Projet BMS

• Projet BMS

Projet BMS

Liste des missions du projet BMS.

Mission 1 : Installation du serveur de domaine BMS.local (ServeurDomBMS), du serveur de fichiers ServeurFicBMS, de l'imprimante HPLaserJet5N, et du PC client PC1.

Mission 2 : Installation et configuration générale du Routeur-Pare-feu Pfsense.

Mission 3 : Gestion de l'Active Directory (utilisateurs, droits d'accès aux dossiers, GPO).

Mission 4 : Supervision avec Nagios.

Mission 5 : Mappage automatique d'un lecteur réseau.

Mission 6 : Installation du serveur de Bases de Données ServeurBDBMS, du serveur Web ServeurWebDMZ, et de l'application de gestion des frais.

Mission 7 : Configuration des règles de filtrage du routeur-pare-feu Pfsense.

1. Mission 1 : Installation du serveur de domaine BMS.localServeurDomBMS, du serveur de fichiers ServeurFicBMS, de l'imprimante HPLaserJet5N, et du PC client PC1.

Schéma du réseau.

- Création de la VM à partir du clone Windows 2022 sur Vsphere dans le dossier de notre projet 

Mission 1 A : Installation du contrôleur de domaine 

Travail a faire :

Installer le serveur de contrôleur de domaine avec les rôles ADDS / DNS / DHCP. 

Modifier l'adresse IP en 192.168.10.1

Modifier le nom en ServeurDomBMS

Modification du nom du serveur 

Modification de l'adresse IP du serveur 

Installation des rôles ADDS DNS et DHCP.

"Ajouter une nouvelle forêt" nous mettons "BMS.local"

Nous renseignons un mot de passe. Dans notre cas : Windows2022

Nom du NetBIOS -> BMS 

Mission 1 B : Installation d'un serveur du serveur de fichier 

Travail a faire :

Installer le serveur appelé ServeurFicBMS qui sera le serveur de fichier sur le domaine BMS.local 

Réalisation du travail :

Configuration du réseau du serveur ServeurFicBMS

• Adresse IP : 192.168.10.4
• Masque : 255.255.255.0
• Passerelle : 192.168.10.254
• DNS : 192.168.1 ( serveur doms ) 

Il faut maintenant joindre le serveur de fichiers au domaine GSB.local

Liens d'accès de modification du domaine : Panneau de configuration -> Joindre le domaine -> Bouton Modifier

Un pop-up apparaitra avec écrit : Bienvenue dans le domaine DMS.local. Puis redémarrer l'ordinateur 

Mission 1 C : Installation du poste client PC1

Travail a faire : 

Installer le PC ( sa configuration IP doit être obtenue du DHCP, il doit être connecté au domaine BMS.local )

Mission 1 D : installation/déploiement de
l'imprimante sur les postes

Travail a faire :

• Installer l'imprimante LaserJet 5200 en réseau (adresse IP 192.168.10.50 ; configurer le
  serveur ServeurDomBMS comme serveur d'impression pour cette imprimante, puis configurer le
  déploiement automatique de cette imprimante sur tous les postes (serveurs et clients) du domaine
  BMS
•  Vérifier le bon fonctionnement de l'imprimante sur le poste PC1.
  
  

Pour installer l’imprimante en réseau et mettre le ServeurDoms comme serveur d'impression nous devons aller dans Outils -> DHCP dans contenu de DHCP -> Bouton Action puis Nouvelle réservation

Maintenant nous allons nous rendre dans le Panneau de configuration -> Matériel -> Périphériques et imprimantes

Pour notre cas vue qu'il s'agit d'une imprimante qui n'existe pas nous allons faire -> L'imprimante souhaitée n'est pas indiquée

Puis cocher la casse -> Ajouter une imprimante local ou réseau avec des paramètres manuels 

Puis sur la deuxième page cliquer sur Crée un nouveau port avec la configuration suivante 

