Systèmes

DNS ( Domaine Name Ser­vice ) est un ser­vice popu­laire dans les entre­prises et dans le monde, qui per­met la réso­lu­tion d’adresse IP par un nom d’hôte.

Installation

On sélec­tionne l’ins­tal­la­tion basée sur un rôle une fonc­tion­na­li­té

On sélec­tionne le ser­veur sur lequel on veut effec­tuer l’ins­tal­la­tion

On sélec­tionne le rôle que l’on sou­haite ins­tal­ler, ici le ser­veur DNS.

On ajoute les fonc­tion­na­li­tés qui sont néces­saires pour ce rôle.

On passe l’é­tape des fonc­tion­na­li­tés facul­ta­tives.

On peut pas­ser l’é­tape des expli­ca­tions DNS.

On confirme l’ins­tal­la­tion.


Configuration de la zone de recherche directe

La zone de recherche directe per­met la réso­lu­tion d’un nom de domaine lié le plus sou­vent à un ser­veur, ou un poste de tra­vail pour avoir son adresse IP. Ici on créé une nou­velle zone. Dans cette confi­gu­ra­tion, mon ser­veur “WIN-COMPUTING” pos­sède l’IP 192.168.90.1, il sera donc pos­sible d’ac­cé­der à ses res­sources ( Ser­veur WEB / Fichiers / DNS / AD ) grâce à son IP ou de par son nom.

L’as­sis­tant de créa­tion de la zone s’af­fiche.

Vu que c’est notre pre­mier ser­veur DNS sur notre réseau local, nous allons choi­sir “Zone Prin­ci­pale”.

Nous allons choi­sir le nom de la zone que nous allons lui affec­ter, ici je mets mon nom de domaine.

On choi­sit un nom pour notre fichier de zone, je mets le même que celui de mon nom de domaine avec l’ex­ten­sion en .dns.

Pour l’ins­tant nous n’al­lons pas auto­ri­ser la mise à niveau dyna­mique.

On ter­mine l’as­sis­tant de la zone.


Configuration de la zone indirecte

Main­te­nant que nous savons déter­mi­ner l’a­dresse IP en fonc­tion du nom de l’or­di­na­teur, savoir faire l’in­verse peut s’a­vé­rer utile. C’est à dire pou­voir décou­vrir le nom d’un ordi­na­teur ou d’un ser­veur en fonc­tion de son adresse IP.

L’as­sis­tant de créa­tion de la zone inver­sée s’af­fiche.

Vu que c’est notre pre­mier ser­veur DNS sur notre réseau local, nous allons choi­sir “Zone Prin­ci­pale”.

On choi­sit une “Zone de recherche inver­sée IPv4”.

On rentre donc notre ID réseau inver­sée.

On choi­sit notre nom de fichier de zone inver­sée.

Pour l’ins­tant nous n’al­lons pas auto­ri­ser la mise à niveau dyna­mique.

On peut ter­mi­ner l’as­sis­tant de la nou­velle zone.


DNSSEC

DNSSEC ( Domain Name Sys­tem Secu­ri­ty Exten­sions ) per­met d’a­jou­ter au pro­to­cole DNS une couche de sécu­ri­té en signant les enre­gis­tre­ments par un sys­tème de clef public/privé.

Ici nous pou­vons dans la colonne “État DNSSEC” que notre zone n’est pas encore signée.

Pour cela, on fait un clic droit sur notre zone, on place sur cur­seur sur DNSSEC puis signer la zone.

Si l’on ne pos­sède pas de para­mètres spé­ciaux, on peut uti­li­ser les para­mètres par défaut.

On peut main­te­nant voir que la zone est signée depuis la colonne “État DNSSEC”.

Nous pou­vons recom­men­cer l’o­pé­ra­tion avec la zone de recherche inver­sée.

Bind pour Berke­ley Inter­net Name Domain est le sys­tème de ser­veur de nom le plus uti­li­sé sur inter­net.


