre du groupe Commerciaux
if ($groups -contains "CN=Commerciaux,CN=Users,DC=BMS,DC=local") {
New-PSDrive -Name R -PSProvider FileSystem -Root "\\ServeurFicBMS\DocCommerciaux" -Persist
}
# Connecter le lecteur S: si membre du groupe Juridique
if ($groups -contains "CN=Juridique,CN=Users,DC=BMS,DC=local") {
New-PSDrive -Name S -PSProvider FileSystem -Root "\\ServeurFicBMS\DocJuridique" -Persist
}
Placez ce script dans un dossier partagé accessible, tel que \\192.168.10.4\Public ou un autre répertoire partagé.
Puis ajouter la stratégie dans Paramètres utilisateur → Stratégies → Paramètre Windows → Scripts (Ouverture de
session/Fermeture de session) → Ouverture de session.
Ajouter le chemin d’accès au script Powershell.
Après avoir fais ceci pour aller plus vite on effectue un GPUpdate
gpupdate /force
Configuration du poste client
Installation du modul RSAT
En Powershell ( en tant qu'administrateur on effectue la commande suivante )
Get-WindowsCapability -Name RSAT.ActiveDirectory* -Online | Add-WindowsCapability -Online
Après l'installation de RSAT on redémarre le PC1 est on vérifie que le disque R ou S soit présent
Mission 6 : Installation du serveur de Bases de Données ServeurBDBMS, du serveur Web ServeurWebDMZ, et de l'application de gestion des frais.
Après avoir installé le serveur Serveur-BDBMS configuer l'ip est ajoutez le au domaine existant
Adresse IP : 192.168.10.2
Masque : 255.255.255.0
Passerelle : 192.168.10.254
DNS : 192.168.10.1
Domaine : BMS.local
On install MySQL Server
On vérifie que tout est fonctionnel :
On ouvre l'invite de commande MySQL : MySQL 5.6 Command Line Client
On entre les commande si dessous :
create database BMS_frais;
use BMS_frais;
show tables;
source c:/BMS_frais_structure.sql
show tables;
source c:/BMS_frais_insert_tables_statiques.sql
select * from visiteur;
On obtient ceci :
Maintenant on crée l'utilisateur qui va pouvoir accéder a la base de données :
create user "utilisateurweb" identified by "secret";
grant all privileges on BMS_frais.* to "utilisateurweb";
flush privileges;
select user from mysql.user;
show grants for "utilisateurweb";
Et in vérifie que le site sois accessible : ( Mission 6B nécessaire )
Installation et configuration du serveur Web DMZ
Après avoir installé le serveur Serveur-WEBDMZ configuer l'ip
Adresse IP : 172.16.10.1
Masque : 255.255.0.0
Passerelle : 172.16.10.254
DNS : 8.8.8.8
Après la configuration réseau on installe le rôle Serveur Web IIS
Après l'installation on copie la dernière version (Non-Thread Safe (NTS)) du dossier PHP 7 fourni (php-7.2.11-nts-Win32-VC15-x64) dans le dossier C:\Program Files
On renomme le fichier php.ini-development en php.ini
Ajoutez le chemin du dossier C:\Program Files\php-7.2.11-nts-Win32-VC15-x64
à la variable d’environnement Path en suivant ces étapes :
- Ouvrez le Panneau de configuration : Allez dans Système et sécurité, puis dans Système.
- Accédez aux paramètres système avancés : Cliquez sur le lien Paramètres système avancés dans le menu latéral.
- Ouvrez les Variables d’environnement : Dans la fenêtre qui s’affiche, sélectionnez l’onglet Avancé, puis cliquez sur le bouton Variables d’environnement.
- Modifiez la variable Path :
- Dans la section Variables système, sélectionnez la ligne Path et cliquez sur Modifier.
- Dans la fenêtre qui s'ouvre, cliquez sur le bouton Nouveau et ajoutez le chemin
C:\Program Files\php-7.2.11-nts-Win32-VC15-x64
.
- Validez les modifications : Cliquez sur OK pour fermer les fenêtres et enregistrer les changements.
Dans le Gestionnaire IIS :
-
Accédez aux Mappages de gestionnaires :
- Cliquez sur le nom du serveur dans le panneau de gauche.
- Double-cliquez sur l'icône Mappages de gestionnaires dans le panneau central.
-
Ajoutez un mappage de module :
- Dans le panneau Action (à droite), cliquez sur le lien Ajouter un mappage de module.
-
Renseignez les champs :
- Chemin demandes :
*.php
- Module :
FastCgiModule
- Exécutable : Saisissez le chemin complet vers
php-cgi.exe
, par exemple :C:\Program Files\php-7.2.11-nts-Win32-VC15-x64\php-cgi.exe
. - Nom : Donnez un nom au mappage, par exemple :
php-7.2.1
.
- Chemin demandes :
Enregistrez les paramètres : Cliquez sur OK pour valider la configuration.
Pour vérifier l'installation de PHP, procédez comme suit :
Créer le fichier PHP de test :
- Ouvrez le Bloc-notes (ou un autre éditeur de texte).
- Saisissez le contenu suivant :
<?php
phpinfo();
?>
- 1 Enregistrez le fichier :
- Choisissez Fichier > Enregistrer sous.
- Sélectionnez le dossier
C:\inetpub\wwwroot
. - Nommez le fichier
phpinfo.php
(assurez-vous que l'extension est.php
et non.txt
). - Cliquez sur Enregistrer.
- 2 Testez le fichier dans le navigateur :
- Ouvrez un navigateur web.
- Saisissez l'URL suivante :
http://localhost/phpinfo.php
. - 3 Vérifiez l'affichage :
- Une page web bien formatée doit apparaître, affichant les paramètres actuels de votre installation PHP.
- Si la page s'affiche correctement, l'installation de PHP est réussie.
Pour que le programme PHP Manager apparaisse dans la liste des fonctionnalités de IIS, vous devez redémarrer le serveur.
Installez les pages du site bmsMVC en copiant le dossier fourni dans wwwroot. Configurez le site pour qu'il utilise la base de données BMS_frais sur le serveur MySQL (IP : 192.168.10.2). Mettez à jour le script PHP de connexion avec les informations suivantes :
- Base de données :
BMS_frais
- Identifiant :
utilisateurweb
- Mot de passe :
secret
.
Mission 7 : Configuration des règles de filtrage du routeur-pare-feu Pfsense
On rend accessible PfSense depuis un poste de la salle R211 en décochant la case Block private networks and loopback addresses dans l'interface WAN.
Mission 7 A : Règles minimum à configurer sur l'interface DMZ du Pfsense
a. Le serveur Web DMZ peut interroger le serveur de base de données via le port 3306.
b. Le serveur Web DMZ ne peut émettre aucun autre trafic vers le LAN.
c. Le serveur Web DMZ peut accéder à Internet pour des services tels que HTTP, HTTPS, FTP, et messagerie électronique.
Interface DMZ
Mission 7 B : Règles minimum à configurer sur l'interface LAN du Pfsense
a. Le LAN peut interroger le serveur Web DMZ sur le port 80.
b. Le LAN ne peut émettre aucun autre trafic vers le serveur Web DMZ.
c. Le LAN peut accéder à Internet pour des services tels que HTTP, HTTPS, FTP, et messagerie électronique.
Interface LAN
Mission 7 C : Règles minimum à configurer sur l'interface WAN du Pfsense
a. Internet peut interroger le serveur Web DMZ sur le port 80.
b. Internet ne peut émettre aucune autre connexion entrante vers le LAN ou la DMZ.