Page 1

Artica Meta La console Globale de supervision de serveurs d'infrastructure.

RĂŠvision Du 23 Janvier 2011


Table des matières Introduction : .................................................................................................................................................4 Historique du projet :.................................................................................................................................................................4 A qui s'adresse Artica Meta ?..................................................................................................................................................... 4 Une console multiple-serveurs, multiple-entreprises Internet/Intranet.....................................................................................4 Dans les nuages (cloud)............................................................................................................................................................. 4 Multiples comptes......................................................................................................................................................................4 Sécurité et authentification............................................................................................................................................................4 Architectures.................................................................................................................................................................................. 4 Architecture WAN.....................................................................................................................................................................4 Architecture LAN...................................................................................................................................................................... 5 Maintenance et surveillance..........................................................................................................................................................7 Applications Web et systèmes :..................................................................................................................................................7 Applications de messagerie :......................................................................................................................................................7 Applications de communication :...............................................................................................................................................7 Applications de partage de fichiers :..........................................................................................................................................7 Applications de proxy :..............................................................................................................................................................7 Installation des sources la console ................................................................................................................................................8 In the Cloud.....................................................................................................................................................................................................8 Obtenir et installer la console de supervision dans vos réseaux :...................................................................................................................8

Créer un compte et raccrocher un serveur sur la console Artica Meta......................................................................................9 Créez votre entreprise et le certificateur.....................................................................................................................................9 Ajoutez un autre serveur ...........................................................................................................................................................9 Ajoutez un autre serveur en ligne de commande...........................................................................................................................................10

Vérification de la connexion sur la console..............................................................................................................................10 Gestion des privilèges administrateurs.......................................................................................................................................12 Le certificateur :.......................................................................................................................................................................12 L'administrateur ......................................................................................................................................................................12 Privilèges des Administrateurs.................................................................................................................................................12

Utilisateurs , organisations et groupes.........................................................................................................13 Créer une organisation ............................................................................................................................................................... 14 Créer un domaine......................................................................................................................................................................... 14

Gestion et Administration des paramètres réseaux....................................................................................16 Modifier le nom d'hôte ................................................................................................................................................................ 16 Modifier l'adressage TCP/IP des serveurs..................................................................................................................................17 Définir un routage avec la carte réseau....................................................................................................................................17 Les réseaux applicatifs.................................................................................................................................................................18

Gestion et Administration d'un parc de Serveurs de fichiers ...................................................................19 Partagez un dossier ..................................................................................................................................................................... 20 Modification des paramètres d'un partage.................................................................................................................................21 Parcourir :................................................................................................................................................................................ 21 Écrivable :................................................................................................................................................................................ 21 Publique :................................................................................................................................................................................. 21 Cacher les objets non-lisibles :.................................................................................................................................................21


Support des ACLs NT :............................................................................................................................................................ 21 Contrôle des ACLs pour les groupes :......................................................................................................................................21 construire l'héritage et le contrôle des accès protégés...............................................................................................................21 Vérifie les permissions sur "ouvrir pour supprimer"................................................................................................................21 Héritage des Acls.....................................................................................................................................................................21 Héritage des autorisations........................................................................................................................................................21 Services associés au partage........................................................................................................................................................22 Corbeille fantôme :..................................................................................................................................................................22 Injection de statistiques Mysql :...............................................................................................................................................22 Protection Antivirus :............................................................................................................................................................... 22 Protection Antivirus ClamAV...................................................................................................................................................22

Administration d'un parc VPN via Artica Meta.........................................................................................23 A) Clients distants au serveur VPN :..........................................................................................................................................23 Activation du serveur VPN......................................................................................................................................................24 Configuration du poste client Windows VPN...........................................................................................................................26 Installation du client VPN sur Windows..................................................................................................................................28 Routage des points distants...................................................................................................................................................... 29 Comment remédier au problème des deux points distants avec la même tranche IP ?.................................................................................29

Mise en place du routage dans Artica Meta..............................................................................................................................30 B) Réseaux VPN sites à sites........................................................................................................................................................ 31 Principe de base.......................................................................................................................................................................31 Ajouter un site distant..............................................................................................................................................................32 Autoriser à traverser le site distant...........................................................................................................................................34 Routages additionnels.............................................................................................................................................................. 35 État des sites distants............................................................................................................................................................... 35 Faire tout communiquer...........................................................................................................................................................35


Introduction : Cette console d'administration a pour but de fédérer, centraliser, surveiller les serveurs d'infrastructure Artica de façon locale où à Artica Meta est la consécration du projet Open Source « Artica ». travers Internet. Le projet Open Source Artica est né en Janvier 2004. Le projet Artica a pour but de valoriser les fonctionnalités offertes par la plate-forme Linux à travers une console A qui s'adresse Artica Meta ? d'administration locale installée sur le serveur Linux. Cette console permettant alors de configurer un serveur Linux Cette console d'administration s'adresse tout particulièrement aux sans connaissances Unix particulières. SSI qui offrent des services d'infogérance et de maintient à Artica propose alors la gestion de la messagerie, du partage de distance de plusieurs parcs informatiques. fichiers, des accès VPN, du proxy Internet avec les sécurités qui Étant donné quelle permet la création d'organisations hermétiques, s'imposent comme l'anti-Spam, l'antivirus et le contrôle des sites elle s'adapte tout à fait à ce type d'infrastructure. web. Bien entendu, elle s'adresse aussi aux architectures qui s'en rapproche telles que les GIE et entreprises multi-sites. Artica Meta est né en Décembre 2010.

