Document Technique

Document Technique
Projet Solubiz
Ce document est la documentation technique de
déploiement du portail web SoluBiz.
Contents
1.
Installation du Internet Information Services (IIS) ................................................................3
1.1) Pour installer IIS: ..........................................................................................................3
1.2) Installer .Net Framework v2 .........................................................................................3
2.
Déploiement services web et du site web SoluBiz................................................................3
3.
L’accès à la base de données ...............................................................................................4
4.
M ise en œ uvre de la sécurité d’accès au site w eb ...............................................................5
5.
M ise en œ uvre du SLL pour l’accès au portail......................................................................6
5.1) Installer une Autorité de certification racine d'entreprise .............................................6
5.2) Création des certificats ................................................................................................7
5.3) Assigner un certificat du serveur SSL à un site Web ......................................................8
6.
M ise en œ uvre du répertoire de partage .............................................................................8
6.1) Installer DFS sur un serveur ..........................................................................................8
6.2) Créer un nouveau namespace ......................................................................................8
6.3) Sécurisation des fichiers partagés .................................................................................9
7.
Configuration du portail Web ..............................................................................................9
8.
Gérer les comptes utilisateur du Portail Web ....................................................................10
8.1)Im portation des com ptes utilisateur depuis l’annuaire LD AP (AD )..............................11
8.2) Attribution des rôles pour les utilisateurs ..................................................................12
2
La procédure est divisée en 8 étapes, chacune de ces étapes pouvant être
accom plie de différentes m anières, suivant les choix liés à l’architecture de
déploiem ent et le nom bre d’utilisateurs prévu.
1. Installation du Internet Information Services (IIS)
1.1) Pour installer IIS:
1. Dans Windows, accédez au Panneau de configuration et cliquez sur Ajouter ou
supprimer des programmes
2. Cliquez ensuite sur Ajouter/Supprimer des composants Windows
3. Activez la case à cocher Services IIS, cliquez sur Suivant, puis sur Terminer
4. Pour savoir comment utiliser IIS, vous pouvez consulter la documentation disponible à
l'adresse suivante : http://localhost/iishelp/iis/misc/default.asp.
Lors de l’installation, il vous sera demandé un nom pour le répertoire de destination pour
l’installation du portailw eb.
1.2) Installer .Net Framework v2
Le portail web utilise ASP.net 2 et il faut donc installer .Net Framework 2 sur le serveur web (si
vous utilisez une version pré-R2 de Windows server 2003 ou Windows server 2000).
Vous pouvez récupérer le fichier d’installation du Fram ew ork 2 et aussi voir les détails
d’installation
sur
le
site
suivant
http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362-4B0D-8EDDAAB15C5E04F5&displaylang=en
2. Déploiement services web et du site web SoluBiz
Pour déployer le site web ainsi que les services web sur un serveur Windows 2003, il suffit de
lancer le program m e d’installation avec Setup.bat.
On doit préalablement avoir installé Internet Information Services sur le serveur sur lequel on
souhaite déployer le portail en suivant la procédure présentée auparavant.
3
3. L’accès à la base de données
Après l’installation de l’application,la base de données est hébergée en local,dans le répertoire
Base de Données présent dans le répertoire d’installation du portail.Ce répertoire contient un
fichier de base de données de type SQL Express 2005.
Pour un déploiement de petite échelle, vous pouvez utiliser ces fichiers (qui se trouve sur la
m achine locale ou que vous pouvez déplacer dans un répertoire partagé, pour donner l’accès
au plusieurs serveur).
Si vous désirez effectuer une installation de plus grande échelle et qui offrirait aussi la
possibilité de faire de la redondance et de la distribution de charge, vous devez migrer le fichier
qui contient la base de données vers une base de données hébergé par un SQL server 2005 en
suivant la procédure présente sur ce lien :
http://www.dotnet-news.com/eng/lien.aspx?ID=20623
Après avoir exporté la base de données sur un serveur SQL, vous pouvez ensuite l’exporter sur
plusieurs serveurs SQL, pour créer un Cluster, qui permettrait de faire de la redondance et de
l’équilibrage de charge.
4
Sur la prochaine figure vous pouvez observer l’architecture conseillée pour un déploiem ent en
grande échelle, avec un cluster de 4 serveurs SQL (3 actifs, 1 passif) et avec les données
hébergées par un ensemble de disques SAN mises en RAID.
