Document Technique
Transcription
Document Technique
Document Technique Projet Solubiz Ce document est la documentation technique de déploiement du portail web SoluBiz. Contents 1. Installation du Internet Information Services (IIS) ................................................................3 1.1) Pour installer IIS: ..........................................................................................................3 1.2) Installer .Net Framework v2 .........................................................................................3 2. Déploiement services web et du site web SoluBiz................................................................3 3. L’accès à la base de données ...............................................................................................4 4. M ise en œ uvre de la sécurité d’accès au site w eb ...............................................................5 5. M ise en œ uvre du SLL pour l’accès au portail......................................................................6 5.1) Installer une Autorité de certification racine d'entreprise .............................................6 5.2) Création des certificats ................................................................................................7 5.3) Assigner un certificat du serveur SSL à un site Web ......................................................8 6. M ise en œ uvre du répertoire de partage .............................................................................8 6.1) Installer DFS sur un serveur ..........................................................................................8 6.2) Créer un nouveau namespace ......................................................................................8 6.3) Sécurisation des fichiers partagés .................................................................................9 7. Configuration du portail Web ..............................................................................................9 8. Gérer les comptes utilisateur du Portail Web ....................................................................10 8.1)Im portation des com ptes utilisateur depuis l’annuaire LD AP (AD )..............................11 8.2) Attribution des rôles pour les utilisateurs ..................................................................12 2 La procédure est divisée en 8 étapes, chacune de ces étapes pouvant être accom plie de différentes m anières, suivant les choix liés à l’architecture de déploiem ent et le nom bre d’utilisateurs prévu. 1. Installation du Internet Information Services (IIS) 1.1) Pour installer IIS: 1. Dans Windows, accédez au Panneau de configuration et cliquez sur Ajouter ou supprimer des programmes 2. Cliquez ensuite sur Ajouter/Supprimer des composants Windows 3. Activez la case à cocher Services IIS, cliquez sur Suivant, puis sur Terminer 4. Pour savoir comment utiliser IIS, vous pouvez consulter la documentation disponible à l'adresse suivante : http://localhost/iishelp/iis/misc/default.asp. Lors de l’installation, il vous sera demandé un nom pour le répertoire de destination pour l’installation du portailw eb. 1.2) Installer .Net Framework v2 Le portail web utilise ASP.net 2 et il faut donc installer .Net Framework 2 sur le serveur web (si vous utilisez une version pré-R2 de Windows server 2003 ou Windows server 2000). Vous pouvez récupérer le fichier d’installation du Fram ew ork 2 et aussi voir les détails d’installation sur le site suivant http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362-4B0D-8EDDAAB15C5E04F5&displaylang=en 2. Déploiement services web et du site web SoluBiz Pour déployer le site web ainsi que les services web sur un serveur Windows 2003, il suffit de lancer le program m e d’installation avec Setup.bat. On doit préalablement avoir installé Internet Information Services sur le serveur sur lequel on souhaite déployer le portail en suivant la procédure présentée auparavant. 3 3. L’accès à la base de données Après l’installation de l’application,la base de données est hébergée en local,dans le répertoire Base de Données présent dans le répertoire d’installation du portail.Ce répertoire contient un fichier de base de données de type SQL Express 2005. Pour un déploiement de petite échelle, vous pouvez utiliser ces fichiers (qui se trouve sur la m achine locale ou que vous pouvez déplacer dans un répertoire partagé, pour donner l’accès au plusieurs serveur). Si vous désirez effectuer une installation de plus grande échelle et qui offrirait aussi la possibilité de faire de la redondance et de la distribution de charge, vous devez migrer le fichier qui contient la base de données vers une base de données hébergé par un SQL server 2005 en suivant la procédure présente sur ce lien : http://www.dotnet-news.com/eng/lien.aspx?ID=20623 Après avoir exporté la base de données sur un serveur SQL, vous pouvez ensuite l’exporter sur plusieurs serveurs SQL, pour créer un Cluster, qui permettrait de faire de la redondance et de l’équilibrage de charge. 