Ver­sion de Cen­tOS: 4.18.0–147.5.1.el8_1.x86_64


Firewall

Dans un pre­mier temps, nous devons ouvrir le port DNS dans le fire­wall, puis on le recharge.

firewall-cmd --permanent --add-service=dns && firewall-cmd --reload

Installation

On ins­talle les paquets néces­saires:

yum install bind bind-utils

On active named auto­ma­ti­que­ment au démar­rage

systemctl enable named

On édite le fichier de confi­gu­ra­tion prin­ci­pal, et on lui indique notre fichier de décla­ra­tion de zones.

vim /etc/named.conf

On créé notre fichier de décla­ra­tion de zone en y indi­quant la zone.

vim /etc/named.conf.local

Nous pou­vons voir en fai­sant la com­mande sui­vante que les per­mis­sions ne sont pas les mêmes:

On ajuste les per­mis­sions:

On re-véri­fie les per­mis­sions:

On édite donc le fichier que l’on a décla­ré dans fichier de zone.

vim /var/named/epsi.local

On redé­marre le ser­veur named

systemctl restart named

Un snap­shot per­met de pré­ser­ver l’é­tat d’une machine vir­tuelle. Le snap­shot per­met de retour­ner à un état anté­rieur de la machine, et ain­si faire comme ci aucune modi­fi­ca­tion n’a été appor­té. Les snap­shots sont utiles quand l’on sou­haite faire des tests, faire des mon­tés de ver­sion, ou encore si l’on veut réa­li­sé quelque chose dont nous ne sommes pas sur de la fina­li­té.


A la créa­tion d’un snap­shot, un fichier de la même exten­sion que la VM se créer — Exemple: pour VMware, un fichier .vmdk, avec un fichier “Snap­shot”. Ain­si, la machine vir­tuelle, va écrire les don­nées qui ont chan­gées sur le nou­veau fichier, l’an­cien fichier va pas­ser en read-only, elle pour­ra lire les anciennes infor­ma­tions et écrires les nou­velles sur le nou­veau fichier. 

Kernel-based Virtual Machine est la base de la vir­tua­li­sa­tion, il est inté­gré au noyau Linux. Cela per­met d’a­voir tota­le­ment le contrôle sur notre hyper­vi­seur et de savoir exac­te­ment ce qui y ai ins­tal­lé.


Sur un ser­veur Debian, on ins­talle les paquets néces­saires:

apt install qemu-kvm libvirt0 qemu libvirt-clients libvirt-daemon-system

Sur un client Debian, on peut ins­tal­ler les paquets néces­saires pour pou­voir faci­le­ment le mana­ger:

apt install virt-manager

L’in­ter­face de connexion, res­semble à cela:

Nous pou­vons ajou­ter une connexion avec file →Ajou­ter une nou­velle connexion.
L’a­van­tage c’est que tout se passe en SSH, et nous pou­vons avoir la vu de tous nos ser­veurs, et toutes nos VMs sur une seule inter­face

tips

virt-mana­ger n’exis­tant pas sur Win­dows, il est pos­sible de se connec­ter en SSH avec le X for­wa­ding, soit avec ssh ‑X, soit avec MobaX­term qui le gère nati­ve­ment, oui lan­cer virt-mana­ger !

ESXI est un hyper­vi­seur de type 1. Il a l’a­van­tage de pos­sé­der des tech­no­lo­gies plus récentes que cer­tains hyper­vi­seur, com­pa­ré à prox­mox, il est éga­le­ment lea­der du mar­ché. Il pos­sède une bonne inter­face connue avec l’hy­per­vi­seur de type 2 VMWare Works­ta­tion qui per­met de faire des machines à dis­tance, et en local via la même inter­face. Il faut par contre pos­sé­der une licence.


Ins­tal­la­tion

ESXI charge le cd d’ins­tal­la­tion.

ESXI charge l’ins­tal­la­tion.

On appuie sur “Entrée”.

On accepte la licence en appuyant sur F11.

Il scan les disques.

On choi­sit le disque pour l’ins­tal­la­tion puis “Entrée”.

On choi­sit le cla­vier Fran­çais puis “Entrée”.

On rentre un mot de passe mini­mum de 7 carac­tères et une majus­cule, puis “Entrée”.

On écrit sur les disques, on appuie sur “F11”.

L’ins­tal­la­tion se déroule.

On nous signale d’en­le­ver le disque d’ins­tal­la­tion puis “Entrée”

ESXI est lan­cé, nous pou­vons nous connec­ter sur une inter­face web à l’a­dresse indi­qué.

