Réalisations académiques

Haute Disponibilité WEB: HAProxy

15 avril 2025 by Lois Dutour

Contexte

Dans le cadre de la mise en place d’une infrastructure sécurisée répondant aux critères de l’épreuve E5, le critère de redondance était nécessaire. Ainsi, dans la mission de la charge de serveurs web de la société BagdadMediLab, cette société ayant une volonté de résister face aux nombres importants de visites sur son site web. Alors le service mise en place est pensé comme un cluster pour une haute disponibilité avec HAPRoxy.

Installation et configuration des serveurs WEB

Prérequis

Ainsi, dans le cadre de la mise en place d’une infrastructure, il est nécessaire d’avoir :

Un serveur sous Rocky Linux (9.4 ici)

Installation d’un service WEB (nginx)

Installation des packages nécessaires au service WEB

sudo dnf install nginx php-fpm mariadb-server php php-mysqlnd -y

On retrouvera les fichiers de .conf dans /etc/nginx/

sudo ls /etc/nginx/

Et les logs se trouveront dans le répertoire /var/log/nginx/error.log

Et par défaut, les fichiers pour le site web sont dans le répertoire /usr/share/nginx/html/
On ajoute une exception pour les ports 80 (HTTP) et 443 (HTTPS) dans le pare-feu pour que la page par défaut (index.html) s’affiche correctement

sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

Démarrer et rendre enable le service nginx

sudo systemctl start nginx & sudo systemctl enable nginx

On peut voir les pages http par défaut (index.html) qui s’affiche dans notre navigateur si on tape http://adresse_ip/

Et pour vérifier que le service http est autorisé dans le firewall :

sudo firewall-cmd --list-service

Modification du port d’écoute de nginx (par défaut 80 pour le protocole html), il faut se rendre dans le fichier de configuration nginx et modification des paramètres :

sudo nano /etc/nginx/nginx.conf
sudo systemctl restart nginx

Que l’on teste avec le port 80 ou 8080, cela nous donne le résultat suivant, en effet le port d’écoute de nginx ayant été modifié, le 80 n’est plus écouté et le firewall-cmd n’a pas été configuré pour effectuer une exception pour le port 8080.

Modification de la configuration pour la remettre dans son état d’origine (Il faut effectuer la manipulation inverse que celle-ci-dessus)

Installation du moteur de la base de données

MariaDB ayant été installé, il est nécessaire de le configurer
- TIPS : Il faudra conserver ces logins tout au long du TP
- Lancement et rendre enable au démarrage MariaDB

sudo systemctl enable --now mariadb.service

Lancement de la configuration de base

sudo mysql_secure_installation

Connexion

sudo mysql -u root -p

Création de la base de données

create database bdd_web;

Création de l’utilisateur

CREATE USER 'WEB'@'localhost' IDENTIFIED BY 'je_suis_le_mot_de_passe';

Attribution des droits

GRANT ALL PRIVILEGES ON bdd_web.* TO 'WEB'@'localhost';

Forcer la prise en compte des modifications

FLUSH PRIVILEGES;

Vérifier la base de données

SHOW DATABASES;

Déploiement du site FR

Déploiement le site FR, pour cela nous allons créer le répertoire ecommerce.fr/ dans /var/www/

sudo mkdir -p /var/www/ecommerce.fr/

Avec le package fournis, on déposera l’ensemble des fichiers dans le répertoire ecommerce.fr Astuce : WinSCP permet d’effectuer cette démarche en utilisant le protocole SSH

sudo cp -r /home/ldutour/PricingSubscription/ /var/www/ecommerce.fr/

Maintenant nous allons modifier les paramètres de php-fpm, se rendre dans /etc/php-fpm.d/www.conf

sudo nano /etc/php-fpm.d/www.conf

Activation du démarrage automatique et démarrer dès maintenant le service

sudo systemctl start php-fpm & sudo systemctl enable --now php-fpm

Création du fichier de configuration nginx, à créer dans le répertoire /etc/nginx/conf.d/site_commerce.fr.conf

sudo nano /etc/nginx/conf.d/site_commerce.fr.conf

server {
        listen 80;
        listen [::]:80;

        root /var/www/ecommerce.fr/PricingSubscription/;
        index index.html index.htm index.nginx-debian.html sign-up.php;

        server_name ecommerce.fr ;
        location ~* \.php$ {
        fastcgi_pass unix:/run/php-fpm/www.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param SCRIPT_NAME $fastcgi_script_name;
}
        access_log /var/log/nginx/access_ecommerce.fr.log;
        error_log /var/log/nginx/error_ecommerce.fr.log;
        location / {
        try_files $uri $uri/ =404;
    }
}

Configuration du fichier de configuration php pour établir la connexion avec le moteur de base de données. Pour cela, il faut effectuer une modification du fichier de configuration conf.php et renseigner les informations avec les informations lors de la création de la base de données et de l’utilisateur.

sudo nano /var/www/ecommerce.fr/PricingSubscription/config.php

Exécution du script SQL database.sql fournit. Pour cela, il faut se connecter sur le moteur de base de données et sélectionner la base.

sudo mysql -u WEB -p
use bdd_web;
source /var/www/ecommerce.fr/PricingSubscription/database.sql

Relance du service nginx afin de faire des tests.

sudo systemctl restart nginx

Lorsque l’on tape l’adresse IP, cela fonctionne

Pour que le nom de domaine fonctionne, il faut modifier les DNS dans sa machine locale Sur Windows, modifier le fichier de configuration suivant en tant qu’administrateur

C:\Windows\System32\drivers\etc\hosts

Sur Linux, modifier le fichier de configuration suivant

/etc/hosts

Maintenant, si on tape dans la barre de recherche de son navigateur le nom de domaine, on tombe sur notre page

Un test supplémentaire permet de vérifier si php est correctement opérationnel : Cette commande permet de vérifier la version et information complémentaire de php ainsi que du système d’exploitation utilisé.

echo '<?php phpinfo(); ?>' | sudo tee /var/www/ecommerce.fr/PricingSubscription/info.php
sudo chown nginx:nginx /var/www/ecommerce.fr/PricingSubscription/info.php
sudo chmod 644 /var/www/ecommerce.fr/PricingSubscription/info.php

Si l’on souhaite modifier à notre guise la page en FR de la page qui s’affiche, alors il faudra modifier le fichier suivant : /var/www/ecommerce.fr/PricingSubscription/sign-up.php

sudo nano /var/www/ecommerce.fr/PricingSubscription/sign-up.php

En effectuant les modifications nécessaires, on se retrouve avec la page suivante :

Déploiement du site UK

Rappel du schéma de fonctionnement :

Nous allons maintenant déployer le 2ème site UK. En utilisant la démarche précédente à l’exception de quelques étapes :