Dans la partie Informations supplémentaires requises concernant le port

Sélectionner Standard et Generic Network Card

Puis configurer le serveur ServeurDomBMS comme serveur d'impression pour cette imprimante

Nous allons ajouter le rôles pour le serveur d'impression

Nous mettons en place la stratégie de groupe -> Gestionnaire de serveur -> Outils -> Gestion des stratégies de groupes 

Nom : LaserJet5200 | Objet starter GPO source : Aucun 

Puis lier l'objet de statégie de groupe 

Après avoir cliquer sur Lier un objet de stratégie de groupe existant sélectionner LasetJet5200

Puis déployer l'imprimante 

Mettre l'accès au serveur pour pouvoir y accéder depuis le PC1

Vérifier que l'imprimante et bien detecté sur le serveur FicBMS

Cela permet de vérifier que l'imprimante et bien connecté au domaine 

Mission 2 : Installation et configuration générale du Routeur-Pare-feu Pfsense

Mission 3 : Gestion de l'Active Directory ( utilisateurs, droits d'accès aux dossiers. GPO )

Mission 3 A : Installation / déploiement de logiciels sur les postes

Travail a faire

Configurer le déploiement automatique du logiciel Z-Zip sur tous les postes ( serveurs et clients ) du domaine BMS

• Configurer le déploiement automatique du logiciel Gantt Project uniquement sur les postes clients ( PC1 et autres clients futurs ) du domaine BMS.
• Vérifier le bon fonctionnement des déploiements de Gantt Project, et Z-Zip sur le poste PC1.

Réalisations :

Nous allons crée une nouvelle stratégie. Pour cela se rendre sur Gestion de stratégie de groupe clique droit puis nouveau puis lui donnée un nom

Puis nous allons lier la stratégie pour que cela s'enregistre plus rapidement car la mise a jour des paramètre GPO peut mettre un certains temps.

Sur le PC1 nous allons exécutez la commande gpupdate /force afin de permettre d'actualiser les stratégies de groupe.

Puis relancer les postes en questions 

Mission 3 B : Création des utilisateurs avec leur dossier personnel de base ; configuration d'autorisations spécifiques à certains dossiers 

Travail a faire :

- Sur le serveur ServeurFicBMS, créer le dossier REPBASES et configurer ses autorisations de partage et ses autorisations
de sécurité NTFS ; REPBASES contiendra les dossiers personnels de base de chaque utilisateur (TP SI5 de référence : TP2
A - Création de comptes-utilisateurs ).
- Créer les utilisateurs suivants (chacun avec son dossier personnel) (pour plus de simplicité, le mot de passe de chaque
utilisateur ne changera jamais) ; vérifier ensuite que chaque utilisateur a son dossier dans REPBASES et qu'il est le seul à
pouvoir y accéder, hormis les administrateurs et le système :

On crée le dossier REPBASES puis nous le partageons au réseau GSB.local

On oublie pas de cliqué sur Autorisations est de mettre Contrôle Total

On enlève l'héritage et on oublie pas de supprimer les Utilisateurs sinon il vous avoir accès au fichiers des autres 

Puis on applique 

Maintenant nous allons crée les utilisateurs est crée les dossiers de chaque utilisateurs dans le dossier REPBASES

Pour cela on va sur le Gestionnaire de serveur -> Outils ->Utilisateurs et ordinateurs Active Directory

Clique droit sur Users -> Nouveau -> Utilisateur

Puis on renseigne les informations des différents utilisateurs que nous voulons crée 

Après avoir crée nos utilisateurs on les sélectionne tous puis clique droit -> propriétés -> Profil est on mets le chemin d'accès 

Dans notre cas on mets \\SERVEURDEFICHIE\REPBASES\%username%

Si tout a bien fonctionné les fichiers des utilisateurs devrais apparaitre dans le dossier REPBASES 

Création des groupes d'utilisateurs

Nous allons crée les groupes Commerciaux et Juridique et ajouter les utilisateurs au groupes concernées 