Historique du projet :

Une console multiple-serveurs, multiple-entreprises Internet/Intranet Dans les nuages (cloud) Artica Meta est une console « passive ». C'est à dire qu'elle n'est pas incitatrice des communications. Les serveurs Artica se connectent à fréquence régulière sur le port Web de la console afin d'éditer leurs états et de récupérer les tâches à effectuer localement. Fort de cette méthode de communication et utilisant uniquement les ports du moteur Web qui la supporte (Apache, lighttpd...), elle peut s'implémenter sur un serveur WAN disponible sur Internet en IP publique. Le SSL pouvant s'implémenter de façon standard, elle assure la sécurité et la protection des données émises par les serveurs clients. Toutefois, cette architecture peut être implantée dans un réseau

local LAN où les communications sont alors uniquement localisées dans le réseau intranet de l'entreprise.

Multiples comptes Lors de l'authentification à la console, les serveurs utilisent un numéro de série. Ce numéro de série ne doit pas rappeler un numéro de « licence ». C'est un identifiant unique permettant d'affecter les serveurs clients à une organisation. Ainsi, il est possible de créer plusieurs organisations qui vont hermétiquement regrouper des « grappes » de serveurs. Chaque organisation dispose de comptes administrateurs qui peuvent disposer de droits spécifiques sur l' infrastructure.

Sécurité et authentification Lorsque un serveur Artica se connecte sur la console afin d'envoyer son état et de récupérer les ordres à effectuer localement, il subit une vérification d'un triplet de jetons uniques. – Le numéro de série « entreprise » – Le compte du certificateur. – Le mot de passe du certificateur. Si l'un des triplet n'est pas authentifié, la communication est rejeté par la console globale de management.

Architectures Architecture WAN L'architecture WAN permet d'installer la console de supervision en DMZ ou sur un serveur en IP publique. Des serveurs hébergés par des entreprises qui n'ont aucun rapport entre elles seront configurés afin de se connecter à fréquence régulière sur le point publique.


Architecture LAN L'architecture LAN pour Artica Meta n'est pas très différente de l'architecture WAN, on considère simplement que la console est hébergée dans le réseau de l'entreprise en DMZ ou bien directement dans le réseau local.


Maintenance et surveillance. La console de supervision assure un premier niveau de surveillance qui est celui des systèmes Linux que supportent Artica tels que Ubuntu, RedHat, Centos, Debian, Mandriva, OpenSuse 32/64 bits (les plans de développement devraient annoncer le support de Microsoft Windows 2008 server core). Elle s'attarde alors sur • Les charges machines, • Les capacités de stockage tels que les disques durs et mémoires. • Le maintient des systèmes (patchs et mises à jour logiciels) Elle assure aussi l'installation et la surveillance des principaux logiciels « mode démon » libres suivants :

Applications Web et systèmes : • • • •

Apache pure-ftpd VirtualBox Mysql

Applications de messagerie : • • • • • • • • •

Postfix Spamassassin Kaspersky For Linux File server Kaspersky Anti-Spam gateway amavisd-new milter-greylist ClamAV Zarafa cyrus-imap

Applications de communication : •

OpenVPN

Applications de partage de fichiers : •

Samba

gluster

Applications de proxy : • • • • • • •

Squid SquidClamav Kaspersky For Proxy server DansGuardian squidGuard UfdbGuard C-icap.


Installation des sources la console In the Cloud Les sources d'Artica Meta ne sont pas disponibles sur Internet en libre service. Une console est en effet déjà disponible sur Internet et est libre d'accès. <https://articatechnology.com> Les serveurs Artica sont déjà programmés afin d'utiliser cette console lors de la demande de connexion.

Un compte de démonstration est disponible à cette addresse : guest@guest.com, mot de passe « guest »

Obtenir et installer la console de supervision dans vos réseaux : Pour ce faire, vous devez effectuer la demande auprès de Artica Technology afin de récupérer le paquetage. Envoyez un eMail à M. Florent Tougeron <ftougeron@artica-technology.com> et indiquez vos coordonnées. Vous recevrez par eMail un lien de téléchargement du paquetage de la console. La console est passive, elle ne nécessite pas une installation particulière vous avez besoin d'un moteur Web avec php et mysql installé

• • •

Décompressez le fichier zip dans un répertoire de votre choix. Utilisez le fichier artica_meta.sql afin de créer la structure mysql. Ouvrez le fichier ressources/config.inc

indiquez les valeurs comme suit :

