Pierre HELEUX - WordPress.com

HELEUX Pierre
!
!
Dossier E4
Conception et
maintenance de
solution
informatique
Conseil Départemental du
Finistère
!
!
BTS SIO!
!
Spécialité : Solution
d’Infrastructure
Systèmes et Réseaux
!
Promotion 2013-2015
!
!
!
!
!
!
!
!
!
pierreheleux.wordpress.com
!
Introduction
!
Je m’appelle Pierre HELEUX, j’ai 23 ans, je suis en
apprentissage à la Faculté des Métiers-Chambre des Métiers et
de l’Artisanat de Bruz, sur le campus de Ker Lann en BTS SIO
spécialité Solutions d’Infrastructures Systèmes et Réseaux, ainsi
qu’au Conseil général du Finistère.
Le domaine de l’informatique, des télécommunications et
réseaux m’a toujours passionné. Je n’ai cessé de m’intéresser
aux nouvelles technologies et d’apprendre par moi-même tout ce
qui s’y rapporte. J’ai donc décidé d’approfondir mes
connaissances en en faisant mon métier.
J’ai obtenu mon diplôme du baccalauréat professionnel SEN
TR en apprentissage avec mention bien et j’ai décidé de
continuer en BTS SIO et ainsi de poursuivre mes études dans le
domaine des réseaux.
Dans le cadre de ma formation on nous demande de réaliser
un dossier de conception et maintenance de solution informatique
qui va présenter 2 travaux pratiques que j’ai réalisé en entreprise
ou en formation.
J’ai choisi de vous présenter deux projets sur la partie
système qui sont essentiels en entreprise et qui sont axés sur la
sécurité et l’environnement utilisateur.
En premier lieu je vais vous présenter une mise en place d’un
réseau public avec authentification à la connexion et filtrage Web
grâce à la distribution linux Untangle.
Dans un second temps j’ai mis en place une Serveur
Microsoft Windows Exchange qui permet d’avoir une messagerie
propre à un entreprise.
!
!
!
Sommaire
!
Présentation du candidat!
3!
Présentation de l’entreprise!
4!
Fonctionnement et Missions
4
Organisation du service
4
Fonctionnement du service
5
Filtrage Web et Portail Captif !
7!
introduction
7
Etat des lieux
7
Recherche de solution
8
Solution retenue
9
Mise en place
12
Conclusion
17
Serveur de messagerie !
18!
introduction
19
Etat des lieux
19
Solution retenue
19
Mise en place
20
Conclusion
23
Conclusion
24
ANNEXE IV - 4 : modèle de fiche de contrôle de conformité pour l’épreuve E4
BTS Services informatiques aux organisations
Session 2015
E4 – Conception et maintenance de solutions informatiques
Coefficient 4
CONTRÔLE DE CONFORMITÉ
NOM et prénom du candidat :
N° Candidat :
HELEUX Pierre
0318879682
Conformément à l’arrêté du 22 juillet 2008 (B0 n° 3 2 du 28 août 2008) fixant définition et
conditions de délivrance de certaines spécialités de brevet de technicien supérieur dont
l’annexe I définissant le contrôle de conformité du dossier support d’épreuve, une commission
de contrôle a été chargée d’apprécier la conformité des dossiers des candidats.
Après vérification, votre candidature ne peut être retenue pour le(s) motif(s) ci-dessous :
Absence de dossier
Dépôt du dossier au-delà de la date fixée par les autorités académiques
Afin de pouvoir vous présenter à l’épreuve, vous êtes prié de :
Sans régularisation de votre part, vous ne pourrez subir l’épreuve et le diplôme ne pourra
vous être délivré.
Date du contrôle :
Visa :
!
Page 2 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
Présentation du candidat
!
!
!
!
!
!
!
!
7 rue des acacias
35780 La Richardais
06.08.28.57.14
[email protected]
Pierre HELEUX
Compétences
Windows serveur : DHCP, DNS, Active Directory, Exchange,
WDS.
Unix : bases Unix, bonnes notions en commandes Unix
(ubuntu, débian, …).
Notions en configuration CISCO (switchs, routeurs)
Programmation : html, php, SQL, python, C++.
Gestion d’incidents (ITIL) avec GLPI, assistance aux
utilisateurs, gestion de parc. Mise en place de réseaux
d’entreprise.
Expériences
Conseil général du finistère
2013-2015
2 années d’expérience au sein du Conseil Général du Finistère (CG29) et
en contrat d’apprentissage à la chambre des métiers de Ker-Lann à Bruz.
Orange
2011-2013
2 années d’expérience au sein d’Orange et en contrat d’apprentissage à la
chambre des métiers de Ker-Lann à Bruz.
GND telema
2010-2011
CDI : Activité salariée en tant que téléprospecteur au sein d’une entreprise
de télémarketing à Cesson Sévigné.
Communication Prix du Conseil Régionnal de Bretagne en tant que major de promo
en Bac Pro.
Loisirs
• Passionné d’informatique et de mécanique automobile
• Voile sur habitable en régate de 2006 à 2009 dans la
baie de saint Malo et catamaran sportif
• Pratique d’instruments de musique : batterie et
trompette
Permis
Titulaire des permis A, B (+ véhicule), Titulaire du permis bateau
pierre heleux !