4. M ise en œ uvre de la sécurité d’accès au site w eb
L’authentification que le portailutilise est de type "W indow s Integrated" qui utilise les comptes
utilisateur AD alors il faut configurer le portail w eb pour qu’il n’accepte que ce type
d’authentification.
Dans Microsoft Windows, ouvrez Outils d'administration, puis cliquez sur Gestionnaire des
services Internet (IIS).
Sous Services Internet (IIS), développez Servername (ordinateur local), puis Sites Web, cliquez
avec le bouton droit sur NomSiteWeb ou sur Site Web par défaut, puis cliquez sur Propriétés.
Cliquez sur l'onglet ASP.NET, puis cliquez sur Modifier la configuration.
Cliquez sur l'onglet Authentification.
Décochez Anonymous Access et cochez Digest authentification for Windows domain servers
et mettez le nom du domaine dans la boîte de dialogue Realm.
5
5. M ise en œ uvre du SLL pour l’accès au portail
5.1) Installer une Autorité de certification racine d'entreprise
1. O uvrez une session en tant qu’un m em bre du groupe Adm inistrateurs de
l'entreprise et du groupe Admins du domaine racine.
2. S'il existe actuellement ou s'il a déjà existé au sein de votre entreprise une
quelconque Autorité de certification d'entreprise Windows 2000, ouvrez Modèles
de certificats lorsque vous êtes invité à installer de nouveaux modèles de
certificats, puis cliquez sur OK.
3. Ouvrez Ajouter ou supprimer des programmes dans le « Panneau de
configuration ».
4. Cliquez sur Ajouter/Supprimer des composants Windows
5. Dans Assistant Composants de Windows, activez la case à cocher Services de
certificats. Une boîte de dialogue apparaît pour vous informer que vous ne
pouvez pas renommer l'ordinateur et que celui-ci ne peut être ni ajouté ni
supprimé dans un domaine une fois les services de certificats installés. Cliquez sur
Oui, puis sur Suivant.
6. Cliquez sur Autorité de certification racine d'entreprise.
6
7. Dans Nom commun de cette Autorité de certification, tapez le nom commun de
l'Autorité de certification.
8. Dans Période de validité, spécifiez la durée de validité de l'Autorité de
certification racine et cliquez sur Suivant.
9. Spécifiez les emplacements de stockage de la base de données de certificats, du
journal de la base de données de certificats et du dossier partagé et cliquez sur
Suivant.
10. Si les services Internet (IIS) sont actifs, le système vous demandera de les arrêter
avant de poursuivre l'installation et de cliquer sur OK.
Si vous y êtes invités, tapez le chemin d'accès des fichiers d'installation des services de
certificats.
5.2) Création des certificats
1. Vérifiez que Windows Server 2003 est installé sur votre ordinateur.
2. Assurez-vous qu'IIS est installé et activé.
3. Installez les services de certificats Microsoft pour votre système d'exploitation afin
d'autoriser la création de certificats d'authentification serveur.
4. Démarrez Internet Explorer et naviguez jusqu'aux services de certificats Microsoft,
par exemple : http://MonAC/certsrv .
5. Cliquez sur Demander un certificat, puis sur Suivant.
6. Cliquez sur Demande avancée, puis cliquez sur Suivant.
7. Cliquez sur Soumettre une demande de certificat à cette CA en utilisant un
formulaire, puis cliquez sur Suivant pour afficher le formulaire de demande de
certificat.
8. Remplissez le nom de domaine qualifié complet du serveur, par exemple
sq101.adventureworks.com.
9. Dans le champ Rôle prévu (ou Type de certificat nécessaire), cliquez sur Certificat
d'authentification serveur.
10. Pour le fournisseur de services de chiffrement (CSP), sélectionnez Microsoft RSA
SChannel Cryptographic Provider, Microsoft Base Crypto Provider version 1.0
ou Microsoft Enhanced Cryptographic Provider. Ne sélectionnez pas Microsoft
Strong Cryptographic Provider.
11. Activez la case à cocher Utiliser le magasin de l'ordinateur local.
12. Vérifiez que la case à cocher Activer la protection renforcée de clés privées est
désactivée.
13. Cliquez Envoyez pour envoyer la demande.
14. Si le serveur de certificats délivre automatiquement des certificats, vous pouvez
installer le certificat maintenant. Sinon, vous pouvez l'installer lorsqu'il a été délivré
par l'administrateur de l'autorité de certification.
7
5.3) Assigner un certificat du serveur SSL à un site Web
1. Dans le Gestionnaire des services IIS, développez l'ordinateur local, puis Développez
le dossier Sites Web.