4 Sur la prochaine figure vous pouvez observer l’architecture conseillée pour un déploiem ent en grande échelle, avec un cluster de 4 serveurs SQL (3 actifs, 1 passif) et avec les données hébergées par un ensemble de disques SAN mises en RAID. 4. M ise en œ uvre de la sécurité d’accès au site w eb L’authentification que le portailutilise est de type "W indow s Integrated" qui utilise les comptes utilisateur AD alors il faut configurer le portail w eb pour qu’il n’accepte que ce type d’authentification. Dans Microsoft Windows, ouvrez Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS). Sous Services Internet (IIS), développez Servername (ordinateur local), puis Sites Web, cliquez avec le bouton droit sur NomSiteWeb ou sur Site Web par défaut, puis cliquez sur Propriétés. Cliquez sur l'onglet ASP.NET, puis cliquez sur Modifier la configuration. Cliquez sur l'onglet Authentification. Décochez Anonymous Access et cochez Digest authentification for Windows domain servers et mettez le nom du domaine dans la boîte de dialogue Realm. 5 5. M ise en œ uvre du SLL pour l’accès au portail 5.1) Installer une Autorité de certification racine d'entreprise 1. O uvrez une session en tant qu’un m em bre du groupe Adm inistrateurs de l'entreprise et du groupe Admins du domaine racine. 2. S'il existe actuellement ou s'il a déjà existé au sein de votre entreprise une quelconque Autorité de certification d'entreprise Windows 2000, ouvrez Modèles de certificats lorsque vous êtes invité à installer de nouveaux modèles de certificats, puis cliquez sur OK. 3. Ouvrez Ajouter ou supprimer des programmes dans le « Panneau de configuration ». 4. Cliquez sur Ajouter/Supprimer des composants Windows 5. Dans Assistant Composants de Windows, activez la case à cocher Services de certificats. Une boîte de dialogue apparaît pour vous informer que vous ne pouvez pas renommer l'ordinateur et que celui-ci ne peut être ni ajouté ni supprimé dans un domaine une fois les services de certificats installés. Cliquez sur Oui, puis sur Suivant. 6. Cliquez sur Autorité de certification racine d'entreprise. 6 7. Dans Nom commun de cette Autorité de certification, tapez le nom commun de l'Autorité de certification. 8. Dans Période de validité, spécifiez la durée de validité de l'Autorité de certification racine et cliquez sur Suivant. 9. Spécifiez les emplacements de stockage de la base de données de certificats, du journal de la base de données de certificats et du dossier partagé et cliquez sur Suivant. 10. Si les services Internet (IIS) sont actifs, le système vous demandera de les arrêter avant de poursuivre l'installation et de cliquer sur OK. Si vous y êtes invités, tapez le chemin d'accès des fichiers d'installation des services de certificats. 5.2) Création des certificats 1. Vérifiez que Windows Server 2003 est installé sur votre ordinateur. 2. Assurez-vous qu'IIS est installé et activé. 3. Installez les services de certificats Microsoft pour votre système d'exploitation afin d'autoriser la création de certificats d'authentification serveur. 4. Démarrez Internet Explorer et naviguez jusqu'aux services de certificats Microsoft, par exemple : http://MonAC/certsrv . 5. Cliquez sur Demander un certificat, puis sur Suivant. 6. Cliquez sur Demande avancée, puis cliquez sur Suivant. 7. Cliquez sur Soumettre une demande de certificat à cette CA en utilisant un formulaire, puis cliquez sur Suivant pour afficher le formulaire de demande de certificat. 8. Remplissez le nom de domaine qualifié complet du serveur, par exemple sq101.adventureworks.com. 9. Dans le champ Rôle prévu (ou Type de certificat nécessaire), cliquez sur Certificat d'authentification serveur. 10. Pour le fournisseur de services de chiffrement (CSP), sélectionnez Microsoft RSA SChannel Cryptographic Provider, Microsoft Base Crypto Provider version 1.0 ou Microsoft Enhanced Cryptographic Provider. Ne sélectionnez pas Microsoft Strong Cryptographic Provider. 11. Activez la case à cocher Utiliser le magasin de l'ordinateur local. 