Page 3 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
!
Présentation
de l’entreprise
!
!
Conseil Général du Finistère!
32 Boulevard Dupleix!
29000 Quimper!
Téléphone : 02 98 76 20 20!
Fax : 02 98 76 20 13!
E-mail : [email protected]!
SIRET : 222 9 000 11 000 16!
Code APE : 84 11 Z!
!
Fonctionnement et Missions
!
Il est composé de 54 conseillers généraux qui élisent leur président, aujourd’hui Pierre
Maille. Ils sont élus au suffrage universel pour un mandat de 6 ans et renouvelé par moitié
tous les 3 ans. (24 à 25 conseillers généraux)!
Le Conseil Général du Finistère se charge des affaires départementales, en l’occurrence
dans le domaine du Social,
des transports (scolaires et publics) ainsi que de la
construction et l’entretien des collèges publics.!
Celui-ci s’occupe en plus, pour créer une politique active pour toutes personnes habitant
dans le Finistère, de l'économie, de l'enseignement supérieur et la recherche, de
l'aménagement du territoire, de l'environnement, des logements sociaux ainsi que du
développement culturel et du sport.!
Le Conseil Général du Finistère est constitué de plusieurs Directions dans la ville de
Quimper ainsi que dans tout le département.!
L’avantage est d’avoir un point de rencontre proche de chez soi partout dans le
département mais pour les agents de certains services, il faut se déplacer souvent et dans
tout le Finistère.!
!
Organisation du service
!
Je travaille dans la Direction des Systèmes d’Informations dans le Service Assistance
Utilisateur et Parc Micro (SAUPM) se situant à Quimper, 10 Rue Le Déan!
Le service informatique doit assurer le bon fonctionnement du matériel informatique de
toutes les Directions du Conseil Général mais aussi du SDIS (Service Départemental
d’Incendie et Secours) et de la MDPH (Maison Départementale des Personnes
Handicapées) dans tout le département ainsi que de l’assistance aux utilisateurs des
agents des collèges, pour un total d’environ 160 sites.!
!
Page 4 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
!
Fonctionnement du service
!
Le SAUPM se charge de la réception du matériel informatique. Celui-ci est ensuite
enregistré dans un logiciel d’inventaire appelé GLPI. !
Le service s’occupe de la création des comptes utilisateurs où une adresse e-mail sera
créée automatiquement par le biais de la console Exchange Management, ainsi que
d’attribuer les droits aux utilisateurs pour le serveur de fichiers (Chaque utilisateur
possède des droits particuliers sur le serveur de fichiers suivant la Direction et le Service
auquel il appartient). !
Le technicien assure (via un serveur MDT) la préparation, l’installation et la configuration
des postes pour les utilisateurs de manière à pouvoir en remplacer ou en installer des
nouveaux. !
Il fait également l’entretien et la réparation du matériel informatique. Toutes les
interventions réalisées sont saisies dans le logiciel de gestion de parc GLPI (nom de
l’utilisateur, localisation..).!
Il s’occupe aussi l’installation de logiciels, soit directement sur le poste, soit par l’utilisation
du logiciel de télédistribution SCCM sur les 3000 postes du parc. Chaque intervention fait
l’objet d’un enregistrement de ticket dans GLPI.!
Le technicien assure aussi une fois par semaine (en moyenne) la prise d’appels
téléphonique du support informatique (02.98.76.26.00) de niveaux 1 et 2.!
Le technicien assure la préparation et l’installation des serveurs d’impressions et des
imprimantes réseaux qui y sont connectées. Il configure les photocopieurs (renseigner le
serveur SMTP, l’enregistrement des agents pour le Scan to email, la configuration
générale et réseau, …).!
Lorsqu’une panne est constatée par l’utilisateur, celui-ci appelle la Hotline du Conseil
général au 0298762600. !
S’il appelle pour une panne de logiciel, une installation d’imprimante, copieur ou toute
autre configuration, le technicien utilise UltraVNC (Virtual Network Computing) pour
prendre le poste client à distance, autrement dit de la télémaintenance.!
Si au contraire il s’agit d’une panne matérielle, l’unité centrale qui ne démarre plus, un
écran cassé, le technicien fait un échange du matériel.!
Lors de la maintenance, si le produit est sous garantie, nous appelons la hotline du
constructeur (HP, Lenovo…) pour les unités centrales, les écrans et les portables, ou la
société CIS Infoservice (entreprise d’installation et de maintenance d’infrastructures
informatiques) qui assure la maintenance du parc d’imprimantes réseau.!
Si au contraire le matériel n’est plus sous garantie, le technicien du CD29 fait un
diagnostic, et effectue la réparation. Après visa du chef de service, si le coût de réparation
est trop important, le matériel est déclassé.!
!
!
!
!
!
Page 5 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
!
BTS Services informatiques aux organisations !
Session 2015
E4 – Conception et maintenance de solutions informatiques!