La configuration de la base de données n’est pas nécessaire car nous réutiliserons celle du serveur WEB01

sudo mkdir -p /var/www/ecommerce.uk/

sudo cp -r /home/ldutour/PricingSubscription/ /var/www/ecommerce.fr/

sudo nano /etc/nginx/conf.d/site_commerce.uk.conf

server {
        listen 80;
        listen [::]:80;

        root /var/www/ecommerce.fr/PricingSubscription/;
        index index.html index.htm index.nginx-debian.html sign-up.php;

        server_name ecommerce.uk ;
        location ~* \.php$ {
        fastcgi_pass unix:/run/php-fpm/www.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param SCRIPT_NAME $fastcgi_script_name;
}
        access_log /var/log/nginx/access_ecommerce.uk.log;
        error_log /var/log/nginx/error_ecommerce.uk.log;
        location / {
        try_files $uri $uri/ =404;
    }
}

sudo nano /var/www/ecommerce.uk/PricingSubscription/config.php

Ici, lors de l’indication d’où se trouve la base de données, on modifie localhost par l’adresse IP du serveur.

sudo systemctl restart nginx

Et lorsque l’on tape l’adresse IP dans notre navigateur, on retrouve le site.
Modification du fichier host du client se localisant ici :

C:\Windows\System32\drivers\etc\hosts

echo '<?php phpinfo(); ?>' | sudo tee /var/www/ecommerce.uk/PricingSubscription/info.php
sudo chown nginx:nginx /var/www/ecommerce.uk/PricingSubscription/info.php
sudo chmod 644 /var/www/ecommerce.uk/PricingSubscription/info.php

Le site ecommerce.uk est fonctionnel.
Par mesure de prévoyance, il est conseillé d’effectuer des snapshots des machines virtuelles configurées plus tôt.

Sécurisation d’un service WEB (nginx)

Dans le cadre d’une sécurisation des services WEB mise en place précédemment. Cependant dans le cadre de changements sur un système, il existe une gestion des changements. Les actions doivent être en lien avec la mise en place d’un incident ou d’un changement. C’est une recommandation selon la norme ITIL. Ainsi, nous suivrons le processus « type » d’un changement selon la norme ITIL, il est important de prendre en compte, cela est une proposition de processus, chaque entreprise l’adapte selon son besoin.

En lien avec le protocole http, l’ANSSI recommande l’utilisation des protocoles avec chiffrement. En effet, si l’on effectue une analyse Wireshark et que l’on rempli le formulaire du site :

Grâce à Wireshark, on peut observer les trames passer sur le réseau et les informations passent en clair. Ainsi il est urgent de sécuriser cela ! ⚠️ Pour cela, il est nécessaire de mettre en place le protocole HTTPS sur nos serveurs web.

Création du répertoire suivant et limitation de l’accès à ce répertoire

sudo mkdir /etc/ssl/private

sudo chmod 700 /etc/ssl/private/

Commande pour la génération des certificats et explication de cette commande
o Openssl : Outil pour la création de certificat
o Req : La commande x509 est un utilitaire de certificat polyvalent. Il peut être utilisé pour afficher des informations de certificat, convertir des certificats en diverses formes, signer des demandes de certificat comme une « mini CA » ou modifier les paramètres de confiance de certificat
o -x509 : Cette Option génère un certificat auto-signe au lieu d’une demande de certificat. Ceci est généralement utilisé pour générer un certificat de test ou une autorité racine auto-signée. Les extensions ajoutées au certificat (le cas échéant) sont spécifiées dans le fichier de configuration.
o -nodes : Cela indique à OpenSSL d’ignorer l’option permettant de sécuriser notre certificat avec une passphrase. Nous avons besoin de nginx pour pouvoir lire le fichier, sans intervention de l’utilisateur, au démarrage du serveur. Une phrase secrète empêcherait que cela se produise car nous devrions la saisir après chaque redémarrage.
o -days 365 : Durée de validité du certificat
o -newkey rsa:2048 : Cela spécifie que nous voulons générer un nouveau certificat et une nouvelle clé en même temps. Nous n’avons pas créé la clé requise pour signer le certificat lors d’une étape précédente, nous devons donc la créer avec le certificat. La partie rsa:2048 lui indique de créer une clé RSA d’une longueur de 2048 bits.
o -keyout /etc/ssl/private/nginx-selfsigned.key :
o -out /etc/ssl/certs/nginx-selfsigned.crt :

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned_fr.key -out /etc/ssl/certs/nginx-selfsigned_fr.crt

Générer un groupe Diffie-Hellman fort qui permet la négociation de PFS (Perfect Forward Secrecy)

sudo openssl dhparam -out /etc/ssl/certs/dhparam_fr.pem 2048

Édition des fichiers de configuration /etc/nginx/conf.d de chaque site pour intégrer le protocole HTTPS.
o On va spécifier les ports de fonctionnement de HTTPS (443)
o Spécification du certificat et de la clef

sudo nano /etc/nginx/conf.d/site_commerce.fr.conf

server {
        listen 443 http2 ssl;
        listen [::]:443 http2 ssl;
        ssl_certificate /etc/ssl/certs/nginx-selfsigned_fr.crt;
        ssl_certificate_key /etc/ssl/private/nginx-selfsigned_fr.key;
        ssl_dhparam /etc/ssl/certs/dhparam_fr.pem;
        root /var/www/ecommerce.fr/PricingSubscription/;
        index index.html index.htm index.nginx-debian.html sign-up.php;
        server_name ecommerce.fr ;
        location ~* \.php$ {
        fastcgi_pass unix:/run/php-fpm/www.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param SCRIPT_NAME $fastcgi_script_name;
}
        access_log /var/log/nginx/access_ecommerce.fr.log;
        error_log /var/log/nginx/error_ecommerce.fr.log;
        location / {
        try_files $uri $uri/ =404;
}
}

sudo nginx -t
sudo systemctl reload nginx

Pour la partie ecommerce.uk :

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned_uk.key -out /etc/ssl/certs/nginx-selfsigned_uk.crt
sudo openssl dhparam -out /etc/ssl/certs/dhparam_uk.pem 2048

sudo nano /etc/nginx/conf.d/site_commerce.uk.conf

server {
        listen 443 http2 ssl;
        listen [::]:443 http2 ssl;
        ssl_certificate /etc/ssl/certs/nginx-selfsigned_uk.crt;
        ssl_certificate_key /etc/ssl/private/nginx-selfsigned_uk.key;
        ssl_dhparam /etc/ssl/certs/dhparam_uk.pem;
        root /var/www/ecommerce.uk/PricingSubscription/;
        index index.html index.htm index.nginx-debian.html sign-up.php;
        server_name ecommerce.uk ;
        location ~* \.php$ {
        fastcgi_pass unix:/run/php-fpm/www.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param SCRIPT_NAME $fastcgi_script_name;
}
        access_log /var/log/nginx/access_ecommerce.uk.log;
        error_log /var/log/nginx/error_ecommerce.uk.log;
        location / {
        try_files $uri $uri/ =404;
}
}

sudo nginx -t
sudo systemctl reload nginx

Lorsque l’on tente d’accéder au site, nous avons une alerte, faites « Paramètres avancés/Continuer vers le site ecommerce.uk (Dangereux) »
o L’alerte est normale, depuis 2019, les navigateurs signalent les certificats « auto-signés »

Si on observe les détails du certificat

Pour être sûr du bon fonctionnement en HTTPS, on lance une petite analyse de trame via WireShark. De plus, en faisant le même exercice avec le formulaire, on remarque que les données sont chiffrées.

