ARCHITECTURE CLIENT / SERVEUR COTE SERVEUR : Configuration du réseau Accueil ARCHITECTURE CLIENT / SERVEUR COTE SERVEUR : Configuration du réseau Service DHCP Service DNS et Active Directory Comptes, Stratégies, droits, héritages
Structure réseau pédagogique LEGT Leclerc Bâtiment Rosier Blanc Structure réseau pédagogique LEGT Leclerc LEGT Leclerc LECLERC01 Adresse IP 10.129.253.2 Contrôleur de domaine (serveur DNS principal) du domaine PROLEC et de l’Active Directory (Annuaire des comptes réseau) Serveur des adresses IP réseau (DHCP étendu sur 10.129.1.x à 10.129.253.x Serveur de disques logiques (dossiers qu’il partage et à qui il affecte une lettre d’unité pour les stations (P, W, X, Y, Z). Serveur de solution antivirus réseau officescan 250 Stations de travail (clients) connectées physiquement au réseau pédagogique et configurées pour accéder à : PROLEC (domaine) Domaine : PROLEC (PROLEC.local) est un domaine interne au legt leclerc) INTERNET DNS = passerelle = proxy : 10.129.254.254 (SLIS) IMPRIMANTES LASER Imprimante locale avec port réseau sur adresse réservée en 10.129.253.xx (xx correspond souvent au n° de salle) LECLERC02 Adresse IP 10.129.253.3 Serveur d’application SAGE SAARI Serveur d’intranet Apache autorisant l’accès à des bases SQL. Serveur d’images de clonage de stations (Ghostcast server) par la console Ghost SLIS (IP : 10.129.254.254) Serveur dédié à l’accès à un Internet sécurisé SWITCHS Modem ADSL + routeur internet SWITCHS Faisceau laser remplçant un câblage entre les 2 bâtiments A peu près 100 machines A peu près 50 machines
Service DHCP : Dynamic Host control Protocol Leclerc01.prolec.local [10.129.253.2] Le serveur détient seul une IP fixe, ici 10.129.253.2 1 . 1 Le serveur Leclerc01 assume un service d’attribution dynamique d’adresses IP aux clients se connectant physiquement au réseau local. Ceci implique l’attribution d’un bail à durée limitée (ici à 4 heures). En fin de bail le client peut voir son bail reconduit pour une nouvelle durée ou un client déjà déconnecté souscrira un nouveau bail à sa prochaine connexion pour une adresse IP qui ne sera pas nécessairement la même que la précédente. On parle alors d’adressage dynamique. Le service DHCP est indépendant des autres services et n’implique pas l’adhésion au domaine PROLEC. 252 . 255 Le serveur DHCP travaille seul mais en cas de plantage, le serveur Leclerc02 contient un réplica de ce service qui peut être activé rapidement pour assurer le service de secours. Mieux vaut éviter de faire travailler en même temps 2 serveur DHCP afin d’éviter les doublons dans l’attribution.
DNS et Active Directory Un DNS (Domain Name Server) correspond à l’offre d’un serveur unique faite à tout client d’accéder au domaine qu’il distribue, organise et sécurise. L’adhésion au domaine implique pour chaque client un droit d’entrée avec une procédure d’identification (Login + mot de passe) afin de disposer des ressources réseau inclues dans le domaine. Lorsqu’une organisation a implanté plusieurs domaines et sous domaines, on parle de forêt et les domaines et leurs interactions sont réglementées par le serveur de la forêt. Dans notre exemple nous avons un domaine local PROLEC proposé par le serveur de domaine Leclerc01. L’accès des utilisateurs et leurs droits sont réglementés dans un vaste annuaire lié au domaine : l’Active Directory (AD) dont nous avons un large aperçu ci-dessous. Par sécurité, DNS et AD sont répliqués sur le serveur Leclerc02 Liste standardisée des utilisateurs et groupes d’utilisateurs dans l’AD. Cette liste est une base Utile à la conception des profils des utilisateurs Réels de l’AD. Liste des utilisateurs réels de l’AD, chacun ayant un compte (4 utilisateurs profs en bleu, regroupés sous une unité d’organisation PROFBTS
Comptes, Groupes, unités d’organisation Compte individuel de l’utilisateur Didier Walter contenant un login et la mémorisation d’un mot de passe Stratégie de sécurité de l’unité d’organisation frappant toutes les sous unités et leurs membres ou groupes Groupe d’utilisateurs profs de BTS conçu pour faciliter l’attribution de droits identiques pour les membres du groupe (sécurité d’accès à un dossier etc) Sous unité d’organisation prévue pour les utilisateurs. Plusieurs sous unités ont été créées sous l’unité principale LEGT leclerc. Les sous unités héritent des options implantées sur l’unité de rang supérieur. Par exemple, l’unité d’organisation LEGT Leclerc mentionne un mode d’accès internet par serveur proxy. Les sous unités héritent automatiquement de cette caractéristique par défaut.
Stratégie de sécurité Elle définit les ressources et les restrictions des utilisateurs ou unités regroupés sous un niveau. Ici la stratégie correspond à la stratégie de l’unité d’organisation principale LEGT Leclerc. Toutes les sous unités hériteront des options configurée pour la sécurité, les lecteurs logiques mentionnés dans les scripts de connexion aux sessions etc. Les options sont innombrables et ne doivent être gérées que par l’administrateur réseau afin d’assurer une cohérence à l’ensemble. Ici l’icône de internet explorer apparaîtra sur les bureaux des utilisateurs du domaine sans restriction (car non configurée). On peut imaginer que dans une stratégie de niveau inférieur ayant hérité de cette propriété, on décide de configurer l’option en l’activant afin de priver les utilisateurs sous l’unité concernée de l’icône de Internet explorer.
Caractéristiques des comptes utilisateurs : Exemple. Chaque compte est membre d’un groupe de sécurité des « Users » et possède de nombreuses caractéristiques. Le compte JJ Morel est membre des administrateurs du domaine mais aussi des utilsateurs du domaine et également du groupe des profsbts, ce qui le rend éligible pour les ressources offertes par les différents groupes, d’où une certaine complexité à gérer l’Active Directory. Le compte est accessible par le login « Morel » et un mot de passe qui ne peut être modifié à l’avenir. Ce compte est autorisé à se connecter au domaine tous les jousr sauf le dimanche.
Droits sur les dossiers utilisateurs et héritages. Le serveur partage le dossier BTSCGO aux utilisateurs du domaine sous la forme d’un dossier ou d’une unité logique rendant la ressource visible uniquement pour certains utilisateurs. Pour obtenir une vision encore plus fine des droits attribués JJ Morel a été ajouté et dispose de tous les droits sur son dossier. Les droits du groupe Profsbts sont alors limités. JJ Morel fait partie de ce groupe mais n’est pas pénalisé pour autant. Par contre il aurait été pénalisé si on avait émis des refus au groupe ProfBTS (de Modifier par exemple) qui auraient privé aussi JJ Morel REFUS > AUTORISATION BTSCGO est atorisé aux 4 profs BTS et tout autre utilisateur se verra refuser l’accès sauf s’il est administrateur du domaine (qui d’ailleurs a tous les droits) Ceci implique que les 4 sous dossiers hériteront de ces caractéristiques à leur création. Case décochée pour stopper l’héritage et copier les droits établis afin de les paramétrer spécifiquement.