2. Cliquez avec le bouton droit sur le site Web auquel vous souhaitez assigner le
certificat et cliquez sur Propriétés.
3. Sélectionnez l'onglet Sécurité du répertoire et sous Communications sécurisées,
cliquez sur Certificat de serveur.
4. Dans l'Assistant Certificat de serveur Web, cliquez sur Attribuer un certificat
existant.
5. Suivez les étapes dans l’Assistant Certificat de serveur W eb qui vous guide à travers
le processus d'installation d'un certificat de serveur. Après avoir terminé l'Assistant,
vous pouvez consulter les informations sur le certificat en cliquant sur le bouton
Afficher le certificat dans l'onglet Sécurité du répertoire des pages Propriétés des
sites Web.
6. M ise en œ uvre du répertoire de partage
Pour héberger les fichiers partagés, on peut utiliser n’im porte quelle solution qui nous
permettrait de créer un partage et de permettre l’accès à la m achine distante.
Pour un déploiement de petite échelle, vous pouvez utiliser simplement un répertoire partagé
quise trouve sur un serveur,m ais cette solution n’est pas du tout conseillée.
La solution que nous conseillons est d’utiliser Distributed File System (DFS). Cette solution
permet de distribuer les fichiers partagés sur plusieurs serveurs et gère automatiquement la
réplication et la distribution de la charge.
6.1) Installer DFS sur un serveur
1. Dans Windows, accédez au Administrative Tools et après cliquez sur Manage your
Server et après sur Add a new role.
2. Dans la fenêtre Your Server Wizard, cliquez sur Next
3. Dans la page Server Role cliquez sur File Server et après appuyez sur Next.
4. Dans la fenêtre Add File Server Role Wizard, cliquez sur Next et après cliquez
Replicate data to and from this server et après Next .
6.2) Créer un nouveau namespace
1. Dans le snap-in DFS Management,faites un clique droit sur le nœ ud Namespaces et
après cliquez sur New Namespace
2. Mettez un nom pour le nouveau Namespace à créer
3. Choisissez Domain-based namespace pour le type du nouveau Namespace et après
cliquez sur Créer
8
6.3) Sécurisation des fichiers partagés
Cette solution de base n’offre pas des solutions du point de vue sécurité pour les utilisateurs.
O n pourrait gérer la sécurité par des droits N TFS sur les répertoires partagés d’un projet au sein
de l’entreprise ou des répertoires personnels.
Si les utilisateurs ont besoin d’une m esure de sécurité, nous conseillons la m ise en œ uvre
d’Encripted File System (EFS). U ne m anière sim ple de réaliser cela serait d’utiliser l’autorité de
certification qui a déjà été installée auparavant pour fournir aux utilisateurs des certificats EFS.
En installant ces certificats sur leurs comptes, ils pourront ainsi crypter des fichiers et aussi
donner les droits qu’ils souhaitent aux autres utilisateurs sur leurs fichiers. D e cette façon,
m êm e dans le cas de récupération de fichier par un pirate ou un sim ple envoi par m ail d’un
fichier, seulement les personnes ayant le certificat pour le décrypter pourront lire le fichier.
Vous pouvez trouver plus d’inform ations sur l’installation et l’utilisation du EFS sur le site
http://www.microsoft.com/smallbusiness/support/articles/protect_data_EFS.mspx
7. Configuration du portail Web
Après avoir installé le portail web, il faut maintenant le configurer pour personnaliser les
variables liées au domaine, à la base de données et au répertoire utilisé pour le partage des
fichiers.
Ces informations se trouvent dans le fichier web.config qui se trouve dans le répertoire
d’installation du portailweb et peuvent être édités directement dans ce fichier.
9
Pour des raisons de sim plicité, les variables de l’application peuvent être aussi éditées depuis
l’interface graphique de configuration de l’IIS.Pour accéder à cette interface,ilsuffit d’ouvrir la
console d’adm inistration de l’IIS depuis Start/Administrative Tools/Internet Information
Services. Depuis cette interface graphique, faites un clique droit sur le site web qui héberge le
portail et cliquez sur Edit Configuration qui se trouve dans le menu ASP.NET.
Les variables du portail quoi doivent êtres changés se trouvent dans le panneau Application
settings comme vous pouvez le remarquer sur la figure suivante.