<?php $GLOBALS["mysql_server"]="127.0.0.1"; $GLOBALS["mysql_server_port"]="3306"; $GLOBALS["mysql_database"]="artica_meta"; $GLOBALS["mysql_user"]="user"; utilisateur de la base de données $GLOBALS["mysql_password"]="****"; mot de passe de la base de données $GLOBALS["artica-meta-master-email"]="***@**.fr"; $GLOBALS["GLOBAL_SMTP_PARAMETERS"]=array( "host"=>"mail.artica.fr", "port"=>25, "auth"=>true, "user"=>"postmaster@artica.fr", "" ); $GLOBALS["FORCE_HTTPS"]=true; # Proxy for download //$GLOBALS["HTTP_PROXY"]="proxy.tm"; //$GLOBALS["HTTP_PROXY_PORT"]=8080; //$GLOBALS["HTTP_PROXY_USERNAME"]="jhon"; //$GLOBALS["HTTP_PROXY_PASSWORD"]="password"; #Uri to get infos from repository. $GLOBALS["REPO_URI"]="http://www.artica.fr/auto.update.php"; // Update repository infos each 60 minutes $GLOBALS["REPO_UPDATE_TIME"]=60; //Show nightly update status in the front page: $GLOBALS["NIGHTLY_STATUS"]=true; ?>


Créer un compte et raccrocher un serveur sur la console Artica Meta Vous pouvez créer librement un compte sur la console « Cloud » d'Artica technology (https://articatechnology.com) ou bien sur votre propre Meta console. L'inscription d'un nouveau compte s'effectue à travers un serveur Artica. Allez dans la console de gestion d'un serveur Artica que vous avez installé. Sur la page de garde, en bas, cliquez sur l'icône « Console Globale de management »

Créez votre entreprise et le certificateur

Sélectionnez l'onglet « s'enregistrer » Remplissez tous les champs du formulaire et faites attention au nom de l'entreprise que vous allez mettre. Ce non d'entreprise sera le nom de votre organisation dans Artica Meta. Le compte que vous allez créer sera alors « certificateur ». Rappelez vous du mot de passe que vous êtes en train de mettre. Cliquez sur soumettre. Si aucune erreur n'est affichée, patientez quelques secondes. Cliquez sur l'onglet connexion Vous devriez voir le champs du formulaire « grisés » Cela veut dire que votre entreprise à été créé et que votre serveur à été raccroché à la console de supervision.

Ajoutez un autre serveur Inutile de procéder à l'étape de création d'un compte lors de l'ajout d'un autre serveur. Utilisez l'onglet connexion et indiquez le numéro de série de votre Entreprise et l'adresse email et mot de passe du certificateur (celui servit pour créer l'entreprise).


Ajoutez un autre serveur en ligne de commande Si vous n'avez pas accès à la console vous pouvez taper cet ligne de commande afin de connecter un serveur Artica à la console globale de management. php5 /usr/share/artica-postfix/exec.artica.meta.php –connect [email] [mot de passe] [numéro de série]

Vérification de la connexion sur la console. Connectez-vous sur votre console ou sur https://articatechnology.com et indiquez l'adresse eMail et le mot de passe que vous avez utilisé lors de la création du compte


Vous devriez retrouver le nom de votre entreprise sur l'interface et le serveur que vous avez connectĂŠ


Gestion des privilèges administrateurs Artica Meta permet de définir plusieurs administrateurs dans une même organisation. Ces administrateurs peuvent être restreint à des privilèges spécifiques. Il existe 2 niveaux de privilèges :

Le certificateur : • • • •

Le certificateur est le privilège le plus fort dans la console d'administration. Il dispose des droits d'enregistrement des serveurs distants sur la console globale de management. Il dispose de tous les droits et privilèges sur les groupes et serveurs. Il est autorisé à créer des membres

Seul un certificateur est capable d'inscrire des nouveaux serveurs dans la console d'administration. Il est nécessaire de ne pas perdre ses coordonnées car il ne sera plus possible d'effectuer ces opérations sans ce compte.

L'administrateur L'administrateur est un compte que ne dispose pas des privilèges « certificateur » ses droits sont alors restreint à une liste particulière. Il n'aura pas d'autorisation de lier des serveurs distants à la console d'administration. A travers le menu de gauche « Membres » vous disposez de 3 options : L'option « Membres » vous permet de visualiser les personnes qui peuvent se connecter à votre organisation. L'option « Ajouter un membre » vous permet d'ajouter un nouvel administrateur.

Privilèges des Administrateurs Après avoir ajouté un Administrateur cliquez sur son icône. Choisissez l'onglet « Droits sur la société » Si aucun privilège n'est accordé alors l'administrateur sera en mode « lecture seule ». Il sera capable de parcourir la console mais ne pourra pas effectuer des opérations qui affecteront le parc de serveurs connectés. Cochez les cases correspondantes permettant d'associer les privilèges au compte utilisateur. Pour disposer des nouveaux privilèges,si l'administrateur dispose déjà d'une session ouverte sur la console, devra alors se déconnecter et se reconnecter


Utilisateurs , organisations et groupes Outre les administrateurs, Artica Meta permet de gérer la base des utilisateurs des différents serveurs connectés. La gestion des utilisateurs se trouve dans le menu de gauche « utilisateurs & ordinateurs »/ « utilisateurs »

Ne pas confondre avec le menu de gauche « membres » qui, quand à lui, correspond aux administrateurs de la console de management. Un utilisateur est automatiquement lié à une « organisation » et à un domaine de « messagerie » (même si le serveur distant est un serveur de fichiers) Il ne s'agit pas de l'organisation de la console d'administration mais une organisation qui est interne au serveur distant. Artica admet 3 niveaux de hiérarchie : L'organisation qui regroupe des groupes d'utilisateurs et finalement, des utilisateurs.