Coefficient 4
DESCRIPTION D’UNE SITUATION PROFESSIONNELLE
Épreuve ponctuelle
☑
PARCOURS SISR
☑
Contrôle en cours de formation
☐
PARCOURS SLAM
NOM et prénom du candidat : HELEUX Pierre
N°candidat :
☐
0318879682
Contexte de la situation professionnelle1!
J’ai décidé pour mon projet de mettre en place mon propre réseau avec un accès par authentification et un filtrage des
connexions. Cette démarche à pour but de simuler la fourniture d’un accès public à internet pour les personnes le désirant
tout en garantissant une certaine sécurité pour le fournisseur de ce service.
Intitulé de la situation professionnelle
Filtrage Web et Portail Captif
Période de réalisation : !
Modalité : !
☑
!
01/2015!
Seul !
!
!
Lieu :
!
☐!
En Formation!
En équipe
Principale(s) activité(s) concernée(s)2!
2.2.1 une solution garantissant des accès sécurisés à un service, internes au périmètre de sécurité de l'organisation (type intranet) ou
externes (type Internet ou extranet) ;!
2.2.7 une solution permettant la supervision de la qualité, de la sécurité et de la disponibilité des services avec remontées d'alertes ;!
2.2.8 une solution permettant la détection d'intrusions ou de comportements anormaux sur le réseau ;
Conditions de réalisation2 (ressources fournies, résultats attendus)!
Ressources fournies : Lenovo S20 (Xéon 1,3Ghz, 4Go RAM DDR3, 250Go HDD)
Hp Compaq Pro 6005 (AMD Sempron 140, 2Go RAM DDR3, 250 Go HDD)
Switch 8 ports non administrable
Borne Wi-Fi
Résultats attendus : Proposer un accès public mais restreint à internet tout en se protégeant vis à vis de la
loi, au moyen d’un portail captif et d’un filtrage Web.
Productions associées
Modalités d’accès aux productions3!
Le serveur est accéssible avec le login : Administrateur, et le mot de passe : azerty/123.
La session de test sur le poste client est : login : Client1, et le mot de passe : azerty/123
Modalités d’accès à la documentation des productions4
http://pierreheleux.wordpress.com
Page 6 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
Filtrage Web et Portail Captif
!
introduction
!
Le Conseil Départemental du Finistère (CG29) a implanté un réseau wifi public pour
pouvoir accéder à internet à partir de différents terminaux. Les personnes souhaitant
accéder à ce service en font la demande à l’accueil de la Maison du Département.!
J’ai donc décidé pour mon projet de mettre en place mon propre réseau avec un
accès par authentification et un filtrage des connexions. Cette démarche à pour but de
simuler la fourniture d’un accès public à internet pour les personnes le désirant tout en
garantissant une certaine sécurité pour le fournisseur de ce service.!
!
Etat des lieux
!
Ce dont je dispose : !
!
Matériel
caractéristiques
commentaires
Lenovo S20
- Xéon 1,3Ghz!
- 4Go RAM DDR3!
- 250Go HDD SATA II
Serveur :!
Login : Admin!
Password : Azerty/1234**
HP Compaq Pro 6005
- AMD Sempron 140!
- 2Go RAM DDR3!
- 250Go HDD SATA II
Client :!
Login : client1!
Password : azerty/123
Switch
- 8 ports!
- non administrable
Netgear
Borne Wi-Fi
Login : Admin!
Paswword : azerty/123
!
Ce dont je vais avoir besoin :!
!
!
! - une carte réseau supplémentaire en PCI.!
! - une distribution serveur capable de gérer, de filtrer, de capturer et de surveiller le
trafic réseau.!
- un poste client pour tester la solution!
- une borne Wifi pour tester la solution sur mobile!
!
Pour ce faire il me faut une distribution complète, gratuite et simple à mettre en
fonction et à utiliser.!
!
!
!
!
Page 7 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Recherche de solution
!
plusieurs solutions gratuites existent sur le marché pour créer un portail captif
avec un annuaire, un enregistreur de logs et un filtrage du web.!
!
!
Contraintes et faisabilité!
!
Il est évident que la sécurité est le maître mot. Il est donc impératif de suivre les
contraintes légales : elles spécifient que lors d’une ouverture d’une connexion publique,
l’entreprise doit garder les logs (journaux des évènements) des connexions. Doivent y être
inclus : l’adresse IP, l’adresse MAC, le nom Netbios, le site visité (adresse IP). Le tout doit
être gardé pendant une année :!
!
l'article R.10-13 du CPCE issu du décret du 24 mars 2006 décrit les catégories de données à
conserver. Il s'agit des données permettant l'identification de la personne qui s'est connectée, les
données de connexion dont la date et l'heure, les données relatives aux équipements utilisés et même
les données permettant d'identifier les destinataires de toute communication effectuée. Le décret du
24 mars 2006 fixe la durée de conservation des données à un an, durée au-delà de laquelle elles
devront être anonymisées.
http://www.journaldunet.com/ebusiness/expert/42410/quellesobligations-pour-les-fournisseurs-de-services-wi-fi.shtml
!
!
!
Le solution choisie doit intégrer au minimum un portail captif, un filtrage web et un
enregistrement des logs. !
Voici un tableau comparatif de 3 solutions retenues :!