Pour y accéder Gestionnaire de serveur -> Outils > Utilisateurs et ordinateurs Active Directory puis clique droit dans le dossier Users ( en domaine local )

Pour ajouter les utilisateurs au groupe on sélectionne les utilisateurs au auquel on veut ajouter au groupes puis clique droit -> Ajouter à un groupes 

 Ensuite on ajoute le nom du groupes puis OK afin d'ajouter les utilisateurs au groupes 

Par la suite nous allons créer et partager des dossiers directement relié au groupes que nous avons crée ( sur le serveurs de Fichiers )

On crée le fichier on le partage on fais une recherche de plus de personnes 

On ajoute le nom du groupe ainsi que Vérifier les noms et ajouter Lecture/écriture afin qu'il puisse écrire et lire 

On se connecte a l'un des compte associé au groupe pour vérifier que cela fonctionne et qu'on est bien accées au dossier en questio

INFO JULIEN ( sur 1 dossier mettres les 2 groupes et bien joué sur les autorisation ) 

Maintenant nous allons configurer les permissions de nos fichiers DocJuridique & DocCommerciaux

Pour le dossier DocJurique 

• Sur le dossier DocJuridique
  • Dans paramètre avancé puis partage : tout autorisé et désactiver l'héritage 
  • Permissions : Lire Créer Modifier Supprimer

Et on ajoute aussi les commerciaux mais nous mettons seulement : Lecture & Affichage du contenu du dossier

• Sur le dossier DocCommerciaux
  • Dans paramètre avancé puis partage : tout autorisé et désactiver l'héritage 
    • Permissions : Lire Modifier Supprimer

      

      

Mission 4 : Supervision Nagios.

Pour installer Nagios nous allons chercher le .sh de l'installateur Nagios sur le serveur du BTS avec la commande suivante :

smb://192.168.216.71/docs

On donne les permissions au fichiers pour s'éxécuter.

On va juste update les packet du serveur linux 

apt update

Puis on lance l'installation de Nagios 

./InstallNagios4v2.sh

Connexion a Nagios 

User : nagiosadmin

Pass : nagios

Nous fessons 

mousepad /usr/local/nagios/etc/objects/templates.cfg

On ajoute aussi ces trois lignes dans la définition du serveur ( define serveur, name genric service ) 

Nous allons maintenant configurer notre réseau.cfg ou nous allons stockés les infromations que nous allons supervisé 

Le fichier serra stocké dans /usr/local/nagios/etc/objects/

Nous allons éditier le fichier nagios.cfg 

mousepad /usr/local/nagios/etc/nagios.cfg

et on rajoute la liste 

cfg_file=/usr/local/nagios/etc/objects/monReseau.cfg

Maintenant on va crée le fichier MonReseau.cfg et le modifier 

mousepad /usr/local/nagios/etc/objects/monReseau.cfg

Puis on ajoute les machines qu'on souhaite supervisé ex: 

Define host {
	use 		generic-host
	host_name 	SERVEUR1
	alias		Serveur Windows Serveur1
	address	192.168.3.1
} 

Supervision http, dhcp, dns

1. Installation des rôles sur le serveur ServeurDOMBMS :
Sur le serveur ServeurDOMBMS, installez les rôles Serveur Web (IIS) et DHCP. Ces rôles sont nécessaires car ils seront supervisés dans les étapes suivantes du TP.
Pour que la supervision du service DHCP fonctionne correctement, le serveur DHCP supervisé doit disposer d’une étendue configurée pour distribuer des adresses IP dans la même plage que celle du serveur Nagios.

2. Vérification et configuration du DHCP sur SERVEUR1 :
Sur SERVEUR1, vérifiez que le serveur DHCP possède bien une étendue permettant de distribuer des adresses IP dans la plage 192.168.3.0/24, correspondant à celle du serveur Nagios.
Si cette étendue n'existe pas, créez-la.

