File
Transcription
File
Présentation : projets réalisés – stage 2eme année Serveur Proxy Pfsense avec authentification Automatisation de tâches GLPI Aide et assistance aux utilisateurs NORVENE Jérôme SOMMAIRE I . Présentation de l’entreprise II . Projet : Aide et assistance aux utilisateurs A) Mise ne place d’un serveur proxy avec authentification B) Automatisation des taches avec GLPI III. Synthèse : portefeuille de compétences IV . Conclusion Air Caraïbes est une compagnie aérienne régulière française spécialiste des Antilles et de la Guyane. Elle dessert les principaux aéroports des Caraïbes : Guadeloupe, Guyane, Martinique, Saint-Martin, Haïti. Son siège social se situe aux Abymes (97139) Parc d’Activités de La Providence II . Projet : Aide et assistance aux utilisateurs A) Mise ne place d’un serveur proxy avec authentification pfSense est un routeur / pare-feu open source basé sur FreeBSD. PfSense peut être installé sur un simple ordinateur personnel comme sur un serveur. Basé sur PF (packet filter), comme IP tables sur GNU/Linux, il est réputé pour sa fiabilité. Ce logiciel permet entre autres de fournir des solutions pour les services suivants : - Pare-feu : Le firewall est celui de FreeBSD, à savoir PacketFilter. - Table d'état : La table d'état ("State Table") contient les informations sur les connexions réseaux. Cela permet d'avoir un aperçu des connexions et surtout de créer des règles par exemple sur le nombre de connexion maximum pour un hôte. - Traduction d'adresses réseaux (NAT) : Permet de joindre une machine situé sur le LAN à partir de l'extérieur. - VPN : permet la création de VPN IpSec, OpenVPN ou PPTP. - Serveur DHCP. - Serveur DNS et DNS dynamiques. - Portail Captif. - Graphes pour la charge système et réseaux (Analytics) Installation Détection automatique des cartes réseaux Après vérification et attribution des cartes réseaux on valide l’installation PFSENSE a fini la configuration . Nous avons ci-dessous le menu : Le plus souvent il est nécessaire de changer les adresses IP . (menu n° 2) Une fois la configuration IP terminée, on passe à la configuration du serveur En se connectant au serveur avec l’IP on obtient cette page d’authentification Admin /pfsense Pour mener à bien le projet il fallait : 1. Installer les paquets « Squid » / « SquidGuard » / « Lightsquid » Un serveur Squid est un serveur mandataire (proxy) et un mandataire inverse capable d'utiliser les protocoles FTP, HTTP, Gopher, et HTTPS. Contrairement aux serveurs proxy classiques, un serveur Squid gère toutes les requêtes en un seul processus d'entrée/sortie Nous avons une liste de paquets disponibles. On installe les 3 cités 2. Création du pare-feu avec ses règles On se rend dans l’onglet « Firewall » / « Rules » / « LAN » On ajoute une règle qui autorise les postes du réseau local à sortir sur Internet La création des règles se présente sous cette forme 3. Création des utilisateurs et des groupes A partir de ce moment on peut commencer la configuration des utilisateurs et des groupes. Soit en cliquant sur le lien « User Manager » ou à partir de l’onglet « System ». Dans l’onglet « Groupe » il est possible de créer des groupes de travails ou d’utilisateurs spécifiques. 4. Configuration du serveur d’authentification Dans l’onglet « Serveurs », ici seule la BD locale est répertoriée. C’est à cet endroit qu’on ajoute le serveur possédant l’annuaire LDAP avec les utilisateurs et les groupes : On obtient à peu près cette page de configuration : Par la suite il faudra définir ce nouveau serveur comme celui d’authentification par défaut Par la suite, nous allons autoriser les connexions des postes se trouvant dans réseau local (Air Caraïbes). Dans « Services » / « Proxy server » / « Access Control » A cet instant il est désormais possible pour les utilisateurs du groupe «admins » de se connecter à Pfsense en tant qu’administrateur, et aux utilisateurs authentifiés de passer par le proxy pour aller sur Internet. 