!
Solution
portail captif
annuaire
interne
Filtrage Web
serveur dhcp enregistrement
des logs
Pfsense
oui
non
oui
oui
oui
Untangle
oui
oui
oui
oui
oui
Alcasar
oui
oui
oui
non
oui
Wangarden
payant
payant
basique
non
oui
!
!
!
!
!
!
Page 8 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Solution retenue
!
Il a fallu faire un choix :!
• Pfsense est une distribution dont la réputation n’est plus à faire. Malheureusement,
même si elle est simple à installer, elle n’est pas facile d’accès et sa configuration est
assez complexe.!
• Untangle est une distribution linux basée sur Debian. Elle est simple à installer, à
configurer et à utiliser. Elle dispose d’un portail captif, d’un annuaire, un filtrage web, elle
fait office de routeur et de serveur DHCP.!
• Alcasar est très peu connue, c’est une distribution simple mais limitée dans sa
configuration.!
• Wangarden est une solution complète et simple mais payante.!
!
J’ai choisi d’utiliser (et en même temps de tester) la distribution Untangle. C’est une
distribution basée sur Debian. Elle est constituée d’une base de type Firewall sur laquelle
viennent se greffer des modules directement téléchargeables. Cette distribution est
disponible sur le site : http://www.untangle.com!
Untangle est une solution idéale pour filtrer les entrées et sorties d’un réseau. Voici
un récapitulatif des applications disponibles :!
!
Thèmes / Applications
Gratuites
Payantes
Protect
Firewall!
Prevention!
Phish Blocker!
Virus Blocker Lite
Virus Blocker!
Intrusion
Filter
Ad Blocker!
Application Control Lite!
Spam Blocker Lite!
Web Filter Lite
Application Control!
HTTPS Inspector!
Spam Blocker!
Web Filter
Perform
Bandwidth Control!
WAN Balancer!
WAN Failover!
Web Cache
Connect
Captive Portal!
OpenVPN
IPsec VPN
Manage
Reports
Directory Connector!
Policy Manager
Add-Ons
Branding Manager!
Live Support
!
De plus il s’intègre très bien en entreprise. La société Untangle propose aussi des
équipement physique pour les entreprises sous forme de switchs/routeurs administrables,
sur lesquels est installée la distribution Untangle. Ces équipements sont disponible sur
leur site : !
!
Page 9 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
SMALL
Base Price
u10
$795
u50
$995
u50w
$1195
MID-SIZED
Intel Atom®
single core
processor
Intel Atom®
dual core
processor
Intel Atom®
dual core
processor
Base Price
u150
$1395
u500
$2995
ENTERPRIS
E
$6995
m3000
$8495
Intel
Pentium®
dual core
processor
Intel i7 Intel®
Core™ quad
core processor
!
!
!
!
Hard Disk
Ports
Size
1G RAM
160 GB 7200
rpm
Four Gigabit
Ethernet
w:7.1” d:5.9”
h:1.65”
2G RAM
160 GB 7200
rpm
Four Gigabit
Ethernet
w:11.8” d:
5.8” h:1.73”
2G RAM
500 GB 7200
rpm
Four Gigabit
Ethernet
w:7.1” d:6.0”
h:1.9”
RAM
Hard Disk
Ports
Size
4G RAM
500 GB 7200
rpm
Six Gigabit
Ethernet
w:17.25” d:
11.5” h:1.73”
16G RAM
500 GB 7200
rpm
Eight Gigabit
Ethernet
w:17.20” d:
18” h:1.73”
RAM
Hard Disk
Ports
Processor
Dual Intel
Xeon® quad
core
processors
Dual Intel
Xeon® six
core
processors
!
RAM
Processor
Base Price
m1500
Page 10 !
Processor
Size
16G RAM
1 TB 7200
rpm
Ten Gigabit
Ethernet
w:17” d:22.8”
h:3.5”
16G RAM
1 TB 7200
rpm
Ten Gigabit
Ethernet
w:17” d:22.8”
h:3.5”
!
!
Pierre HELEUX !
0318879682
Avantages / Inconvénients!
!
Avantages :!
Cette solution présente les avantages d’être gratuite, simple à installer et à
configurer et surtout extrêmement complète. !
Elle permet d’être rapidement mise en place dans une entreprise sans pour autant
impacter la qualité du réseau. Elle peut être installée soit comme un routeur, soit en mode
« transparent » pour ne gêner en rien le réseau.!
L’autre avantage est qu’elle correspond tout à fait à mes attentes, je peux y installer
les modules : !
• Captive Portal!
• Reports!
• Web Filter Lite!
!
inconvénients :!
!
Cette solution nécessite d’avoir 2 contrôleurs réseau, soit 2 cartes. Une pour
l’extérieur (WAN), l’autre pour l’intérieur vers le réseau interne (LAN). Ce qui induit qu’il
soit mis obligatoirement entre le modem et le reste du réseau :!
!
!
Un autre inconvénient est que certaines applications (modules) sont payantes.!
!
!
!
!
Page 11 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Mise en place
!
Installation de la distribution :!
!
La distribution Untangle s’installe simplement car elle est basée sur un Debian. !