3. Définition des services supervisés :
Configurez la supervision des services HTTP, DNS et DHCP en utilisant les commandes suivantes :

• check_http1 pour vérifier que les serveurs HTTP répondent correctement aux requêtes HTTP,
• check_dns1 pour contrôler que les serveurs DNS répondent aux requêtes DNS,
• check_dhcp1 pour tester que les serveurs DHCP répondent correctement aux requêtes DHCP.

Ces commandes doivent être définies conformément aux notices d’utilisation des plugins check_http, check_dns et check_dhcp fournies ci-dessous.

Autorisation des plugins nécessitant des droits root :
Pour permettre l’utilisation de certains plugins, notamment le plugin check_dhcp, qui requièrent des commandes nécessitant des droits root, il est nécessaire de modifier leurs permissions d’accès.

sudo chown -R root:root /usr/local/nagios/libexec/*
sudo chmod -R u+s /usr/local/nagios/libexec/*

Installation de l'agent SNMP sur chaque poste du réseau 

Installation de l'agent SNMP sur les postes à superviser :
Installez l’agent SNMP sur chacun des dispositifs à superviser, à savoir : ServeurDOMBMS, ServeurFICBMS, PC1, PFSENSE, ainsi que sur le serveur Debian hébergeant Nagios.
Pour simplifier la configuration, utilisez les mêmes noms de communauté (public et private) sur tous les dispositifs supervisés.
⚠️ Attention : Les noms de communauté sont sensibles à la casse, veillez à respecter leur exactitude.

Ajout de la fonctionnalité Service SNMP :
Commencez par ajouter la fonctionnalité Service SNMP au serveur. Pour ce faire :

1. Ouvrez le Gestionnaire de serveur.
2. Accédez à Gérer > Ajouter des rôles et fonctionnalités.
3. Sur SERVEUR1, ajoutez la fonctionnalité Service SNMP.

Configuration du service SNMP :

1. Accédez à Panneau de configuration > Système et sécurité > Outils d'administration.
2. Dans la liste des outils, sélectionnez Services.
3. Recherchez et sélectionnez le Service SNMP dans la liste des services.
4. Vérifiez que le service est démarré (par défaut, il doit être configuré en démarrage automatique).

Paramètres à configurer :

• Dans l’onglet Agent, cochez toutes les cases pour activer tous les services.
• Dans l’onglet Sécurité :
  • Cochez la case Accepter les paquets SNMP provenant de n’importe quel hôte.
  • Ajoutez les deux noms de communauté suivants avec leurs droits respectifs :
    • public : lecture seule.
    • private : lecture/écriture. 
      

      • 

Installer l'agent & le configurer SNMP sur Debian 

apt install snmpd snmp
mousepad /etc/snpm/snpmd.conf

1. Configurer l’écoute réseau du démon SNMP :
Ajoutez la ligne suivante pour permettre au démon snmpd d’écouter le réseau :

AgentAddress udp:161,udp6:[::1]:161  

Ensuite, supprimez toutes les autres directives AgentAddress pour éviter qu’il n’écoute uniquement l’hôte local.

---

2. Définir la hiérarchie des OID à rendre visible :
Ajoutez la ligne suivante pour rendre la hiérarchie des OID accessible :

View systemonly included .1.3.6.1  

Supprimez toutes les autres définitions View Systemonly existantes.

---

3. Vérifier la configuration de la communauté publique :
Assurez-vous que le nom de communauté publique est défini comme suit :

default -V systemonly  
rocommunity public  

Puis on restart l'agent snmp afin d'enregister la configuration 

systemctl restart snmpd

Installer l'agent SNMP sur Pfsense 

Dans l'interface graphique de pfSense, accédez à la section Services SNMP et activez l'option SNMP Daemon Enable. Vérifiez également que le mot de passe pour la lecture est défini sur public.