Avant de continuer, il faut que les 2 sites soient consultables via HTTPS et il est conseillé de faire une snapshot des machines virtuelles.

Redirection HTTP vers HTTPS

Cependant, si nous testons d’aller sur le site en http, cela fonctionne encore. Nous allons mettre en place pour nos utilisateurs, une redirection http vers HTTPS. Il faut pour cela ajouter une directive dans la partie serveur http : L’ensemble des requêtes http sont redirigés vers HTTPS.

sudo nano /etc/nginx/conf.d/site_commerce.uk.conf

return 301 https://$host$request_uri; #A ajouter dans le bloc server listen 80
sudo nginx -t
sudo systemctl reload nginx

Et on effectue de même avec le site ecommerce.fr

sudo nano /etc/nginx/conf.d/site_commerce.fr.conf

return 301 https://$host$request_uri; #A ajouter dans le bloc server listen 80

sudo nginx -t
sudo systemctl reload nginx

Le port HTTPS peut être ouvert, tandis que le port http peut être fermé

sudo firewall-cmd --remove-service=http && sudo firewall-cmd --add-service=https

firewall-cmd --list-service

Et on effectue la même chose sur WEB02

sudo ls /etc/nginx/

sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --reload

sudo systemctl start nginx & sudo systemctl enable nginx

Test du serveur nginx dans le navigateur à l’adresse http://adresse_ip/

sudo mkdir -p /var/www/ecommerce.uk/

sudo cp -r /home/ldutour/PricingSubscription/ /var/www/ecommerce.uk/
sudo nano /etc/php-fpm.d/www.conf

sudo systemctl start php-fpm & sudo systemctl enable --now php-fpm

sudo nano /etc/nginx/conf.d/site_ecommerce.uk.conf

Déploiement du service de haute disponibilité WEB grâce à HAProxy

Installation du package HAProxy

sudo yum install haproxy -y

Copie du fichier de configuration avant toute modification

sudo cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak

Modifications des paramètres suivant pour ajouter nos serveurs :
Bloc permettant d’activer la page de suivi du load-balancing :

defaults 
mode tcp 
listen stats bind *:8080 # Port d'écoute de l'interface de suivi 
mode http
stats enable
stats hide-version 
stats uri /stats # URL de l'interface de suivi 
stats admin if LOCALHOST 
stats auth haproxy:haproxy # Identifiants de connexion (utilisateur:mot de passe)

Bloc permettant de définir le serveur qui va rediriger les requêtes vers le bon serveur WEB :

frontend main
bind *:80 # Port sur lequel HAProxy écoute 
acl url_static path_beg /static /images /javascript /stylesheets 
acl url_static path_end .jpg .gif .png .css .js 
use_backend static if url_static 
default_backend app # Redirection vers le backend principal

Bloc permettant de définir nos serveurs selon le nom du backend :

backend app
    balance     roundrobin
    server      WEB02   192.168.1.166:443       ssl verify none check
    server      WEB01   192.168.1.234:443       ssl verify none check

Activation de Rsyslog

sudo cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
sudo nano /etc/rsyslog.conf

Décommentez les lignes suivantes :

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

Configuration d’une policy pour SELinux car celui-ci surveille tout

sudo setsebool -P haproxy_connect_any 1

Démarrage de HAProxy et Rsyslog

sudo systemctl enable --now haproxy && sudo systemctl enable --now rsyslog
sudo systemctl reload haproxy

Ouverture du port 8080 dans le firewall

sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload

Depuis le HAProxy

Vérification dans un navigateur WEB, l’accès à la page d’administration

Mise en place d’un cluster de HAProxy

Dans le cadre de la haute disponibilité, il est recommandé de mettre en place un cluster de HAProxy. Ici, il aura les machines suivantes toutes sous RHEL :
- WEB01
- WEB02
- HA01
- HA02

Il faut que la résolution de noms soit fonctionnelle. Ceci peut-être testé avec curl.

Installation HAProxy Bis

Résolution des noms via le fichier /etc/hosts et vérification avec curl.

Ouverture du port 80 si nécessaire.

sudo yum install haproxy -y

sudo scp /etc/haproxy/haproxy.cfg ldutour@192.168.1.134:/home/ldutour

sudo mv /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak
sudo cp /home/ldutour/haproxy.cfg /etc/haproxy/

sudo cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
sudo nano /etc/rsyslog.conf

sudo setsebool -P haproxy_connect_any 1

sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --reload

sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout /etc/pki/tls/certs/haproxy.pem -out /etc/pki/tls/certs/haproxy.pem -days 365

sudo systemctl enable --now haproxy && sudo systemctl enable --now rsyslog
sudo systemctl reload haproxy

Installation de Pacemaker

Installation sur les deux proxy du module Pacemaker

sudo yum config-manager --set-enabled highavailability

Activer le module « highavailability » :

sudo yum config-manager --set-enabled highavailability
sudo dnf install pcs -y
sudo systemctl enable --now pcsd

Création du cluster avec configuration du mot de passe

sudo passwd hacluster

Gestion du firewall :

sudo firewall-cmd --add-service=high-availability --permanent
sudo firewall-cmd --reload

Authentification entre les HAProxy :

sudo pcs host auth HA01 HA02

Sur HA02 uniquement :

sudo pcs host auth HA01 HA02

Démarrage et activation du cluster :

sudo pcs cluster start --all
sudo pcs cluster enable --all

Vérifications :

sudo pcs cluster status

sudo pcs status corosync #Vérifie le statut du service de communication Corosync
pcs status nodes #Liste l’état des nœuds du cluster

– Possibilité de vérifier les erreurs

sudo crm_verify -L -V

Erreurs concernant STONITH car celui-ci n’a pas été configuré voir à Configuration de STONITH

Vérification des versions

sudo pcs property

Configuration de STONITH

sudo pcs property set stonith-enabled=false
sudo pcs property set no-quorum-policy=ignore
sudo crm_verify -L -V

Configuration d’une VIP (Virtual IP)

sudo pcs resource create virtual_ip ocf:heartbeat:IPaddr2 ip=192.168.1.135 cidr_netmask=24 op monitor interval=30s
sudo pcs status resources

Celle-ci a bien été configuré

sudo pcs status resources

Ressource de maintenance

Sur les deux serveurs :

Installation de l’agent HAProxy :

sudo curl -O https://raw.githubusercontent.com/thisismitch/cluster-agents/master/haproxy
sudo chmod +x haproxy
sudo mv haproxy /usr/lib/ocf/resource.d/heartbeat/

Création et intégration de la ressource :

Création du cluster

sudo pcs resource create haproxy ocf:heartbeat:haproxy binpath=/usr/sbin/haproxy conffile=/etc/haproxy/haproxy.cfg op monitor interval=10s

– Savoir quels agents sont disponibles sur le serveur

sudo pcs resource agents ocf:heartbeat

#Affectation de la ressource au cluster
sudo pcs resource group add HAproxyGroup virtual_ip haproxy
#Ajout d’une contrainte pour que l’IP virtuelle et le HAProxy soit opérationnel sur le même nœud en même temps
sudo pcs constraint order virtual_ip then haproxy

Vérification globale :

sudo pcs status

Logs de Corosync :

cd /var/log/cluster
ls

Vérification de la redirection via la VIP.