Il n’y a pas besoin de rentrer d’adresse IP à l’installation, on peut le faire plus tard,
lors de la configuration initiale de Untangle.!
Untangle est en réalité un serveur qui gère le flux de données transitant entre le
modem et le réseau local. Pour ce faire il faut respecter une configuration matérielle
minimum pour éviter les ralentissements au niveau du débit.!
!
Voici le tableau de configuration minimum pour un serveur non fourni par Untangle :!
!
Nbr d’Utilisateurs
1-50
Processeur
Mémoire
Disque Dur
Notes
Atom/P4 ou équivalent
1 Go
80 Go
51-150
Dual Core
2 Go
80 Go
151-500
2 Cores ou plus
2 Go ou plus
80 Go
501-1500
4 Cores
4 Go
80 Go
64-bit
1501-5000
4 Cores ou plus
4 Go ou plus
80 Go
64-bit
!
!
!
!
Configuration d’Untangle :!
!
Une fois le serveur prêt, Untangle propose une configuration simplifiée et
personnalisée des options de base. Il s’agit là de rentrer les information vitales au
fonctionnement de cette distribution en fonction de notre réseau :!
I.
Settings : Il faut choisir un mot de passe Administrateur pour le serveur. !
• Ici : azerty/123!
II. Network Cards : Untangle nécessite 2 cartes réseau, une « External » pour le
réseau WAN et l’autre « Internal » pour le réseau LAN.!
• External en eth0!
• Internal en eth1!
III. Internet Connection : Oui, Untangle a besoin d’internet pour pouvoir
télécharger les modules par la suite, il teste donc la connexion à internet. Pour ce
faire on peut choisir le type de configuration de la carte :!
A. Auto (DHCP) : par défaut Untangle se considère comme derrière un DHCP et
va donc chercher à récupérer une adresse IP.!
B. Static : C’est maintenant que je peux choisir l’adresse IP que je vais lui mettre.!
Page 12 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
• Ici, le réseau est en 192.168.0.xxx, bien qu’il y ai un DHCP, je préfère
mettre mon serveur en adressage fixe pour pouvoir prendre la main dessus
plus facilement derrière. Adresse IP : 192.168.0.245!
IV. Internal Network : Untangle peut être configuré de deux manières différentes !
A. En mode Router : c’est à dire qu’il active le NAT en interne et le serveur DHCP
par défaut. Il sert alors de routeur et de Firewall. !
B. En mode Transparent Bridge : Untangle est alors un « pont transparent ». Il
doit être positionné directement entre le Firewall et le Switch principal. Il n’est pas
nécessaire de changer les tables de routages ou la passerelle par défaut des
ordinateurs. Il sert de point de contrôle sans altérer quoi que ce soit.!
!
V. Automatic Upgrades : Il s’agit de choisir s’il faut installer automatiquement les
mises a jour ou non. Il faut savoir que les signatures pour Virus Blocker, Spam
Blocker, Web Filter, etc … sont mises à jour automatiquement quel que soit le choix
fait ici.!
!
!
!
L’installation de Untangle est maintenant terminée. Le serveur redémarre tout seul. !
Il faut maintenant installer et configurer les différents modules nécessaires.!
!
!
!
!
!
!
Installation et configuration des modules!
!
Page 13 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Les modules s’installent naturellement : il suffit de cliquer sur le bouton « Install » sur
la vignette du module :!
!
!
• Captive Portal : !
!
Ce module me permet d’installer un portail captif avec les pages de connexion et de
blocage personnalisables ainsi qu’une gestion des utilisateurs.!
Il se décompose en 7 onglets : !
• Status !
• Permet de déconnecter n’importe quelle session en cour.!
• Permet de visualiser le statu du portail captif et les sessions actives.!
!
• Capture Rules!
• Permet de définir et de visualiser les règles de capture mises en place.!
!
Ici, j’ai laissé la première règle en place qui consiste à bloquer tout le transit entre le LAN
et le WAN!
!
• Passed Hosts!
• Permet de gérer les machines ou les serveurs qui sont autorisées à passer
outre le portail captif en faisant fi des règles dans un sens ou dans l’autre.!
!
Ici, Outre le serveur Untangle, aucune autre machine ne doit pouvoir passer outre.!
!
!
• Captive page!
• Permet de définir la page d’authentification à afficher. !
• Permet de définir l’URL à afficher après l’authentification.!
!
Dans mon TP, j’ai laissé la page par défaut, assez claire pour pouvoir la comprendre, et
j’ai mis comment URL de redirection : http://www.google.fr!
!
!
• User Athentification!
• Est la section qui permet de gérer le moyen par lequel les utilisateurs peuvent
s’authentifier :!
Page 14 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
•
•
•
•
Pas d’authentification!
Annuaire Local (directement installé avec le serveur)!
RADIUS!
Active Directory!
J’ai choisi pour mon projet d’utiliser l’annuaire interne à Untangle, c’est une des
prérogatives.!
!
• Login Event Log!
• Block Event Log!
• Ces deux onglets permettent de visualiser les logs de capture du portail captif.!
!
!
!
!
!
• Reports :!
!