5. Configuration de squidguard SquidGuard est en filtre URL utilisée en référencement des listes noires avec le proxy software Squid. Il permet notamment de bloquer certains accès web en fonction du contenu des pages ou des mots clés. Il y a deux grands avantages à squidguard : rapidité et gratuité Pour commencer le paramétrage de SquidGuard , on se rend dans l’option « Service » / « Proxy filter » . On l’active De plus on référence une adresse de « liste noire » / « blacklist » On se rend ensuite dans « Common ACL » pour définir les premières règles de filtrages proposées selon la liste noire chargée Par la suite nous pouvons bloquer les sites selon les mots clés et expressions employés On se rend dans l’onglet « Target catégories » Le serveur proxy est désormais opérationnel B) Automatisation de tâches GLPI GLPI: Automatisation des tickets à partir des mails Nous devons au préalable disposer d’un compte mail qui sera chargé de recevoir les demandes utilisateurs. Nous devions aussi disposer des droits « Super-admin » Aller dans le menu « Configuration » puis « Collecteurs ». Cliquer sur le petit « Plus » et compléter le formulaire pour configurer l’accès au compte mail. Dans notre cas nous utilisons le protocole POP en SSL pour relever la boîte mail. Pour automatiser l’activation du collecteur, une action automatique appelée « mailgate » est disponible. L’exécution des actions automatiques se fait lorsque quelqu’un utilise GLPI. Pour vous assurer que les mails seront traités au plus tôt, je vous conseille d‘automatiser sur le serveur par une tâche planifiée (tâche cron sous GNU/Linux) l’exécution des actions automatiques. Maintenant que nous avons donc maintenant nos mails qui sont automatiquement relevés par GLPI. Passons à l’étape suivante! Pour cela, nous allons utiliser les « règles » de GLPI accessibles depuis le menu « Administration » puis « règles ». Dans la liste affichée, nous allons nous intéresser à celle nommée : « Règles pour assigner un ticket créé grâce au collecteur de courriels ». Cette règle est basé sur la présence du nom de domaine. L’action consiste à assigner le ticket à l’entité correspondant au domaine Par défaut, GLPI est configuré pour ne pas accepter la création de tickets « anonymes ». Autrement dit l’adresse mail de l’émetteur doit être connue de GLPI ce qui suppose que vous lui ayez créé un compte. Pour lever cette limite, il faut aller dans le menu « Configuration » puis « Genéral » et sur l’onglet « Assistance ». A vous de voir bien entendu si cela est opportun dans votre cas d’usage. Attention, il faut savoir que, si l’adresse mail de votre support reçoit du spam, cela créera des tickets qu’il vous faudra nettoyer. Nous voilà prêt à répondre à tous les mails de demandes des utilisateurs. III. Synthèse : portefeuille de compétences Projet PFSENSE – Compétences validées : Production d’une solution logicielle et d’infrastructure Élaboration de documents relatifs à la production et à la fourniture de services Mise en place d’un dispositif de veille technologique - A1.4.1 Participation à un projet - A2.3.2 Proposition d'amélioration d'un service - A3.1.1 Proposition d'une solution d'infrastructure - A3.1.3 Prise en compte du niveau de sécurité nécessaire à une infrastructure - A3.2.2 Remplacement ou mise à jour d'éléments défectueux ou obsolètes - A4.1.8 Réalisation des tests nécessaires à la validation d'éléments adaptés ou développés - A4.1.1 Rédaction d'une documentation d'utilisation - A4.1.9 Rédaction d'une documentation technique Projet GLPI – Compétences validées : Prise en charge d’incidents et de demandes d’assistance - A2.1.1 Accompagnement des utilisateurs dans la prise en main d'un service - A2.2.1 Suivi et résolution d'incidents - A2.2.2 Suivi et réponse à des demandes d'assistance - A2.3.1 Identification, qualification et évaluation d'un problème - A2.3.2 Proposition d'amélioration d'un service - A3.3.4 Automatisation des tâches d'administration - A4.1.8 Réalisation des tests nécessaires à la validation d'éléments adaptés ou développés IV . Conclusion Le stage a permis d’améliorer les connaissances dans le milieu et de s’adapter au rythme du monde professionnel . Valider des compétences intéressantes pour l’examen Avoir une approche interne au fonctionnement des Systèmes d’informations dans son ensemble Proposer des solutions logicielles et matérielles au bon fonctionnement d’un réseau informatique Pourvoir désormais intégrer plus facilement le milieu professionnel