Vérification de la continuité de service du HAProxy

En effet, si l’un des serveurs est éteint, le second récupère la VIP pour réceptionner les requêtes.

Donc, dans le cadre d’un test, si on effectue une extinction du serveur HA01, le HA02 récupère la VIP comme on le voit ci-dessous.

Et si on regarde le statut, on peut voir que le service détecte comme OFFLINE, éteint le HA01.

Et si nous effectuons la même manœuvre avec l’extinction de HA02, le serveur HA01 récupère la VIP.

Et si on regarde le statut, on peut voir qu’il détecte comme OFFLINE le HA02.

Ainsi la vérification de la continuité de service informatique est effectuée.

Sources

Si cela vous intéresse, vous trouverez ci-dessous le compte-rendu de cette réalisation professionnelle :

🔒Se connecter pour accéder à la ressource

Mise en place d’un serveur de supervision : Zabbix

4 février 2025 by Lois Dutour

Introduction

Dans le cadre de l’épreuve E6, une infrastructure sécurisée et complète contenant différentes machines virtuelles avec différents systèmes d’exploitations (Windows, Rocky Linux) ainsi que des solutions d’infrastructures réseaux (routeur et commutateurs). Il est nécessaire de pouvoir suivre de manière centralisée les évènements sur chacun des clients.

Ainsi il est nécessaire :

Configurer les agents sur les clients
Installer les templates nécessaires à la supervision des services des différentes machines
Configurer les groupes
Configurer les comptes utilisateurs des administrateurs

Installation depuis l’appliance

Téléchargement de Zabbix

Téléchargement de la version VMWare 7.2 depuis le site suivant :
Download Zabbix appliance

Décompression de la machine virtuelle
Ouverture via VMWare

Configuration globale

Se connecter sur la VM (root : zabbix)

⚠️La machine virtuelle est sous qwerty soit wqbbix en azerty ⚠️

Loadkeys fr

Vérification de la configuration de l’adresse IP de VM

ip a

Mise à jour de la machine virtuelle

dnf update -y
dnf upgrade -y

Changement du fuseau horaire et le passer en GMT +1

date
cp /usr/share/zoneinfo/Europe/Paris /etc/localtime

Installation des packs de langue nécessaires (ici : Français)

localectl
dnf search "langpacks*" | more
dnf install langpacks-fr.noarch
localectl set-keymap fr
localectl set-locale LANG=fr_FR.utf8

Chargement de la page de Zabbix Aller à l’adresse http://adresse_ip

Changement de la langue de l’interface Connexion avec Admin / zabbix → User settings → Profile → Language → Update

Gestion des utilisateurs et des groupes

Contexte : L’entreprise UpTech souhaite mettre en place la notification automatique selon le client.

Nom Entreprise	Application	Référent Entreprise	Cliente
Entreprise1	Entreprise1Web1	Max Hymôme	Yves Héron
Entreprise2	Entreprise2Web1	Marie TIM	Yves Héron
Entreprise2	Entreprise2Web1	Sarah Fréchit	Yvan Dubois

Création des groupes et utilisateurs correspondants aux entreprises

Dans cette partie, il est attendu de créer une architecture permettant de donner des droits en lecture / écriture pertinent et évolutive. Voici une proposition d’implémentation et de gestion des droits.

Quelques mots de vocabulaire :

–        Hôte : est un actif (switch, routeur, serveur, …)
–        GP : Groupe
–        GP Hôte : Groupe d’hôte

Conseil : Créer les éléments qui n’ont pas de dépendance en premier, puis allez dans l’ordre de résolution ;

Indice : La notion de groupe / sous-groupe se gère par le fait de rajouter un slash (”/”), exemple : Entreprise1/GPHote/Application1 ;

GP User : Groupe d’utilisateur

Création des groupes d’hôtes : Collecte de données → Groupes d’hôtes → Créer un groupe d’hôtes

Création des hôtes : Collecte de données → Hôtes → Créer un hôte

Création des groupes utilisateurs : Utilisateurs → Groupes d’utilisateurs → Créer un groupe

Création des utilisateurs : Utilisateurs → Utilisateurs → Créer un utilisateur

Configuration des médias

Les médias représentent les supports de communication de Zabbix, l’application comporte plusieurs dizaines de média. Nous verrons la configuration de certains d’entre eux :
–        Email avec Office 365 ou Gmail
–        Teams, Discord
–        GLPI, PushOver (limitation à 7jr), OpsGenie (documentation non réalisée, limitation à 5 utilisateurs)

Accès via Alertes → Types de média

Email avec Gmail

– Cliquer sur Créer un type de média et remplissez les informations comme ci-joint dans la capture d’écran

⚠️Gmail applique désormais un protocole de sécurité pour la connexion des applications vers ses services, suivre les informations dans la cartouche suivante⚠_️_

o Se connecter sur via le lien suivant : Compte Google

o Ajouter une application et récupérer le mot de passe

Compte Google – Mots de passe d’application
⚠️Attention, dans la partie « Mot de passe » il faut inscrire le mot de passe d’application créé dans Gmail ⚠️

Test :

Notification sur Teams

Au sein d’un équipe Teams, créer plusieurs channels (Entreprise1, Entreprise2 et Uptech), et faites en sorte que les alertes arrivent sur les canaux adaptés aux services en panne.

Pour configurer le webhook de MS Teams Workflow, il faut se rendre dans la barre de raccourcis verticale à gauche et rechercher les trois points des applications supplémentaires et rechercher l’application Workflow et l’ouvrir.