Créer une organisation Cliquez sur l'ongle « organisation » Cliquez sur l'icône « Ajouter une nouvelle organisation » Une boîte message va s'afficher, indiquez le nom de l'organisation Patientez quelques minutes que l'organisation soit ajoutée sur le serveur distant.

Créer un domaine ◦ ◦ ◦ ◦

Cliquez sur l'onglet « domaines » Cliquez sur l'icone d'une terre avec le signe plus. Une nouvelle boîte message va s'afficher. Indiquez dans le champ « Domaine SMTP » le nom du domaine.

Cliquez sur « ajouter » Patientez quelques minutes que le domaine se réplique sur le serveur distant.


CrĂŠer un utilisateur


Gestion et Administration des paramètres réseaux Artica Meta permet aux administrateurs de pouvoir modifier les paramètres réseaux des serveurs connectés. L'administrateur qui souhaite modifier les réseaux doit avoir comme privilège « Peut gérer les réseaux des serveurs » On admet 3 paramètres fondamentaux pouvant être administrés : • • •

Le nom d'hôte L'adressage TCP/IP et Les routes réseaux Les réseaux applicatifs

Ces 3 paramètres se trouvent dans le menu de droite lorsque vous choisissez un serveur : Sélectionnez « Réseau & cartes Réseau » puis « Réseau & Carte réseau ».

Modifier le nom d'hôte Le nom d'hôte est le nom de la machine sur laquelle elle va s'identifier. Son nom permet d'identifier la machine plus facilement mais aussi de pouvoir résoudre son adressage à travers les DNS. Dans l'onglet « Nom d'hôte DNS », indiquez dans le champs « Renseigner le nom complet de votre serveur » le nom fqdn du serveur Le nom fqdn indique le nom de la machine ainsi que le domaine principale comme server.domain.org


Modifier l'adressage TCP/IP des serveurs En cliquant sur l'onglet « Paramètres des cartes réseau », vous entrez dans la section vous permettant de visualiser les cartes réseaux disponibles. Certaines cartes ne sont pas modifiables car elle correspondent à des cartes virtuelles (disponibles dans une autre section) ou bien des adressages réseaux applicatifs tels que l'adresse 127.0.0.1 ou les cartes VPN. Sélectionnez votre carte réseau et cliquez sur le lien « modifier les paramètres de la carte »

Indiquez l'adressage réseau de la carte (si par exemple le serveur doit utiliser un DHCP ou un adressage fixe). Indiquez les DNS que doit utiliser le serveur. Cliquez sur appliquer pour sauvegarder les informations et envoyer l'ordre de modification au serveur distant. Une fois l'ordre effectué, le serveur distant va renvoyer les paramètres de ses cartes réseau. Ces paramètres vont écraser ceux de la console Globale. Si les paramètres ont étés appliqués, la carte réseau devrait retrouver les paramètres que vous avez appliqués.

Définir un routage avec la carte réseau. En dehors du routage définit par défaut (celui de l'adresse principale) vous pouvez ajouter de nouvelles routes IP dans la carte Ces routes seront ajoutées que si et seulement si la carte réseau est bien montée. Elle sont automatiquement supprimées si les la carte réseau est désactivée. Cliquez sur l'onglet « Routage TCP » Définissez le routage avec l'adresse IP de départ, le masque de réseau et la passerelle qui sera en charger de transférer les paquets réseaux. Cliquez sur le bouton « ajouter » Il est possible que la route ne soit pas ajoutée directement sur le serveur distant. Dans ce cas, forcer un redémarrage de la machine.


Les réseaux applicatifs Les réseaux applicatifs onglet « réseaux » n'influent pas sur la carte réseau et le routage IP des serveurs mais sur les applications qu'il héberge telles que Postfix, Squid, Samba etc... Il indique aux applications quels sont les réseaux internes et de confiance. Cette déclaration est nécéssaire afin d'autoriser les utilisateurs locaux à utiliser les services hébergés par le serveur. Cliquez sur le bouton « ajouter » pour déclarer un nouveau réseau. Indiquez le réseau sous la notation CDIR


Gestion et Administration d'un parc de Serveurs de fichiers Artica Meta est capable de gérer les systèmes Linux déployés avec Samba. Samba est un serveur de fichiers permettant d'offrir des ressources partagées pour des utilisateurs évoluant sous Microsoft Windows, Linux, Mac... Toutefois Artica support différents types de serveurs de fichiers tels que • • •

Le serveur autonome qui est un serveur non connecté à une domaine dont sa seule mission est de partager ses ressources. Le serveur membre qui est un serveur membre d'un domaine Microsoft. Le contrôleur de domaine qui est en charge de relier les ordinateurs clients afin de proposer des services de privilèges utilisateurs de stockage des profils et d'exécution de scripts.