Prox­mox est un hyper­vi­seur de type 1. Il pos­sède éga­le­ment l’a­van­tage d’être libre et gra­tuite. On peut éga­le­ment avoir une sup­port si l’on le sou­haite.


Installation

On choi­sit le démar­rage au GRUB ” Ins­tall Prox­mox VE”.

On accepte la licence avec ” I agree “.

Choix des disques pour l’ins­tal­la­tion.

Sélec­tion de la loca­li­sa­tion pour le temps.

Ajout du mot de passe root et d’une adresse e‑mail, vous pou­vez en mettre une fausse.

Ren­sei­gne­ment de l’in­ter­face réseau prin­ci­pale, des infor­ma­tions réseaux.

Rap­pels de toutes les infor­ma­tions concer­nant l’ins­tal­la­tion.

L’ins­tal­la­tion est ter­mi­née, redé­mar­rer et connec­tez-vous sur un navi­ga­teur à l’a­dresse indi­quée

Obser­vium est un outil de moni­to­ring


Ins­tal­la­tion des paquets néces­saires:

#apt install git curl net-tools vim linux-headers-$(uname -r) mariadb-server mariadb-server php7.3-cli php7.3-fpm php7.3-soap php7.3-snmp php7.3-mysql libvirt0

On récu­père le script d’ins­tal­la­tion sur le site offi­ciel et on le rend exé­cu­table :

wget http://www.observium.org/observium_installscript.sh && chmod +x observium_installscript.sh

On modi­fie le mot de passe root de mys­ql:

mysql_secure_installation

Et on exé­cute le script !:

./observium_installscript.sh

On choi­sit la ver­sion com­mu­nau­taire ” 1 ”

Oui, on connait le mot de passe du ser­veur Mys­ql, on vient de le para­mé­trer pré­cé­dem­ment ” 1 ”

Ici, des iden­ti­fiants vous sont deman­dés, ils vous seront utile pour la pre­mière connexion.

On sou­haite moni­to­rer le ser­veur de super­vi­sion, on répond ” 1 ”


Nous pou­vons main­te­nant se connec­ter sur une inter­face WEB en ren­trant l’a­dresse ip du ser­veur, et vos iden­ti­fiants ren­trés pré­cé­dem­ment. 

GNS3 est un outils de vir­tua­li­sa­tion qui per­met de simu­ler des archi­tec­tures réseaux avec des rou­ters et des switchs, en y incluant vos machines vir­tuelles de dif­fé­rents hyper­vi­seur tel que vir­tual­box ou VmWare.


Ici nous ferons l’ins­tal­la­tion avec pip, ce qui per­met­tra de l’ins­tal­ler sur n’im­porte quelle dis­tri­bu­tion Linux. Depuis une Debian:

Ins­tal­la­tion les dépen­dances:

apt install python3-pip python3-setuptools python3-dev python3-psutil  python3-sip python3-pyqt5* libpcap-dev python3-pyqt5.qtsvg python3-pyqt5.qtsvg-dbg python3-pyqt5.qtwebsockets python3-pyqt5.qtwebsockets-dbg

Ins­tal­la­tion de GNS3:

pip3 install gns3-gui gns3-server

Ins­tal­la­tion de ubridge

wget https://github.com/GNS3/ubridge/archive/v0.9.16.tar.gz
tar -zxvf v0.9.16.tar.gz
cd ubridge-0.9.16/
make
sudo make install

Ini­tia­li­sa­tion libvirt0

virsh net-start default
virsh net-autostart default

Au redé­mar­rage GNS3 aura créé un rac­cour­ci

Publi­ca­tion mise à jour le 2 Décembre 2020

Gestion Libre de Parc Infor­ma­tique 🌐 est un logi­ciel de ges­tion des ser­vices infor­ma­tiques et de ges­tion des ser­vices infor­ma­tiques. Il peut se cou­pler au logi­ciel OCSIn­ven­to­ryNG 🌐, avec un article dont j’ai écrit pour per­mettre l’ins­tal­la­tion 🌐. Nous ver­rons dans cet article com­ment ins­tal­ler GLPI sur Debian 10.