Dans l’application Workflow, dans l’angle supérieur droit, cliquer sur « Nouveau flux »

Dans la barre de recherche, entrez le mot « channel » et dans les résultats de la recherche, sélectionner « Publier sur un canal lors de la réception d’une demande de webhook »

Nommer votre Workflow, ici ce sera « Zabbic webhook ». Puis sélectionner l’utilisateur approprié dans le menu « Se connecter » puis sur « Suivant »

Sélectionner l’équipe MS Teams et le canal appropriés où les événements Zabbix seront publiés, puis « Créer un flux »

Copier l’URL du endpoint du workflow et l’enregistrer

On le retrouve afficher dans la liste des flux

Dans l’interface du serveur Zabbix aller dans « Administration à Macros » puis remplissez comme ci-dessous avec l’adresse IP ou le nom de domaine de votre serveur Zabbix

Dans « Administration Types de média », on peut importer le fichier type de média de MS Teams Workflow.
Et on effectue un test

Intégration des hôtes : Connecter l’infrastructure à Zabbix

L’intégration des hôtes permet un suivi détaillé des machines sur lesquelles sont installés les agents et obtenir par exemple une carte de suivi comme celle-ci :

Installation de l’agent

Installation et démarrage du service SSHD

sudo dnf install openssh-server -y
sudo systemctl enable --now sshd

Ajout d’un utilisateur

sudo adduser rocky
sudo passwd rocky

Ajout du référentiel (dépôt) de Zabbix et installation de zabbix-agent

dnf install -y https://repo.zabbix.com/zabbix/6.0/rhel/9/x86_64/zabbix-agent2-6.0.7-1.el9.x86_64.rpm
dnf update -y
dnf install -y zabbix-agent2

⚠️ Adapter l’URL et le fichier à la version ⚠️

Ajout d’une ouverture sur le firewall

sudo firewall-cmd --permanent --add-port=10050/tcp
firewall-cmd --reload

Ajout autorisation SELinux d’accéder au réseau

setsebool -P zabbix_can_network=1

Modification du fichier de configuration de l’agent Zabbix et adapter les lignes suivantes

sudo nano /etc/zabbix/zabbix_agent2.conf

Contenu à modifier :

Server=192.168.1.                 # IP du serveur Zabbix autorisé
ListenPort=10050                 # Port d'écoute de l'agent
ListenIP=192.168.133.187         # IP(s) sur lesquelles l’agent écoute
ServerActive=192.168.133.132:10051   # IP:port du serveur Zabbix pour vérifications actives
Hostname=DebianClient1
AllowKey=system.run[*]           # Autoriser les commandes à distance (à filtrer)

Redémarrage du service

sudo systemctl enable --now zabbix-agent2
sudo systemctl restart zabbix-agent2

Vérification du statut du service

sudo systemctl status zabbix-agent2

Ajout de l’hôte dans le serveur Zabbix

Accéder au menu « Collecte de données → Hôtes », cliquer sur « Créer un hôte » puis renseigner les informations de votre hôte.

Chiffrement des communications (TLS)

Génération d’une clef PSK

openssl rand -hex 32 > /etc/zabbix/secret.psk

Affichage de la clef PSK

cat /etc/zabbix/secret.psk

Trouver le nom de l’utilisateur zabbix

cat /etc/passwd | grep zabbix

Modification du propriétaire du fichier contenant la clef

chown zabbix:zabbix /etc/zabbix/secret.psk

Modification des droits sur le fichier contenant la clef

chmod 640 /etc/zabbix/secret.psk

Modification du fichier de configuration pour la prise en compte de la clef

nano /etc/zabbix/zabbix_agent2.conf

Ajouter ou modifier :

TLSConnect=psk
TLSAccept=psk
TLSPSKIdentity=SRVWEB
TLSPSKFile=/etc/zabbix/secret.psk

Redémarrage du service zabbix-agent2 et vérification du statut

systemctl restart zabbix-agent2
systemctl status zabbix-agent2

Sur le serveur Zabbix : aller dans Collecte de données → Hôtes → Nom_de_l’hôte (ici SRVWEB) → Chiffrement et remplir selon les valeurs précédemment définies.

⚠️ Image non contractuelle, adapter l’identité PSK et la PSK en fonction des étapes précédentes ⚠️

Gestion des services supplémentaires

Contexte

L’entreprise souhaite que l’on surveille les serveurs de l’entreprise avec le schéma suivant :

Surveiller les services systèmes et réseaux

Pour surveiller les constantes systèmes CPU, RAM, disque, il vous suffit de rajouter les templates Zabbix selon votre système d’exploitation « Linux by Zabbix agent » ou « Windows by Zabbix agent ».

Accéder à l’hôte et ajout d’un modèle fait plus tôt
Procédure pour surveiller le CPU et surveiller les cartes réseaux

Aller dans « Collecte de données à Hôtes » puis aller dans « Eléments » de l’hôte voulu.

Ainsi on peut observer que grâce au modèle « Linux by Zabbix agent » surveille déjà les constantes de réseaux et CPU.

Créer un modèle pour monitorer la partie systèmes, réseaux et services

Dans la catégorie modèle, vous pouvez créer nos propres modèles, afin de gagner du temps dans la sélection des templates, implémenter un template permettant de monitorer l’intégralité de la partie système, réseau et apache par exemple.

Aller dans « Modèle à Créer un modèle »

Surveiller un service système classique

Dans le cadre de la surveillance d’un service classique, on peut ajouter les modèles SSH Service, Apache by Zabbix Agent et MySQL by Zabbix agent 2.

Le modèles SSH Service n’est pas implémenté de base, nous allons donc l’importer avec la procédure suivante :

Aller dans « Collecte de données à Modèles à Importer » et importer le modèle téléchargé sur le site suivant : Marketplace Zabbix

Monitorer un service, actif or not

Pour monitorer un service actif ou non, se rendre sur « Collecte de données à Hôtes à Eléments (d’un hôte) à Créer un item » et remplir comme ci-dessous.

Monitorer un port

Avec la même procédure que précédemment nous allons créer un item et saisir comme ci-dessous :

D’un côté on monitore le port tandis que de l’autre côté, on monitore le service qui est sur le port.

Monitorer le nombre de ligne dans un fichier de log

Mettre les bons droits dans les répertoires et fichiers (droit en exécution/lecture)
Dans le fichier /etc/zabbix/zabbix_agentd.conf avoir la ligne AllowKey=system.run[*] (Autoriser l’envoi de commande à distance)

Monitorer des services complémentaires

Dans le cadre d’un réseau comprenant un serveur WEB, un serveur AD-DHCP-DNS et un switch VYOS. Nous allons monitorer ces équipements sachant que la procédure pour le serveur WEB a été expliqué plus tôt. Nous allons ainsi faire de même pour un serveur Windows 2022 AD-DHCP-DNS et un routeur VYOS.

Serveur Windows 2022 AD-DHCP-DNS

On récupère et on installe l’agent Zabbix depuis le lien suivant.

Lors de l’installation, on rentre les informations nécessaires de notre serveur (IP et Port).

On peut vérifier l’exécution du service avec « services.msc »

Après avoir effectué la configuration Zabbix Agent 2, on effectue les configurations nécessaires sur le serveur Zabbix. On ajoute l’hôte ainsi que les modèles pour ce que le souhaite monitorer. Et l’on peut trouver le modèle pour monitorer le serveur AD sur Zabbix.

Et cela fonctionne !

Par exemple, nous pouvons voir l’état des disques ou encore la carte réseau.