 Mission 5 : Mappage automatique d’un lecteur réseau

Créer un script PowerShell de mappage automatique d'un lecteur réseau (qui sera exécuté au démarrage d'une session utilisateur) :

 Créer un script PowerShell nommé Mappage.ps1 puis copiez le script ci dessous sur le serveur

# Utilisateur actuel
$login = $Env:USERNAME


# Vérif des groupes
$groups = (Get-ADUser -Identity $login -Properties MemberOf).MemberOf

# Connecter le lecteur R: si membre du groupe Commerciaux
if ($groups -contains "CN=Commerciaux,CN=Users,DC=BMS,DC=local") {
    New-PSDrive -Name R -PSProvider FileSystem -Root "\\ServeurFicBMS\DocCommerciaux" -Persist
}

# Connecter le lecteur S: si membre du groupe Juridique
if ($groups -contains "CN=Juridique,CN=Users,DC=BMS,DC=local") {
    New-PSDrive -Name S -PSProvider FileSystem -Root "\\ServeurFicBMS\DocJuridique" -Persist
}

Placez ce script dans un dossier partagé accessible, tel que \\192.168.10.4\Public ou un autre répertoire partagé.

Puis ajouter la stratégie dans  Paramètres utilisateur → Stratégies → Paramètre Windows → Scripts (Ouverture de
 session/Fermeture de session) → Ouverture de session.
 Ajouter le chemin d’accès au script Powershell.

Après avoir fais ceci pour aller plus vite on effectue un GPUpdate

gpupdate /force

Configuration du poste client 

Installation du modul RSAT 

En Powershell ( en tant qu'administrateur on effectue la commande suivante )

Get-WindowsCapability -Name RSAT.ActiveDirectory* -Online | Add-WindowsCapability -Online

Après l'installation de RSAT on redémarre le PC1 est on vérifie que le disque R ou S soit présent

Mission 6 : Installation du serveur de Bases de Données ServeurBDBMS, du serveur Web ServeurWebDMZ, et de l'application de gestion des frais.

Après avoir installé le serveur Serveur-BDBMS configuer l'ip est ajoutez le au domaine existant 

Adresse IP : 192.168.10.2

Masque : 255.255.255.0

Passerelle : 192.168.10.254

DNS : 192.168.10.1 

Domaine : BMS.local

On install MySQL Server 

On vérifie que tout est fonctionnel : 

On ouvre l'invite de commande MySQL : MySQL 5.6 Command Line Client

On entre les commande si dessous : 

 create database BMS_frais;
 use BMS_frais;
 show tables;
 source c:/BMS_frais_structure.sql
 show tables;
 source c:/BMS_frais_insert_tables_statiques.sql
 select * from visiteur;

On obtient ceci : 

Maintenant on crée l'utilisateur qui va pouvoir accéder a la base de données : 

 create user "utilisateurweb" identified by "secret";
 grant all privileges on BMS_frais.* to "utilisateurweb";
 flush privileges;
 select user from mysql.user;
 show grants for "utilisateurweb";

Et in vérifie que le site sois accessible : ( Mission 6B nécessaire ) 

Installation et configuration du serveur Web DMZ

Après avoir installé le serveur Serveur-WEBDMZ configuer l'ip 

Adresse IP : 172.16.10.1

Masque : 255.255.0.0

Passerelle : 172.16.10.254

DNS : 8.8.8.8

Après la configuration réseau on installe le rôle Serveur Web IIS

Après l'installation on copie la dernière version (Non-Thread Safe (NTS)) du dossier PHP 7 fourni (php-7.2.11-nts-Win32-VC15-x64) dans le dossier C:\Program Files

 On renomme le fichier php.ini-development en php.ini 

Ajoutez le chemin du dossier C:\Program Files\php-7.2.11-nts-Win32-VC15-x64 à la variable d’environnement Path en suivant ces étapes :

1. Ouvrez le Panneau de configuration : Allez dans Système et sécurité, puis dans Système.
2. Accédez aux paramètres système avancés : Cliquez sur le lien Paramètres système avancés dans le menu latéral.
3. Ouvrez les Variables d’environnement : Dans la fenêtre qui s’affiche, sélectionnez l’onglet Avancé, puis cliquez sur le bouton Variables d’environnement.
4. Modifiez la variable Path :
   • Dans la section Variables système, sélectionnez la ligne Path et cliquez sur Modifier.
   • Dans la fenêtre qui s'ouvre, cliquez sur le bouton Nouveau et ajoutez le chemin C:\Program Files\php-7.2.11-nts-Win32-VC15-x64.
5. Validez les modifications : Cliquez sur OK pour fermer les fenêtres et enregistrer les changements.