Installation

apt-get install -y apache2 mariadb-server mariadb-client php build-essential perl libapache2-mod-perl2 libxml-simple-perl libio-compress-perl libdbi-perl libapache-dbi-perl libdbd-mysql-perl libnet-ip-perl libsoap-lite-perl libxml-libxml-perl libmojolicious-perl nmap snmp php7.3-mysql php7.3-gd php7.3-mbstring php-ldap php-imap php-apcu php-xmlrpc php-soap php-cas php7.3-xml php7.3-intl php7.3-zip php7.3-bz2

Configuration de la base de données

On se connecte sur l’in­ter­face mys­ql

mysql -u root -p

On créer l’u­ti­li­sa­teur theo­phile qui aura comme mot de passe root

create user 'theophile'@'%' identified by 'root';

On créer la base de don­nées

create database glpi;

On attri­bue tous les droits à l’utilisateur “theo­phile” sur la base de don­née “glpi”

grant all privileges on glpi.* TO 'theophile'@'%';

On recharge les droits et on quitte mariadb

flush privileges;
exit;

Téléchargement de l’archive

On se rend dans le dos­sier adé­quat

cd /var/www/html
rm index.html

On télé­charge l’ar­chive depuis GitHub 🌐, la der­nière en date au moment de la mise à jour de l’ar­ticle

wget https://github.com/glpi-project/glpi/releases/download/9.5.3/glpi-9.5.3.tgz

On décom­presse l’ar­chive

tar -zxvf glpi-9.5.3.tgz

On sup­prime l’ar­chive

rm glpi-9.5.3.tgz

Configuration du serveur WEB

On modi­fie le vir­tual­host

vim /etc/apache2/sites-available/000-default.conf
000-default.conf

On modi­fie les droits

chown -R www-data:www-data /var/www/html/glpi

On active le module rewrite

a2enmod rewrite

On redé­marre le ser­vice apache2

systemctl restart apache2

Configuration du SSL

On créer un dos­sier qui accueille­ra nos cer­ti­fi­cats

mkdir /etc/apache2/ssl

On génère la clef

openssl genrsa 2048 > /etc/apache2/ssl/glpi.key

Géné­ra­tion du cer­ti­fi­cat en fon­tion de la clef géné­ré pré­cé­dem­ment

openssl req -new -key /etc/apache2/ssl/glpi.key -x509 -days 365 -out /etc/apache2/ssl/glpi.crt

On édite le vir­tual­host d’apache2 pour ren­sei­gner les cer­ti­fi­cats SSL

vim /etc/apache2/sites-available/default-ssl.conf

On redé­marre le ser­veur WEB et notre site sera main­te­nant acces­sible depuis HTTPS

systemctl restart apache2

Finalisation de l’installation depuis l’interface WEB

On se rend sur l’in­ter­face web grâce à l’a­dresse IP

GLPI Setup
GLPI Licence
GLPI Ins­tal­ler
GLPI Dépen­dances
GLPI Base de don­nées
GLPI uti­li­sa­tion de la base
GLPI Sta­tis­tiques d’u­sage
GLPI Don
GLPI Ins­tal­la­tion ter­mi­née
GLPI Authen­ti­fi­ca­tion

On sup­prime le fichier d’ins­tal­la­tion pour des rai­sons de sécu­ri­té

rm /var/www/html/glpi/install/install.php

Sur une confi­gu­ra­tion de base avec un compte admi­nis­tra­teur et un compte local, il est impos­sible pour le compte local de pou­voir sup­pri­mer les icônes pré­sents sur le bureau sans élé­va­tions de pri­vi­lèges. Nous allons voir com­ment per­mettre à l’u­ti­li­sa­teur de pou­voir les enle­ver.


Les icônes du bureau se mettent direc­te­ment dans C:\Users\Public\Desktop, il faut donc attri­buer les droits à l’u­ti­li­sa­teur sur ce dos­sier. Cela res­semble à un tem­plate que tous les nou­veaux uti­li­sa­teurs copie­ront.

.\cacls.exe “C:\Users\Public\Desktop” /e /p toto:f

Le pro­gramme cacls natif dans tous les Win­dows per­met de chan­ger les droits. On indique ici le che­min à chan­ger, en don­nant à toto tous les droits ( f pour full )