Ou encore l’état du CPU :

Et on peut voir que le service SSH est en fonctionnement sur le serveur SRVADDNSDCHP

Routeur

De manière générique (En cours de modification)

Dans le cadre du monitoring d’un routeur, nous utiliserons un routeur VYOS. Tout d’abord, sur le routeur, on repère l’adresse IP de l’interface qui est incluse dans le réseau.

Définition des hôtes autorisés
- Ici, on va définir le réseau entier

set service snmp community routers network 192.168.1.0/24

Et si l’on doit définir des adresses spécifiques

set service snmp community routers client 192.168.1.46

De plus, on peut configurer des informations du routeur, par exemple

Emplacement

set service snmp location "Mon ordi"

Contact

set service snmp contact "je_suis_le_mail@domain.com"

Configuration des traps (Optionnel)
- Définition d’une cible pour les traps (Mettre l’adresse de son serveur Zabbix)

set service snmp trap-target 192.168.1.46

Enregistrement des modifications

commit

Depuis le serveur Zabbix, on crée un hôte avec les informations suivantes en allant dans « Collecte de données > Hôtes > Créer un hôte ».

Page support de Vyos pour SNMPv2 : ici

Le modèle de monitoring de Vyos : ici

La supervision du routeur est fonctionnelle :

De plus avec le modèle de monitoring Vyos, celui-ci supervise autant la RAM, que le CPU que l’état des interfaces réseaux :

Cependant, il existe un agent Zabbix pour Vyos.

Création d’une carte

Puis aller en haut à droite sur « Editer la carte » pour modifier la carte.

Pour ajouter un élément aller sur « Elément de carte : Ajouter » et sur « Hôte », on peut lier cet élément à un hôte de notre monitoring.

Il existe la possibilité de créer une carte de l’infrastructure dans l’onglet « Surveillance à Cartes ».

Et en sélectionnant deux éléments, vous pouvez les lier.

Déclencheurs

Dans « Alerte > Actions > Actions de déclencheur », on va ajouter un déclencheur dans le cadre où le SRVADDNSDHCP ne fonctionnerai plus.

De plus, il y a possibilité d’envoyer un message aux usagers, techniciens ou administrateurs concernés.

Contexte de l’épreuve E6

Dans le cadre du contexte E6, la supervision permet d’obtenir une carte de supervision pour une meilleur visualisation

Et ainsi effectuer les suivants et être prévenue.

Test sur un switch Cisco

Zabbix détecte que le câble RJ45 du port GE1/0/4 du commutateur DYONISOS a été débranché. Les données sont les suivantes :

2 : Le câble est branché
1 : Le câble est débranché

De plus une alerte est aussi visible sur l’hôte :

Test sur un serveur Web sous Rocky Linux

Pour le test de supervision d’un service SSHD sur le serveur THALES (WikiJS sous Rocky Linux), le service SSHD a été éteint :

Ainsi sur la carte de supervision prévient de toutes interruptions :

*Sachant que HERMES et HERACLES sont éteints

Et lorsque le service est relancé :

Sources

Si cela vous intéresse, vous trouverez ci-dessous le compte-rendu de cette réalisation professionnelle :

🔒Se connecter pour accéder à la ressource

Mise en place d’un serveur Windows AD DNS DHCP

3 février 2025 by Lois Dutour

AD – CR Download

Modes Opératoires et Configuration des Switchs HPE

23 janvier 2025 by Lois Dutour

Contexte

Dans le cadre du renouvellement des postes téléphoniques d’un site, pour le passage de postes téléphoniques en postes TOIP, il est nécessaire d’effectuer le remplacement des commutateurs par des commutateurs POE.

Modes d’Opération du Switch

Mode Utilisateur (User Mode)

Permet d’exécuter les commandes de base (visualisation, état des interfaces).

<HPE>
<HPE> display current-configuration

Mode Privilégié (Privileged Mode)

Accès aux commandes de configuration et gestion du switch (authentification requise).

<HPE> system-view
[HPE]

Diminutif de la commande :

<HPE> sys
[HPE]

Configuration de Base

Changer le Nom du Switch

[HPE] sysname Nom_Switch

Enregistrer les Modifications

[Nom_Switch] save

Gestion des VLANs

Créer un VLAN

[Nom_Switch] vlan 10
[Nom_Switch] name Gestion
[Nom_Switch] description "Gestion des switchs"
[Nom_Switch] quit

Configurer une Interface VLAN avec une Adresse IP

[Nom_Switch] interface Vlan-interface 10
[Nom_Switch] ip address 192.168.2.2 255.255.255.0

Configurer la Passerelle par Défaut

[Nom_Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.2.1

0.0.0.0 0.0.0.0 : Représente l’adresse de destination et le masque de sous-réseau.
192.168.2.1 : Adresse IP de la passerelle par défaut.

Paramètre	Explication
`0.0.0.0 0.0.0.0`	Adresse et masque de destination
`192.168.2.1`	Adresse IP de la passerelle

Assigner des Ports à un VLAN

Ports Access :

[Nom_Switch] interface G1/0/1
[Nom_Switch-GigabitEthernet1/0/1] port access vlan 10
[Nom_Switch-GigabitEthernet1/0/1] quit

Ports Trunk :

[Nom_Switch] interface G1/0/1
[Nom_Switch-GigabitEthernet1/0/1] port link-type trunk
[Nom_Switch-GigabitEthernet1/0/1] port trunk permit vlan 10,20,30
[Nom_Switch-GigabitEthernet1/0/1] quit

Un port access appartient à un seul VLAN et ne peut pas transporter de trafic provenant de plusieurs VLAN. (Les trames ne sont pas marquées avec des tags VLAN lorsqu’elles sont transmises à partir d’un port access)
Un port trunk peut transporter plusieurs VLANs simultanément. (Les trames sont marquées avec des tags VLAN pour identifier à quel VLAN elles appartiennent)

Caractéristique	Mode Trunk	Mode Access
Type de port	Plusieurs VLANs	Un seul VLAN
Utilisation	Lien Switch-Switch	Connexion des utilisateurs
Etiquetage VLAN	Trames taguées	Trames non taguées

Configurer le PVID (Port VLAN ID)

[Nom_Switch] port trunk pvid vlan 30

Le PVID (Port VLAN ID) est utilisé pour marquer les trames non taguées entrant sur le port avec le VLAN spécifié. Exemple : Dans le cadre d’un poste TOIP branché à la même prise qu’un poste utilisateur, VLAN 20 correspond au VLAN TOIP et VLAN 30 au VLAN Data. Dans ce cas, le VLAN Data sera le VLAN dont les trames ne seront pas taguées.

Gestion des Interfaces

Eteindre une Interface

[Nom_Switch] interface G1/0/1
[Nom_Switch] shutdown

Supprimer une Configuration

[Nom_Switch] undo ip address 192.168.2.2 255.255.255.0
[Nom_Switch] undo port trunk permit vlan 10

Affichage et Diagnostic

Afficher la Configuration Active

[Nom_Switch] display current-configuration

Afficher les Interfaces Actives

[Nom_Switch] display interface brief

Afficher les Sessions VTY

[Nom_Switch] display users

Configuration SNMP et SSH

Activer SNMP

Une communauté SNMP définit les autorisations d’accès aux informations du switch via SNMP. Les agents SNMP collectent et envoient ces données aux outils de supervision pour surveiller et administrer le réseau.