Dans le Gestionnaire IIS : 

1. Accédez aux Mappages de gestionnaires :

   • Cliquez sur le nom du serveur dans le panneau de gauche.
   • Double-cliquez sur l'icône Mappages de gestionnaires dans le panneau central.

2. Ajoutez un mappage de module :

   • Dans le panneau Action (à droite), cliquez sur le lien Ajouter un mappage de module.

3. Renseignez les champs :

   • Chemin demandes : *.php
   • Module : FastCgiModule
   • Exécutable : Saisissez le chemin complet vers php-cgi.exe, par exemple :
     C:\Program Files\php-7.2.11-nts-Win32-VC15-x64\php-cgi.exe.
   • Nom : Donnez un nom au mappage, par exemple : php-7.2.1.

Enregistrez les paramètres : Cliquez sur OK pour valider la configuration.

Pour vérifier l'installation de PHP, procédez comme suit :

 Créer le fichier PHP de test :

• Ouvrez le Bloc-notes (ou un autre éditeur de texte).
• Saisissez le contenu suivant :

<?php
phpinfo();
?>

• 1 Enregistrez le fichier :
• Choisissez Fichier > Enregistrer sous.
• Sélectionnez le dossier C:\inetpub\wwwroot.
• Nommez le fichier phpinfo.php (assurez-vous que l'extension est .php et non .txt).
• Cliquez sur Enregistrer.
• 2 Testez le fichier dans le navigateur :
• Ouvrez un navigateur web.
• Saisissez l'URL suivante : http://localhost/phpinfo.php.
• 3 Vérifiez l'affichage :
• Une page web bien formatée doit apparaître, affichant les paramètres actuels de votre installation PHP.
• Si la page s'affiche correctement, l'installation de PHP est réussie.

 Pour que le programme PHP Manager apparaisse dans la liste des fonctionnalités de IIS, vous devez redémarrer le serveur.

Installez les pages du site bmsMVC en copiant le dossier fourni dans wwwroot. Configurez le site pour qu'il utilise la base de données BMS_frais sur le serveur MySQL (IP : 192.168.10.2). Mettez à jour le script PHP de connexion avec les informations suivantes :

• Base de données : BMS_frais
• Identifiant : utilisateurweb
• Mot de passe : secret.

Mission 7 : Configuration des règles de filtrage du routeur-pare-feu Pfsense

On rend accessible PfSense depuis un poste de la salle R211 en décochant la case Block private networks and loopback addresses dans l'interface WAN.

 Mission 7 A : Règles minimum à configurer sur l'interface DMZ du Pfsense

a. Le serveur Web DMZ peut interroger le serveur de base de données via le port 3306.
b. Le serveur Web DMZ ne peut émettre aucun autre trafic vers le LAN.
c. Le serveur Web DMZ peut accéder à Internet pour des services tels que HTTP, HTTPS, FTP, et messagerie électronique.

 Interface DMZ

Mission 7 B : Règles minimum à configurer sur l'interface LAN du Pfsense

a. Le LAN peut interroger le serveur Web DMZ sur le port 80.
b. Le LAN ne peut émettre aucun autre trafic vers le serveur Web DMZ.
c. Le LAN peut accéder à Internet pour des services tels que HTTP, HTTPS, FTP, et messagerie électronique.

Interface LAN

 Mission 7 C : Règles minimum à configurer sur l'interface WAN du Pfsense

 a. Internet peut interroger le serveur Web DMZ sur le port 80.
 b. Internet ne peut émettre aucune autre connexion entrante vers le LAN ou la DMZ.