12. Vérifiez que la case à cocher Activer la protection renforcée de clés privées est désactivée. 13. Cliquez Envoyez pour envoyer la demande. 14. Si le serveur de certificats délivre automatiquement des certificats, vous pouvez installer le certificat maintenant. Sinon, vous pouvez l'installer lorsqu'il a été délivré par l'administrateur de l'autorité de certification. 7 5.3) Assigner un certificat du serveur SSL à un site Web 1. Dans le Gestionnaire des services IIS, développez l'ordinateur local, puis Développez le dossier Sites Web. 2. Cliquez avec le bouton droit sur le site Web auquel vous souhaitez assigner le certificat et cliquez sur Propriétés. 3. Sélectionnez l'onglet Sécurité du répertoire et sous Communications sécurisées, cliquez sur Certificat de serveur. 4. Dans l'Assistant Certificat de serveur Web, cliquez sur Attribuer un certificat existant. 5. Suivez les étapes dans l’Assistant Certificat de serveur W eb qui vous guide à travers le processus d'installation d'un certificat de serveur. Après avoir terminé l'Assistant, vous pouvez consulter les informations sur le certificat en cliquant sur le bouton Afficher le certificat dans l'onglet Sécurité du répertoire des pages Propriétés des sites Web. 6. M ise en œ uvre du répertoire de partage Pour héberger les fichiers partagés, on peut utiliser n’im porte quelle solution qui nous permettrait de créer un partage et de permettre l’accès à la m achine distante. Pour un déploiement de petite échelle, vous pouvez utiliser simplement un répertoire partagé quise trouve sur un serveur,m ais cette solution n’est pas du tout conseillée. La solution que nous conseillons est d’utiliser Distributed File System (DFS). Cette solution permet de distribuer les fichiers partagés sur plusieurs serveurs et gère automatiquement la réplication et la distribution de la charge. 6.1) Installer DFS sur un serveur 1. Dans Windows, accédez au Administrative Tools et après cliquez sur Manage your Server et après sur Add a new role. 2. Dans la fenêtre Your Server Wizard, cliquez sur Next 3. Dans la page Server Role cliquez sur File Server et après appuyez sur Next. 4. Dans la fenêtre Add File Server Role Wizard, cliquez sur Next et après cliquez Replicate data to and from this server et après Next . 6.2) Créer un nouveau namespace 1. Dans le snap-in DFS Management,faites un clique droit sur le nœ ud Namespaces et après cliquez sur New Namespace 2. Mettez un nom pour le nouveau Namespace à créer 3. Choisissez Domain-based namespace pour le type du nouveau Namespace et après cliquez sur Créer 8 6.3) Sécurisation des fichiers partagés Cette solution de base n’offre pas des solutions du point de vue sécurité pour les utilisateurs. O n pourrait gérer la sécurité par des droits N TFS sur les répertoires partagés d’un projet au sein de l’entreprise ou des répertoires personnels. Si les utilisateurs ont besoin d’une m esure de sécurité, nous conseillons la m ise en œ uvre d’Encripted File System (EFS). U ne m anière sim ple de réaliser cela serait d’utiliser l’autorité de certification qui a déjà été installée auparavant pour fournir aux utilisateurs des certificats EFS. En installant ces certificats sur leurs comptes, ils pourront ainsi crypter des fichiers et aussi donner les droits qu’ils souhaitent aux autres utilisateurs sur leurs fichiers. D e cette façon, m êm e dans le cas de récupération de fichier par un pirate ou un sim ple envoi par m ail d’un fichier, seulement les personnes ayant le certificat pour le décrypter pourront lire le fichier. Vous pouvez trouver plus d’inform ations sur l’installation et l’utilisation du EFS sur le site http://www.microsoft.com/smallbusiness/support/articles/protect_data_EFS.mspx 7. Configuration du portail Web Après avoir installé le portail web, il faut maintenant le configurer pour personnaliser les variables liées au domaine, à la base de données et au répertoire utilisé pour le partage des fichiers. Ces informations se trouvent dans le fichier web.config qui se trouve dans le répertoire d’installation du portailweb et peuvent être édités directement dans ce fichier. 