Les ressources partagées peuvent être verrouillées en fonction d'utilisateurs ou de groupes utilisateurs. Le serveur distant Artica utilise une base LDAP pour effectuer les vérifications des comptes. Cette base LDAP est unique pour tous les services hébergés sur le serveur. La gestion des comptes utilisateurs s'effectue donc de façon globale. Cette section se focalisera uniquement sur la gestion du moteur de partages. Dans Artica Meta, La liste de serveurs de ressources peut être affichée en cliquant sur le lien « serveurs de fichiers »

En cliquant sur l'un des serveurs vous visualisez la gestion unitaire du serveur de ressources.


Partagez un dossier Dans le menu de gauche, après avoir choisi votre serveur distant cliquez sur « Fichiers Partagés »/ « Dossiers Partagés » La section dédiée à partage de fichiers va s'afficher et vous présente en premier la liste des répertoires partagés sur le serveur distant.

Remarquez que certains répertoires sont grisés et ne peuvent ni être édités ni être supprimés car ils correspondent à des partages « techniques ». Ces partages sont nécessaires afin de fournir des services d'impression ou bien de profils itinérants.

Le partage d'un dossier est assez simple, il vous suffit de d'indiquer le chemin complet dans le champ : « Ajouter un nouveau dossier partagé ». Ce n'est pas grave si le répertoire n'existe pas sur serveurs distant, le serveur Artica distant sera en charge de le créer le cas échéant. Lorsque vous ajoutez un répertoire, le dossier est alors partagé pour tous les utilisateurs inscrits sur le serveur. Il prendra comme nom de partage, le nom du répertoire du chemin ajouté. Cliquez sur l'icône du répertoire afin de modifier le comportement du partage.


Modification des paramètres d'un partage L'onglet « Partage » vous permet de personnaliser le comportement du dossier partagé

Parcourir : Ceci contrôle la visibilité du partage dans la liste des partages disponibles dans le parcours réseau.

Écrivable : Si ce paramètre est activé pour ce dossier, alors aucun mot de passe n'est requit pour écrire dans le dossier

Publique : Si ce paramètre est activé pour ce dossier, alors aucun mot de passe n'est requit pour accéder au dossier

Cacher les objets non-lisibles : N'autorise pas l'affichage de l'existence de fichiers qui ne peuvent pas être modifiés. Notez que les répertoires protégés en écriture sont affichés comme d'habitude

Support des ACLs NT : Traduire les permissions Unix en ACL Windows.

Contrôle des ACLs pour les groupes : Seulement le propriétaire ou le super-utilisateur peuvent modifier les permissions ACL d`un fichier ou d'un répertoire.Ce paramètre écrase cette règle et peut autoriser le groupe primaire à modifier les Acls. Cela permet la délégation sur un objet et dans la hiérarchie des répertoires contenus dans le même comportement que sur Windows.

construire l'héritage et le contrôle des accès protégés Cartographie les pointeurs d'héritage et des accès protégés (protected) stockés dans les ACLs Windows dans un attribut étendu nommé user.SAMBA_PAI. Ceci autorise l'éditeur des ACLs Windows XP d'utiliser le principe d'héritage en conformité avec avec les Acls du serveur.

Vérifie les permissions sur "ouvrir pour supprimer" Contrôle ce que Samba doit faire lors d'une requête d'ouverture pour suppression depuis un client Windows. Si un client Windows n'a pas les permissions nécessaires de supprimer un fichier alors il est attendu qu'il soit refusé au moment de son ouverture. Les systèmes POSIX détectent seulement cette restriction sur la tentative de suppression du fichier ou du répertoire. Les clients Windows peuvent faire un retour en arrière par la désactivation de l'opération "suppression à la fermeture". Avec ce paramètre lorsque Samba vérifie la permission du fichier directement sur l'opération "suppression à la fermeture" et interdit la demande. Ce n'est pas parfait car il est possible qu'un utilisateur ai supprimé le fichier sans que Samba ai put vérifier correctement les permissions mais il c'est assez proche de la sémantique de Windows pour la plupart des comportements. Le comportement principal est que le fichier qui à été supprimé ré-apparait de façon magique au rafraîchissement de l'explorateur Windows

Héritage des Acls Assure que les Acls définis par défaut sur le répertoire parent soient recopiés lors de la création de nouveaux fichiers ou répertoires.

Héritage des autorisations Les nouveaux répertoires et fichiers héritent des permissions du répertoire parent.


Services associés au partage Ces services sont disponibles en cliquant sur l'onglet « options » Plusieurs services peuvent être mis en œuvre en adjonction au répertoire partagé. Ces services sont disponibles si vous avez installé les modules additionnels (comme l'antivirus par exemple).

Corbeille fantôme : Ce service permet de déplacer les fichiers dans un répertoire non visible par les utilisateurs lorsqu'ils effectuent une commande de suppression. Les utilisateurs pensent alors que les fichiers sont bel et bien supprimés alors que ce n'est pas le cas. Le fichier peut être alors récupéré en cas d'erreur.

Injection de statistiques Mysql : Ce service enregistre toutes les Accès/modifications effectuées dans le partage dans une base Mysql.

Protection Antivirus : Ce service active la surveillance antivirus à travers le logiciel « Kapsersky Antivirus For Samba ».