Reports est un add-on qui permet de voir les statistiques détaillées de l’ensemble du
trafic sur le réseau. Il permet aussi de journaliser les logs, de les envoyer par email de
manière automatique et de les exporter au format CSV pour les archiver. Le mail est
composé d’une statistique simplifiée pour l’export en PDF. !
Les rapports sont générés par défaut toutes les 24H. !
Reports gère aussi les envoies via syslog, ce qui permet d’avoir une remontée sur
Nagios par exemple.!
Grâce aux alertes, on peut faire envoyer un mail à tous les administrateur par
exemple sur un évènement en particulier, sur un groupe d’évènements, ou sur une règle. !
!
Reports se configure tout seul avec le portail captif et s’implémente automatiquement. !
Pour mon projet j’ai juste modifié la génération de rapports à une fois par semaine.!
Je peux y avoir accès de n’importe où sur le réseau avec une connexion authentifiée. !
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
• Web filter lite!
!
Page 15 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Ce module supervise le trafic HTTP du réseau pour voir le comportement des
utilisateurs et ainsi bloquer les pages inappropriés.!
Ce module propose de bloquer les sites par catégories ou par sites :!
!
!
Il propose aussi de bloquer les fichiers par extensions, les applications web par type
MIME (ou encore Content-type, il s’agit d’un « Internet media type ») et aussi les
applications Google.!
Enfin, ce module permet de laisser passer certains sites ou clients.!
!
Pour mon projet, j’ai bloqué toutes les catégories inappropriées : Hacking, Hate and
Agression, Illegal Drugs, Pornography, Proxy sites, Shopping et Violence.!
!
De plus j’ai bloqué les sites du type Facebook, Twitter.!
!
Seulement, il y à un problème avec ces sites, ils passent par le protocole HTTPS. La
version gratuite de Web Filter (Web Filter Lite) ne filtre pas le protocole HTTPS. Je n’ai
donc pu bloquer Facebook qu’en tapant l’adresse web manuellement en HTTP.!
L’application payante coûte 25$ par mois ou alors 270$ à l’année.!
!
!
!
!
!
!
!
Mise en place de la borne Wi-Fi!
!
Page 16 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Il s’agit simplement de mettre en place le borne Wi-Fi, la brancher sur le switch et sur
le port WAN de la borne. L’authentification se fait au moyen d’un SSID et d’une clé WPA/
WPA2 PSK :!
!
SSID :!!
!
Mot de passe :!
!
!
!
Wifi-­‐Gratuit azerty/123 La configuration est simple, le DHCP de la borne prends le relai de celui de Untangle
et la passerelle par défaut reste l’adresse IP du serveur Untangle.!
!
La solution est testée et fonctionne.!
!
!
!
!
!
!
!
!
!
!
Conclusion
!
!
En conclusion, Ce projet m’a permis de découvrir une nouvelle solution de filtrage
web garantissant une sécurité maximale pour le fournisseur de la connexion à internet.!
Grâce à ce projet, j’ai pu mieux comprendre la gestion du trafic réseau que ce soit
les sessions, les connexion ou l’authentification et j’ai pu apprendre l’interconnexion entre
le réseau LAN et le réseau WAN.!
Ce projet m’as permis de voir clairement l’intérêt de différents protocoles comme le
NAT par exemple, et surtout il m’as permis d’avoir un exemple concret d’un réseau d’une
petite entreprise.!
Cette distribution est vraiment complète. elle peut être mise en place dans n’importe
quelle petite ou moyenne entreprise qui ont peu de ressources. Les outils développés
ainsi que les matériels dédiés sont un atout majeur pour qui veut mettre en place cette
solution facilement et rapidement. De plus la configuration des éléments, bien que
relativement poussée, est assez aisée et accessible.!
!
!
!
!
!
!
!
!
Page 17 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
BTS Services informatiques aux organisations !
Session 2015
E4 – Conception et maintenance de solutions informatiques!
Coefficient 4
DESCRIPTION D’UNE SITUATION PROFESSIONNELLE
Épreuve ponctuelle
☑
PARCOURS SISR
☑
Contrôle en cours de formation
☐
PARCOURS SLAM
NOM et prénom du candidat : HELEUX Pierre
N°candidat :
☐
1882
Contexte de la situation professionnelle1!
Dans le cadre de ma formation, j’ai choisi de mettre en place un serveur de messagerie pour entreprise. Ce projet
a pour but de me familiariser avec l’installation d’un service microsoft qui est essentiel à l’environnement utilisateur.
Intitulé de la situation professionnelle
Mise en place d’un serveur de messagerie
Période de réalisation : !
Modalité : !
☑
!
01/2015!
Seul !
!
!
Lieu :
!
☐!
En Formation!
En équipe
Principale(s) activité(s) concernée(s)2!
2.2.1 une solution garantissant des accès sécurisés à un service, internes au périmètre de sécurité de l'organisation (type intranet) ou
externes (type Internet ou extranet) ;!
2.2.2 une solution garantissant la continuité d'un service ; !
2.2.6 une solution gérée à l'aide de procédures automatisées écrites avec un langage de « scripting » ;
Conditions de réalisation2 (ressources fournies, résultats attendus)!