Parm i ces variables de l’application, le D om ain représente le nom du dom aine fini par le
caractère "\", le Path représente le lien vers le répertoire destiné au partage des fichiers et le
Connexion String indique les paramètres nécessaires pour accéder à la base de données.
Le portail web utilise ASP.net 2 et donc il faut configurer le site web qui a était crée pour
passez en mode ASP 2.0.50727. Vous pouvez faire cette configuration depuis le menu ASP.NET
de propriétés du site w eb (depuis l’interface Start/Administrative Tools/Internet Information
Services).
8. Gérer les comptes utilisateur du Portail Web
Les acteurs vont utiliser leurs com ptes depuis l’annuaire LD AP pour se connecter au portail.D e
cette façon on aurait une synchronisation entre notre portail et l’annuaire et les utilisateurs
auront un seul compte, sans besoin de mémoriser plusieurs mots de passe.
10
8.1) Im portation des com ptes utilisateur depuis l’annuaire LD AP (AD )
Pour ajouter des utilisateurs depuis l’annuaire LD AP dans le portail,ilsuffit d’aller sur la
page http://NomDuPortailWeb/ADUsers.aspx ou vous allez pouvoir importer des comptes
utilisateur depuis Active D irectory grâce à l’interface interface présenté dans la figure suivante :
La liste de gauche contienne la liste de tous les utilisateurs quise trouve dans l’annuaire AD de
votre domaine (et qui sont des comptes utilisateur et non pas des comptes de service). Le
format de présentation des utilisateurs à gauche sont sur la forme login (nom prénom) pour
m ontrer en m êm e tem ps le login et le nom des utilisateurs que l’on puisse im porter.
La liste de droite présente une liste des comptes utilisateur qui ont déjà était importée dans le
portail web.
Pour im porter le com pte d’un utilisateur, il suffit de le sélectionner dans la liste de gauche et
cliquer ensuite sur le bouton Ajouter l’utilisateur sélectionné et l’utilisateur va apparaitre dans
la liste de droite. Un compte utilisateur peut être présent seulement une fois dans le portail
w eb,et sivous sélectionné un com pte quiexiste déjà dans le portailet essayer de l’ajouter une
autre fois en cliquant sur le bouton Ajouter l’utilisateur sélectionné il y aura rien qui va se
passer.
11
8.2) Attribution des rôles pour les utilisateurs
Pour trouver une personne plus facilement depuis le portail web, mais aussi pour gérer les
droits des différents utilisateurs, chaque utilisateur est attribué un ou plusieurs rôles.
Par default ily a 2 rôles crées lors de l’installation de l’application : Chef de Projet et Directeur.
Les utilisateurs qui ont le rôle de Directeur sont les seuls utilisateurs qui peuvent créer des
nouveaux projets et les utilisateurs qui ont le rôle de Chef de Projet sont les seuls qui peuvent
gérer un projet en ajoutant et modifiant des Taches.
Une autre utilisation des rôles attribues aux utilisateurs est de faire une segmentation du
domaine du travail effectué par l’utilisateur dans l’entreprise. Par exem ple des rôles de type
R&D, Marketing ou Développement sert à grouper les utilisateurs qui ont cette fonction au sein
de l’entreprise. Lors de la attribution des taches, dans le PortailW eb, le chef de projet aura la
possibilité de voir toutes les m em bres de l’entreprise quiont un telrôle,pour pouvoir attribuer
une tache donné à un utilisateur qui à le domaine des compétences nécessaire pour réaliser
cette tâche.
L’interface qui perm et de gérer les rôles attribues aux utilisateurs est présente dans la figure
suivante (accessible
par
les
adm inistrateurs
du
dom aine
à
l’adresse
http://NomDuPortailWeb/Configuration.aspx):
12
Pour créer un nouveau rôle, il suffit de compléter la boîte à côté du signe "Nouveau rôle à
créer", marquer une courte description pour le nouveau rôle à créer et appuyer sur le bouton
"Créer".
Pour attribuer un rôle à un utilisateur, il suffit de sélectionner un rôle à attribuer à l’aide du
menu déroulant, sélectionner un utilisateur depuis la liste de toutes les comptes utilisateurs
présents dans le Portail Web et cliquer sur le bouton "Ajouter le rôle à ce utilisateur". Quand
vous sélectionnez un rôle dans le m enu déroulant, la description de ce rôle s’affiche, pour
donner une description détaillée de ce rôle.
Un utilisateur peut être attribué plusieurs rôles, et un utilisateur peut être attribué un rôle au
plus une fois.
13