Protection Antivirus ClamAV Ce service active la surveillance antivirus à travers le logiciel « ScannedOnly For ClamAV »


Administration d'un parc VPN via Artica Meta Artica Meta est capable de construire un Parc VPN en partant de 0. La console d'administration permet de fabriquer 2 types de réseaux VPN. Un réseau pour les postes des travail Nomades qui souhaitent accéder aux ressources de l'entreprise et un réseau de site à sites permettant d'interconnecter deux réseaux à travers Internet.

A) Clients distants au serveur VPN : C'est le cas le plus classique : Offrir aux postes distants l'accès au réseau de l'entreprise via Internet. La mise en place de cette plate-forme est assez simple en soi : L'entreprise dispose d'un pare-feu et devra faire une règle NAT sur le serveur Artica sur le port 1194 UDP (le port et le protocole sont modifiables). Un client VPN est installé sur chaque poste distant. Ce client VPN sera en charge de se connecter sur le port spécifié et d'établir la liaison sécurisée vers le réseau de l'entreprise. Des clients VPN sont disponibles à cette adresse :https://community.openvpn.net/openvpn/wiki/RelatedProjects toutefois la console Artica Meta vous propose déjà le téléchargement d'un client VPN mais rien en vous empêche d'en choisir un plus approprié sur le site OpenVPN.


Activation du serveur VPN Dans le menu de gauche, choisir l'option OpenVPN. Un tableau s'affiche vous permettant de visualiser les serveurs qui disposent du logiciel OpenVPN. Il affiche sur la gauche, un icône avec deux états : • Un rond vert indique que le mode serveur est activé. • Un rond gris indique que le logiciel serveur OpenVPN est présent sur la machine mais n'est pas activé. Cliquez sur le serveur qui deviendra serveur VPN.


Une fois dans la section OpenVPN du serveur, choisissez l'onglet «paramètres serveur » Vous pouvez prendre les valeur par défaut. Pour une construction rapide, cochez simplement la case : Activer le mode serveur.

Sinon indiquez le port d'écoute et le protocole du serveur VPN (ce port devra disposer d'une règle de NAT sur le pare-feu afin que les postes et serveurs distants puissent communiquer). Indiquer l'adresse IP publique de votre routeur qui effectue la règle de NAT et le port ouvert sur votre pare-feu. Ce paramètre permettra au serveur distant de construire les fichiers de configuration pour les postes clients. Vous pouvez indiquer un nom DNS dans le champs. Faites attention aux ports car ils sont nécessaires pour la bonne construction des connexions VPN.

« Par exemple, si vous décidez que pour atteindre le serveur VPN il faudra utiliser host.company.com:80 et que vous avez un règle NAT qui transfert les échanges du port 80 vers le port 9985 du serveur VPN Artica, indiquez bien dans la partie Adresse IP publique host.company.com et 80 dans port puis, dans le champs port d'écoute, la valeur 9985. » Indiquez un mot de passe qui est une sécurité supplémentaire permettant de générer le certificat SSL.

Attention, changer les paramètres dans la section serveur et clients, fait reconstruire les certificats du serveur distant et les scripts clients. Il faudra alors que vos utilisateurs récupèrent les scripts de configuration à nouveau. En faites, Ces paramètres ne sont pas prévus pour être changés tout le temps.


Configuration du poste client Windows VPN Lorsque le serveur distant Artica effectue des changements fondamentaux des ses paramètres, il construit automatiquement un fichier zip pour chaque utilisateur référencé dans sa base et les envoient à la console globale de management. Attention, changer les paramètres dans la section serveur et clients, fait reconstruire les certificats du serveur distant et les scripts clients. Il faudra alors que vos utilisateurs récupèrent les scripts de configuration à nouveau. En faites, Ces paramètres ne sont pas prévus pour être changés tout le temps. Après l'application des paramètres, le serveur distant va envoyer les fichiers de paramètres client à la console d'administration. Dans l'onglet « scripts clients » vous trouverez au bout de quelques minutes un tableau des utilisateurs VPN locaux qui appartiennent au serveur que vous avez choisi. Dans ce tableau, vous avez deux liens de téléchargements : • La flèche verte vous permet de télécharger les fichiers de configuration pour chaque utilisateur. • Le lien « client » vous permet de télécharger le programme d'installation du client VPN pour Microsoft Windows. Logiciel que vous devrez installer sur chaque poste de travail que fera l'objet d'un accès VPN.


Si vous voulez connecter un nouveau client Windows, voici la procédure : Téléchargez les deux liens correspondants.


Installation du client VPN sur Windows Exécutez le programme d'installation sur le poste client. En faites, il n'y a pas grand choses à faire, les valeurs par défaut de l'installation sont les plus efficaces. Nous admettrons que vous placez les fichiers du client VPN dans C:\program Files\OpenVPN L'installation effectuée, décompressez le fichier zip téléchargé à l'aide de la flèche verte sur Artica Meta dans : C:\program Files\OpenVPN\Config

Une fois les fichiers décompressés, à l'aide du clique droit de la souris et sur l'icône à côté de l'horloge situé en bas à droite , choisissez dans le menu contextuel « le nom de l'utilisateur »/connect

Si la connexion est un succès, le client devrait vous afficher dans sa console d'évènements la nouvelle adresse du serveur et l'état de connexion. Le poste client se verra attribué une adresse IP définie dans la tranche spécifiée parArtica Meta au niveau de la configuration des postes clients.