#Autorise la lecture seule des informations SNMP avec la communauté nommée "public".
[Nom_Switch] snmp-agent community read public
#Autorise la lecture et l'écriture des paramètres SNMP avec la communauté nommée "private".
[Nom_Switch] snmp-agent community write private

Configurer SSH

[Nom_Switch] user-interface vty 0 4
[Nom_Switch] authentication-mode scheme
[Nom_Switch] protocol inbound ssh
[Nom_Switch] ssh user admin service-type all authentication-type password
[Nom_Switch] public-key create rsa

user-interface vty 0 4 : Sélectionne les interfaces VTY (Virtual Teletype) de 0 à 4 pour la configuration.
authentication-mode scheme : Configure le mode d’authentification pour les interfaces VTY en utilisant un schéma défini (comme RADIUS ou TACACS+).
protocol inbound ssh : Autorise uniquement les connexions SSH pour les interfaces VTY sélectionnées.
ssh user admin service-type all authentication-type password : Crée un utilisateur SSH nommé « admin » avec l’accès à tous les services et une authentification par mot de passe.
public-key create rsa : Génère une paire de clés RSA pour SSH afin de sécuriser les connexions.

Documentation personnelle

Disponible ici

Gestion centralisée des actifs informatiques – GLPI

21 janvier 2025 by Lois Dutour

Dans le cadre de la mise en place d’une infrastructure complète en Atelier Professionnel dans le cadre de ma formation en BTS SIO SISR, un service de gestion des incidents ainsi que de gestion du parc informatique. La solution GLPI a été choisi car ce service est un logiciel de gestion des services informatiques (ITSM) complet et open source.

Installation et configuration d’un serveur Web

Prérequis

Machine sous Rocky Linux (ici 9.5)

Mise à jour du système

sudo dnf update -y

Installation et configuration d’Apache

Installation du service Apache

sudo dnf install httpd -y

Activer et démarrer le service Apache

sudo systemctl enable --now httpd & sudo systemctl start httpd

Vérifiez que le service fonctionne correctement

sudo systemctl status httpd

Ouvrez le pare-feu pour autoriser le trafic HTTP et HTTPS

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

Installation et configuration de PHP

GLPI Version	PHP Min. Ver.	PHP Max. Ver.
10.0.X	7.4	8.3

Activation des dépôt EPEL et Remi (pour obtenir des versions récentes de PHP)

sudo dnf install epel-release -y

Installation des extensions PHP requises

sudo dnf install -y nano wget tar php php-dom php-{fileinfo,filter,libxml,json,simplexml,xmlreader,xmlwriter,curl,gd,intl,mysqli,session,zlib,bz2,phar,zip,exif,ldap,openssl,opcache}

Vérifiez la version de PHP installée

php -v

Redémarrez Apache pour appliquer les modifications

sudo systemctl restart httpd

Redémarrage PHP-FPM

sudo systemctl enable php-fpm --now

Installation et configuration de la base de données

Version minimum recommandé :

MySQL	MariaDB
5.7	10.2

Installation de MariaDB

sudo dnf install -y mariadb-server

Démarrer et activer MariaDB

sudo systemctl enable mariadb --now

Configuration MariaDB

Configuration de MariaDB et sécurisation de l’installation

sudo mysql_secure_installation

Définir le mot de passe root
Accepter les options par défaut (supprimer les utilisateurs anonymes, désactiver l’accès root distant, …)

Connexion à MariaDB

sudo mysql -u root -p

Exécuter les commandes suivantes pour créer une base de données et un utilisateur

CREATE DATABASE glpi CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
CREATE USER 'glpiuser'@'localhost' IDENTIFIED BY 'motdepassefort';
GRANT ALL PRIVILEGES ON glpi.* TO 'glpiuser'@'localhost';
FLUSH PRIVILEGES;
EXIT;

⚠️ Ne pas oublier de changer le mot de passe pour un mot de passe sécurisé

Téléchargement et installation de GLPI

Téléchargement GLPI

Téléchargez la dernière version stable de GLPI depuis le site officiel

sudo wget https://github.com/glpi-project/glpi/releases/download/10.0.17/glpi-10.0.17.tgz

⚠️ Changer la version en fonction de la plus récente disponible

Extraire l’archive vers le bon répertoire et suppression de l’archive téléchargé

tar -xvzf glpi-10.0.17.tgz -C /var/www/html
sudo rm glpi-*.tgz

Configuration des permissions

Attribution des permissions nécessaires

sudo chown -R apache:apache /var/www/html/glpi
sudo chmod -R 755 /var/www/html/glpi
sudo chown -R apache:apache /var/www/html/glpi/files /var/www/html/glpi/config
sudo chcon -R -t httpd_sys_rw_content_t /var/www/html/glpi/files
sudo chcon -R -t httpd_sys_rw_content_t /var/www/html/glpi/config

Accès à l’interface web de GLPI

Accédez à l’interface web de GLPI en ouvrant un navigateur et en entrant l’adresse suivante

http://<IP_de_votre_serveur>/glpi

Si toutes les étapes ont été suivies correctement, vous devriez parvenir à cette page. Nous allons maintenant débuter en sélectionnant la langue.

Étant donné qu’il s’agit d’une installation fraîche, cliquez sur « Installer ».

Étape cruciale : GLPI vérifie la configuration de notre serveur afin de s’assurer que tous les prérequis sont remplis. Tout étant en ordre, nous pouvons poursuivre.

À l’étape suivante, il nous faut fournir les informations nécessaires pour se connecter à la base de données. Nous renseignons « localhost » comme serveur SQL, car MariaDB est installé localement, sur le même serveur que GLPI. Ensuite, nous indiquons l’utilisateur « glpi » ainsi que le mot de passe correspondant.

Poursuivez jusqu’à atteindre les dernières étapes !

Nous pouvons nous connecter avec les identifiants glpi et le mot de passe glpi.

Bienvenue sur votre nouveau serveur GLPI !

Même si l’installation est finie, quelques actions recommandées sont à effectuer :

Changer le mot de passe de tous les comptes par défaut
Supprimer le fichier « install.php » puisqu’il n’est plus nécessaire et représente un risque

sudo rm /var/www/glpi/install/install.php

Configuration d’un collecteur de mail dans GLPI

Dans le cadre de l’automatisation dans la création et la gestion d’incidents, cette rubrique vous explique comment configurer un collecteur d’e-mails dans GLPI.

Liste des serveurs IMAP/SMTP

Dans le cadre de cette configuration, il est nécessaire d’avoir quelques informations complémentaires telles que la liste des serveurs IMAP et SMTP couramment utilisés et qui peuvent être configurés dans GLPI pour la réception et l’envoi de courriels.