Ressources fournies : Lenovo M83 (Intel Pentium G3220, 4Go RAM DDR3, 250Go HDD)
Hp Compaq Pro 6305 (AMD A4-5300B, 4Go RAM DDR3, 250 Go HDD)
Switch 8 ports non administrable
Résultats attendus : Proposer une solution de messagerie à une entreprise.
Productions associées
Modalités d’accès aux productions3!
Tous les serveurs sont accéssibles avec le login : Administrateur, et le mot de passe : azerty/123.
La session de test sur le poste client est : login : jeand, et le mot de passe : azerty/123
Modalités d’accès à la documentation des productions4
http://pierreheleux.wordpress.com
!
!
Serveur de messagerie
Page 18 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
introduction
!
Dans le cadre de ma formation, j’ai choisi de mettre en place un serveur de
messagerie pour entreprise. Ce projet a pour but de me familiariser avec l’installation d’un
service microsoft qui est essentiel à l’environnement utilisateur.!
!
Etat des lieux
!
Ce dont je dispose : !
Matériel
caractéristiques
Utilisation
Lenovo M83
- Intel Pentium G3220!
- 4Go RAM DDR3!
- 250Go HDD SATA II
AD01.phcorp.local!
Login : Pierre!
Password : azerty/123
HP Compaq Pro 6305
- AMD A4-5300B!
- 4Go RAM DDR3!
- 250Go HDD SATA II
exch01.phcorp.local!
Login : Pierre!
Password : azerty/123
Switch
- 8 ports!
- non administrable
!
Ce dont je vais avoir besoin :!
!
!
! - Un OS serveur Microsoft sur lequel installer le service de messagerie.!
- Un service de messagerie!
- un poste client pour tester la solution!
!
!
Solution retenue
!
Plusieurs solution gratuites existent comme Zimbra sur distribution Linux,
hMailServer sur Windows, mais il a été décidé dès le départ de créer ce projet sur un
socle entièrement Microsoft.!
Il est plus aisé de choisir cette solution car les postes clients en entreprise sont
souvent sous Windows, et leurs suites office est souvent Microsoft Office.!
L’OS utilisé est un Microsoft Windows Server 2012 R2 standard qui supporte
Microsoft Office 2013. Le service de messagerie est un Microsoft Exchange Server 2013
standard SP1. !
!
!
Avantages / Inconvénients!
!
Page 19 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
Le serveur Microsoft Exchange 2013 présente l’avantage d’être une solution
Microsoft qui fonctionne sur un Os Microsoft en lien avec une suite Microsoft.!
De plus La version 2013 du serveur Exchange 2013 est rétro-compatible avec les
versions antérieurs d’Outlook (Offices 2003-2007-2010).!
!
L’inconvénient de cette solution est qu’elle est payante. Il faut acheter une licence
pour chaque serveur Exchange ainsi qu’un licence par utilisateur (CAL)1. !
!
!
!
!
Le prix s’élève à 600€ par licence serveur et 30€ par licence utilisateur. (On peut
considérer que le tarif pour une collectivité comme le Conseil Départemental du Finistère
est d’environ 600*2+30*4000= 121 200 €).!
!
!
!
Mise en place
!
!
!
Prérequis!
!
Pour pouvoir installer Exchange 2013, il faut d’abord préparer l’installation du premier
serveur (le serveur d’annuaire AD (Active Directory)) et ensuite l’installation du serveur de
messagerie.!
Le serveur Exchange s’installe sur une machine différente du serveur AD.!
!
!
!
!
1
CAL : Une Licence d'accès client (« Client Access License » en anglais ou « CAL ») est
une licence de logiciel distribuée par des sociétés comme Microsoft pour permettre à des
clients de se connecter à et de pouvoir utiliser un logiciel serveur.
Page 20 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
!
Préparation du serveur AD :!
!
• Installer Windows Server 2012 R2!
• Installer .NET Framework 4.5.2!
• Exécuter la commande suivante :!
!
!
!
Install-WindowsFeature RSAT-ADDS!
• Enfin, Installer l’AD (nom du domaine : phcorp.local)!
Il faut prévoir des utilisateurs dans l’AD pour ensuite en créer les adresses mail. Pour
ce faire, j’utilise un fichier excel en format .csv (nouveauxusers.csv) et un script d’ajout
automatique des utilisateurs.!
Le format du fichier csv doit être du type : !
« GivenName,Surname,SamAccountName »!
Le mot de passe étant inclus dans le script (il est le même pour tout le monde et sera
modifié plus tard.!
!
Ce qui donne : !
!
Pierre,HELEUX,pierre!
Jean;Dupond;jeand!
Jean;Dupont;jeant!
…!
!
!
!
Voici le script d’ajout :!
!
Import-Module ActiveDirectory
$path = Split-Path -parent $MyInvocation.MyCommand.Definition
$ou = "OU=users,OU=demo,DC=phcorp,DC=local"
$upnsuffix = "@phcorp.local"
$securepwd = ConvertTo-SecureString "azerty/123" -AsPlainText -Force
Import-Csv "$path\nouveauxusers.csv" | New-ADUser `
-Name {$_.GivenName+" "+$_.Surname} -Path $ou `
-DisplayName {$_.GivenName+" "+$_.Surname} `
-UserPrincipalName {$_.SamAccountName+$upnsuffix} `
-AccountPassword $securepwd -Enabled $true
!