Cette configuration, telle qu'elle est précisée permet uniquement à une poste distant de se connecter au serveur Artica. Dans certains cas, le serveur Artica, aussi serveur VPN assure des services tels que la messagerie/Webmail, groupwares ou serveur de fichiers. Ceci, permettant aux utilisateurs distants d'accéder aux principaux services. « Toutefois il peut être intéressant d'offrir la possibilité aux utilisateurs distants de pouvoir communiquer avec les autres ordinateurs du réseau local. Ils pourront ainsi utiliser des ressources disponibles autour du serveur Artica VPN comme par exemple une imprimante, un stockage de fichiers et/ou une application métier. » Nous allons approfondir, dans le paragraphe suivant, le routage d'un client VPN distant vers les ordinateurs du réseau local.


Routage des points distants Pour que les équipements distants puissent discuter avec le réseau local, il faut s'assurer que les tranches d'adresses accordées ne soient pas identiques. On retrouve bien souvent ce problème lorsque l'on souhaite connecter un salarié en « télétravail » dans une entreprise qui utilise les paramètres par défaut des routeurs ADSL. Plus précisément, prenons le cas de Orange dont les LiveBox Pro proposent un DHCP en 192.168.1.0/255.255.255.0 et les LiveBox « personnelles » proposent elles aussi la même tranche IP. Forcer un routage de la tranche 192.168.1.0/255.255.255.0 vers l'entreprise n'a pas de sens en soi. Le poste distant se verra adresser 2 passerelles qui on la même tranche d'adresses (laquelle prendre?)

Comment remédier au problème des deux points distants avec la même tranche IP ? Il existe deux solutions : Nouvelle tranche pour les serveurs de ressources : Ce que l'on souhaite c'est que les postes de travail connectés en VPN puissent accéder à des ressources partagées (les postes des autres utilisateurs n'ont que peu d'intérêts) On peut dans ce cas, séparer les serveurs de ressources et les placer dans une tranche d'adresses dédiée. Cette tranche sera connue des postes du réseau local et aussi des postes connectés en VPN. Si cette opération est trop lourde à mettre en place, il suffit alors de rajouter des cartes réseaux « virtuelles » avec cette nouvelle tranche. Les postes locaux utiliseront alors la tranche réseau traditionnelle alors que les postes VPN utiliseront la nouvelle tranche réseau adressée par les cartes virtuelles. Forcer tout le routage vers le VPN Cette technique consiste à indiquer la tranche 0.0.0.0/0.0.0.0 aux postes distants ainsi cela oblige le poste distant à passer par le réseau VPN pour l'ensemble des adresses réseaux. Cette technique dispose toutefois d'un point négatif. En effet l'utilisateur ne pourra pas utiliser sont réseau local pour accéder à ses ressources personnelles. Par exemple, s'il souhaite « surfer » sur Internet, il passera automatiquement par le VPN et les équipements de l'entreprise


Mise en place du routage dans Artica Meta

La mise en place des règles de routage pour les clients VPN est assez simple à mettre en œuvre. Cliquez dans la section « routages additionnels » Dans cette section vous êtes en mesure d'indiquer les tranches d'adresses de votre réseau interne qui seront alors redirigées vers le réseau VPN. Indiquez l'adresse IP avec un 0 à la fin comme 10.10.1.0 et le masque de réseau comme 255.255.255.224 et cliquez sur le bouton « ajouter » Si vous voulez forcer le client distant à passer toutes ses connections vers le VPN indiquez uniquement 0.0.0.0 comme adresse et 0.0.0.0 comme masque de réseau. Lorsque le serveur Artica VPN distant va accepter le changement de configuration VPN, celui va redémarrer ses services. Les sessions VPN seront alors coupées un court instant. Les utilisateurs distants devront alors arrêter le VPN et le redémarrer si ils veulent obtenir les nouveaux paramètres de routage.


B) Réseaux VPN sites à sites C'est le cas qui devient de plus en plus demandé : Interconnecter des sites ADSL entre eux à travers Internet afin d'en faire une entité unique et fusionnée. Aujourd'hui, les connections ADSL sont de plus en plus nombreuses et offrent une bande passante de plus en plus importante. Interconnecter des sites ADSL en VPN permet de s'abroger des lignes « louées » beaucoup plus coûteuses à mettre en place. Artica Meta permet de facilement interconnecter des sites distants en VPN le plus simplement possible sans connaissances particulières. Ce qui diffère d'un réseau VPN clients/serveur, dans cette architecture, c'est qu'il s'agit d'interconnecter des serveurs Artica OpenVPN entre eux. Ces serveurs Artica interconnectés seront des passerelles permettant de lier les réseaux locaux aux réseaux distants. Lorsqu'un poste de travail souhaite communiquer avec un autre poste de travail situé dans un réseau distant, il s'adressera d'abord à son serveur VPN qui sera en charge de transférer les paquets réseaux vers un autre serveur VPN distant approprié.

De la même façon que pour connecter un poste de travail distant, il faut s'assurer que l'adressage des différents réseaux ne soient pas identiques. Veillez à vérifier qu'aucun réseau distant ne dispose du même adressage.