9 Pour des raisons de sim plicité, les variables de l’application peuvent être aussi éditées depuis l’interface graphique de configuration de l’IIS.Pour accéder à cette interface,ilsuffit d’ouvrir la console d’adm inistration de l’IIS depuis Start/Administrative Tools/Internet Information Services. Depuis cette interface graphique, faites un clique droit sur le site web qui héberge le portail et cliquez sur Edit Configuration qui se trouve dans le menu ASP.NET. Les variables du portail quoi doivent êtres changés se trouvent dans le panneau Application settings comme vous pouvez le remarquer sur la figure suivante. Parm i ces variables de l’application, le D om ain représente le nom du dom aine fini par le caractère "\", le Path représente le lien vers le répertoire destiné au partage des fichiers et le Connexion String indique les paramètres nécessaires pour accéder à la base de données. Le portail web utilise ASP.net 2 et donc il faut configurer le site web qui a était crée pour passez en mode ASP 2.0.50727. Vous pouvez faire cette configuration depuis le menu ASP.NET de propriétés du site w eb (depuis l’interface Start/Administrative Tools/Internet Information Services). 8. Gérer les comptes utilisateur du Portail Web Les acteurs vont utiliser leurs com ptes depuis l’annuaire LD AP pour se connecter au portail.D e cette façon on aurait une synchronisation entre notre portail et l’annuaire et les utilisateurs auront un seul compte, sans besoin de mémoriser plusieurs mots de passe. 10 8.1) Im portation des com ptes utilisateur depuis l’annuaire LD AP (AD ) Pour ajouter des utilisateurs depuis l’annuaire LD AP dans le portail,ilsuffit d’aller sur la page http://NomDuPortailWeb/ADUsers.aspx ou vous allez pouvoir importer des comptes utilisateur depuis Active D irectory grâce à l’interface interface présenté dans la figure suivante : La liste de gauche contienne la liste de tous les utilisateurs quise trouve dans l’annuaire AD de votre domaine (et qui sont des comptes utilisateur et non pas des comptes de service). Le format de présentation des utilisateurs à gauche sont sur la forme login (nom prénom) pour m ontrer en m êm e tem ps le login et le nom des utilisateurs que l’on puisse im porter. La liste de droite présente une liste des comptes utilisateur qui ont déjà était importée dans le portail web. Pour im porter le com pte d’un utilisateur, il suffit de le sélectionner dans la liste de gauche et cliquer ensuite sur le bouton Ajouter l’utilisateur sélectionné et l’utilisateur va apparaitre dans la liste de droite. Un compte utilisateur peut être présent seulement une fois dans le portail w eb,et sivous sélectionné un com pte quiexiste déjà dans le portailet essayer de l’ajouter une autre fois en cliquant sur le bouton Ajouter l’utilisateur sélectionné il y aura rien qui va se passer. 11 8.2) Attribution des rôles pour les utilisateurs Pour trouver une personne plus facilement depuis le portail web, mais aussi pour gérer les droits des différents utilisateurs, chaque utilisateur est attribué un ou plusieurs rôles. Par default ily a 2 rôles crées lors de l’installation de l’application : Chef de Projet et Directeur. Les utilisateurs qui ont le rôle de Directeur sont les seuls utilisateurs qui peuvent créer des nouveaux projets et les utilisateurs qui ont le rôle de Chef de Projet sont les seuls qui peuvent gérer un projet en ajoutant et modifiant des Taches. Une autre utilisation des rôles attribues aux utilisateurs est de faire une segmentation du domaine du travail effectué par l’utilisateur dans l’entreprise. Par exem ple des rôles de type R&D, Marketing ou Développement sert à grouper les utilisateurs qui ont cette fonction au sein de l’entreprise. Lors de la attribution des taches, dans le PortailW eb, le chef de projet aura la possibilité de voir toutes les m em bres de l’entreprise quiont un telrôle,pour pouvoir attribuer une tache donné à un utilisateur qui à le domaine des compétences nécessaire pour réaliser cette tâche. L’interface qui perm et de gérer les rôles attribues aux utilisateurs est présente dans la figure suivante (accessible par les adm inistrateurs du dom aine à l’adresse http://NomDuPortailWeb/Configuration.aspx): 12 Pour créer un nouveau rôle, il suffit de compléter la boîte à côté du signe "Nouveau rôle à créer", marquer une courte description pour le nouveau rôle à créer et appuyer sur le bouton "Créer". Pour attribuer un rôle à un utilisateur, il suffit de sélectionner un rôle à attribuer à l’aide du menu déroulant, sélectionner un utilisateur depuis la liste de toutes les comptes utilisateurs présents dans le Portail Web et cliquer sur le bouton "Ajouter le rôle à ce utilisateur". Quand vous sélectionnez un rôle dans le m enu déroulant, la description de ce rôle s’affiche, pour donner une description détaillée de ce rôle. Un utilisateur peut être attribué plusieurs rôles, et un utilisateur peut être attribué un rôle au plus une fois. 13