!
!
!
Page 21 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
!
Préparation du serveur de messagerie :!
!
! •!
Installer le pack d'administration des outils à distance.!
! •!
Exécuter la commande suivante sur le serveur de messagerie pour installer
les composants Windows requis :!
!
!
Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience,
NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering,
RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSATClustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, WebAsp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, WebDir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-HttpLogging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, WebISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-MgmtConsole, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor,
Web-Server, Web-Stat-Compression, Web-Static-Content, Web-WindowsAuth, Web-WMI, Windows-Identity-Foundation!
!
!!
• Installer .NET Framework 4.5.2!
• Installer Microsoft Unified Communications Managed API 4.0, Core Runtime 64 bits!
• Installer Filter Packs de Microsoft!
!
!
https://technet.microsoft.com/fr-fr/
library/bb691354%28v=exchg.150%29.aspx!
!
!
!
!
!
Installation!
!
Il suffit de se laisser guider par l’assistant d’installation. L’installation du service
Exchange est simple, le plus compliqué étant d’installer les prérequis.!
!
!
Configuration!
!
Il ne faut pas oublier que pour la envoyer et recevoir les mails, il faut ajouter le
serveur de messagerie dans le DNS du serveur principal.Il s’agit d’un enregistrement MX.!
!
Pour obtenir la page de configuration au serveur, il faut se connecter à l’adresse :!
!
https://exch01.phcorp.local/ecp!
!
!
Page 22 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
Il faut ensuite créer un « send connector » afin de pouvoir envoyer les mails via le
serveur de messagerie. Les « receive connectors » sont créés par défaut.!
!
il faut saisir un nom pour le send connector, puis sélectionner « Internet ». la case
« MX record … » doit être cochée. Il faut ensuite ajouter un « Address space » : type
« SMTP », mettre une étoile dans « Domain » (FQDN), et « Cost » doit être à 1. Enfin,
dans « Source Server » il faut sélectionner le serveur de messagerie (exch01).!
!
Ayant suivit scrupuleusement ces étapes, le serveur de messagerie fonctionne. La
solution testée est opérationnelle.!
!
!
!
!
!
!
!
!
!
Conclusion
!
!
En conclusion, Ce projet m’a permis de manipuler une solution Microsoft complète.!
Grâce à ce projet, j’ai pu mieux comprendre l’installation, la configuration et la
gestion des solutions Microsoft ainsi que leurs compatibilités.!
Ce projet m’as permis de voir clairement l’intérêt d’avoir un ensemble de logiciels,
d’OS et de services conçus par la même entreprise pour fonctionner entre eux.!
L’ensemble de cette solution est entièrement opérationnelle. Malgré quelques
difficultés à configurer Exchange, cette configuration reste simple et bien accompagnée en
regard à la complexité du système.!
Microsoft Exchange serveur peut être complémentée avec un OWA (Outlook Web
Access) qui permet d’accéder à la messagerie avec un client léger, qui ne nécessite pas
d’avoir Outlook. L’accès se fait par une adresse URL du type http://exch01.phcorp.local/
owa (pour de l’interne).!
!
!
Page 23 !
!
!
!
!
!
!
Pierre HELEUX !
0318879682
!
Conclusion
!
!
Ces deux dossiers m’on permis de me rendre compte de l’importance de noter ce qui
a été fait. Non seulement ça permet de pouvoir reprendre son travail pour pouvoir
l’améliorer, mais ça permet aussi de pouvoir expliquer ce qui a été fait.!
Ca m’a aussi forcé à vulgariser mes propos de façon à rendre une explication claire
et accessible à n’importe qui.!
J’ai eu quelles difficultés dans mes projets, notamment lors de l’installation de
Pfsense, que j’ai fini par abandonner au profit de Untangle. J’ai aussi eu du mal à
configurer mes règles de filtrage web dans mon projet de portail captif et filtrage web.!
Concernant le projet de messagerie, j’ai eu du mal à retrouver tous les prérequis
pour pouvoir installer proprement mes serveurs.!
J’ai du m’aider de tutoriels et de forums de discutions pour pouvoir mener à bien mes
deux projet.!
!
Mon BTS SIO m’a permis d’approfondir mes connaissances en systèmes et réseaux.
Grâce à l’alternance, j’ai pu me rendre compte de ce qu’est le milieux d’entreprise, de ce
qu’est le travaille en équipe. J’ai aussi pu me rendre compte que ce milieux me plait
beaucoup et j’aimerais poursuivre mes étude dans ce domaine.!
!
Pour l’avenir, j’aimerais faire une Licence Professionnelle Réseaux Sans-Fils et
Sécurité (RSFS) à l’IUT de Saint Malo, toujours en alternance. A moyen terme, j’aimerais
occuper un poste de manager d’équipe, et, plus tard, valider une formation de type bac+4
voire bac+5 en tant qu’administrateur réseau.!
Page 24