Principe de base Le principe d'inter-connections de plusieurs réseaux s'effectue à l'aide d'un serveur Artica que l'on choisira comme « concentrateur » Ce serveur sera le point d'accroche de tous les autres sites distants. On peut alors parler d'architecture en « étoile » Cette architecture dispose d'un avantage important : Seul le « concentrateur » doit faire l'oeuvre d'une règle de NAT sur la pare-feu est dispose d'un port ouvert sur Internet. Il n'est par conséquent pas possible de se connecter sur les sites distants en direct. L'inconvénient majeur est que ce concentrateur reste le « tallon d'achille » du réseau. S'il le serveur vient à être indisponible, c'est l'ensemble du parc qui est impacté !


Ajouter un site distant Pour ajouter un site distant sélectionnez le serveur VPN qui servira de « concentrateur ». • • •

Pour se faire, cliquez dans le menu de gauche sur Réseau & Cartes réseau / OpenVPN Sur la partie de droite cliquez sur l'onglet « Sites distants » Cliquez sur le rond vert qui représente une croix.

• •

Un nouveau formulaire d'ajout va s'afficher. À l'aide du bouton « parcourir.. » sélectionnez le serveur Artica OpenVPN du site distant que vous souhaitez raccrocher au serveur « concentrateur » Indiquez la tranche IP principale du site distant. Cliquez sur le bouton « ajouter »

• •


Remarquez que la croix de suppression n'est pas ajoutée à côté du site distant rajouté. En effet, pour supprimer le site distant, vous devez attendre que le serveur Artica réplique correctement l'information depuis Artica Meta. Une fois que le serveur Artica distant à accusé réception, la croix rouge s'affichera. Pour rappel, le serveur distant, vérifie ses tâches sur la console globale par défaut toutes les 15 minutes

Vous pouvez « forcer » la synchronisation en cliquant sur le lien en bas à droite. Cette opération ajoute un ordre pour le concentrateur d'exporter les configurations clients et sites distants à la console globale de management.

Lors d'une synchronisation, les données du serveur distant sont prioritaires à celles de la console globale de management. Si le concentrateur à accepté l'ajout ou la modification des paramètres du site distant, il va générer les scripts client et les envoyer à la console Artica Meta. Vous serez en mesure de pouvoir télécharger ces scripts avec l'icon Winzip qui s'affiche que si les scripts client ont étés envoyés par le concentrateur.


Lorsque les scripts sont envoyés par le concentrateur, Artica Meta va vérifier si ce script est à destination d'un serveur qui est managé. Si le script correspond à un serveur managé, Artica Meta va généré un ordre automatique au serveur Artica du site distant afin qu'il le télécharge et l'applique localement. Le site distant établira alors une session VPN sur le concentrateur de façon automatique. Vous pouvez « forcer » cette opération afin de générer vous même un ordre de téléchargement au serveur VPN du site distant. Il suffit alors de cliquer sur l'icône correspondant représentant un dossier avec deux flèches rouges.

Autoriser à traverser le site distant Cette première opération de réplication permet d'interconnecter les serveurs entre eux. Toutefois une opération reste à faire afin que l'on puisse « traverser » le serveur VPN du site distant pour atteindre les éventuels systèmes informatique situé dans son réseau local. Si les réplications entre le site distant et Artica Meta se sont correctement effectuées, dans les paramètres du site distant, un nouveau formulaire s'affiche. Ce formulaire vous permet de choisir l'interface réseau du serveur sur le site distant. Si vous choisissez une interface réseau, alors une règle va se créer sur le site distant afin d'autoriser les connexions VPN à utiliser l'interface pour atteindre les équipements sur le site distant.


Routages additionnels Le serveur VPN distant reçoit les routes qui sont définies par le serveur VPN. Sans doutes que le serveur VPN ne connais pas toutes les routes IP disponibles pour atteindre des réseaux. Dans les propriétés du site distant, en dessous de « routages » additionnels, vous trouverez les routes Notez que vous ne pouvez pas supprimer un routage qui à été défini par le serveur VPN concentrateur. C'est la raison pour laquelle sur certaines routes, vous n'avez pas la possibilité de les supprimer. Avec l'icône « plus » vous pouvez ajouter une route supplémentaire. Cette route sera alors envoyée au site distant et son VPN redémarrera avec la nouvelle route ajoutée.

État des sites distants lorsque le site distant a pris en compte les paramètres il va envoyer l'état de ses services à la console globale de management. Dans la section OpenVPN, en cliquant sur « sites distants » vous devriez voir apparaître les noms des sites ainsi que leur temps de vie en mémoire.

Faire tout communiquer. Il reste une dernière chose à effectuer mais Artica ne pourra pas gérer cette opération (sauf dans le cas ou vous utilisez un Artica serveur en temps que serveur DHCP) Il va falloir communiquer à tous vos postes de travail ou systèmes informatiques (par l'intermédiaire de votre serveur DHCP ou bien de votre routeur) toutes les routes nécessaires pour atteindre les différents sites distants. Chaque réseau d'un site distant devra avoir comme passerelle son serveur Artica VPN (y compris pour le « concentrateur »)

artica  

mode d'emploi artica

Read more
Read more
Similar to
Popular now
Just for you