Liste des serveurs IMAP/SMTP

Fournisseur	Serveur IMAP	Port IMAP	Serveur SMTP	Port SMTP	Remarques
Gmail	imap.gmail.com	993	smtp.gmail.com	587 (TLS)	Activer l’IMAP et générer un mot de passe d’application (si 2FA activée).
Outlook / Hotmail	outlook.office365.com	993	smtp.office365.com	587 (TLS)	Fonctionne pour les comptes Outlook, Live et Hotmail.
Yahoo	imap.mail.yahoo.com	993	smtp.mail.yahoo.com	465 (SSL)	Nécessite un mot de passe d’application pour IMAP/SMTP.
Free	imap.free.fr	993	smtp.free.fr	465 (SSL)	Gratuit pour les abonnés Free.
Orange	imap.orange.fr	993	smtp.orange.fr	465 (SSL)	Disponible pour les abonnés Orange.
Bouygues	imap.bbox.fr	993	smtp.bbox.fr	465 (SSL)	Pour les abonnés Bouygues Telecom.
SFR	imap.sfr.fr	993	smtp.sfr.fr	465 (SSL)	Pour les abonnés SFR.
OVH	ssl0.ovh.net	993	ssl0.ovh.net	587 (TLS)	Pour les domaines personnalisés hébergés chez OVH.
ProtonMail	127.0.0.1 (Bridge requis)	Variable	127.0.0.1 (Bridge requis)	Variable	ProtonMail nécessite l’installation de ProtonMail Bridge pour IMAP/SMTP.
Bluehost	mail.votre-domaine.com	993	mail.votre-domaine.com	465 (SSL)	Remplacez ‘votre-domaine.com’ par le domaine hébergé chez Bluehost.

Configuration du collecteur

Dans le cadre de cette exemple, le collecteur sera pour un lycée du nom de Lycée Ch’ti du Nord.

Dnas un premier temps, il est nécessaire d’autoriser des tickets anonymes et leurs suivis dans : Accueil > Configuration > Générale > Assistance

Pour la configuration qui suivra, nous prendrons une adresse Gmail pour la configuration. Et pour compléter la configuration de celle-ci, il sera nécessaire de créer un mot de passe d’application avec le suivant.

Puis, il faut se connecter à son espace GLPI avec un compte administrateur (⚠️ Il est recommandé de désactiver le compte administrateur glpi par défaut). Et il faut se rendre dans Configuration > Collecteurs.

Il faut cliquer sur Ajouter et remplir les informations nécessaires comme ci-dessous :

Nom : Collecteur Lycee Ch’ti
Actif : Oui
Serveur : imap.gmail.com
Option de connexion : IMAP, SSL
Port : 993
Identifiant : adressemail@domaine.com ( A remplacer par votre adresse mail)
Mot de passe : Mot_de_passe_de_l’application_sans_les_espaces

Et on peut tester la connexion en allant sur Actions > Récupérer les courriels maintenant.

Ainsi, on peut observer les tickets arrivés dans Assistance > Tickets.

Votre collecteur de tickets par e-mails et configuré ! 🎉

Exemple de gestion d’un ticket d’incident : Incident lié à un logiciel

Contexte

L’utilisateur envoie un e-mail concernant un problème d’accès à l’application BCDI. Voici les détails de la gestion de cet incident. Voici les détails de la gestion de cet incident ci dessous :

Email de l’utilisateur

Expéditeur : enseignant.mathieu@lyceechti.edu
Sujet : [Urgent] Problème BCDI – Accès Base de Données
Message :
Bonjour,

Depuis ce matin, l’accès à l’application BCDI est impossible.
– Message d’erreur : « Connexion refusée à la base de données ».
– Poste concerné : Bibliothèque.

Merci pour votre intervention rapide.

Cordialement,
Mathieu Dupont
Enseignant au Lycée Ch’ti du Nord.

Transformation en ticket

Le collecteur traite automatiquement cet e-mail et crée un ticket dans GLPI :
– Titre : [Urgent] Problème BCDI – Accès Base de Données.
– Description : Le contenu du message.
– Demandeur : Mathieu Dupont.
– Catégorie : Logiciels > BCDI.
– Priorité : Urgente (par une règle de détection des mots-clés comme « Urgent »).

Notifications

GLPI envoie une réponse automatique :
Bonjour Mathieu Dupont,

Votre demande concernant « Problème BCDI – Accès Base de Données » a été enregistrée sous le numéro de ticket #67890.
Un technicien prendra en charge votre demande dans les plus brefs délais.

Cordialement,
Service Informatique
Lycée Ch’ti du Nord.

Résolution

– Diagnostic : Vérifiez l’état du serveur MySQL hébergeant la base de données BCDI.
– Résolution : Redémarrez le service MySQL et testez l’accès depuis le poste bibliothèque.
– Mise à jour : Problème identifié et résolu : Le service MySQL était arrêté. Redémarrage effectué avec succès.

Notification de résolution

Bonjour Mathieu Dupont,
Votre demande #67890 a été résolue.
Résolution : Le service MySQL de la base de données BCDI a été redémarré avec succès.
Si vous rencontrez d’autres problèmes, merci de nous contacter.
Cordialement,
Service Informatique
Lycée Ch’ti du Nord.

Gestion de l’incident

Pour l’exemple ci-dessus, on va créer le mail pour qu’il arrive à la boite mail du collecteur :

Récupération du mail par le collecteur (Décris ci dessus dans la rubrique Collecteur) :

Auparavant une règle de priorité par rapport aux mots clefs du titre et de la description a été configuré comme ci-dessous
- Se rendre dans Administration > Règles > Règles métiers pour les tickets > Ajouter
- Ajouter les informations suivantes puis sur Ajouter

Critères

Actions

De plus, une règle pour catégoriser dans “Logiciels > BCDI” (Logiciel est la catégorie parent de BCDI)

Le ticket a été attribué au technicien de notre GLPI

Il va se connecter à son compte pour traiter le cas et envoyer une réponse à la personne concernée, voici le traitement effectué :

Après avoir mis la solution de résolution (cf. Message en bleu plus haut écrit par le technicien), il est nécessaire de le clôturer

⚠️En installant un serveur SMTP, il est possible de faire des réponses automatiques directement à l’adresse mail de l’utilisateur ayant fait le ticket⚠️

Gestion des droits dans GLPI (En cours de modification)

Dans le cadre de la gestion des demandes et des incidents ainsi que la gestion du parc informatique, le service GLPI permet une flexibilité dans un logiciel open-source. Cependant, en application au juste droit, il est nécessaire d’administrer celui en gérant les droits attribués aux utilisateurs.

Création d’un utilisateur

Dans l’onglet Administration > Utilisateur, on peut consulter la liste de tous les utilisateurs existants. Et sur cette même page, il y a la possibilité de créer un nouvel utilisateur.

Ainsi, lors de la création d’un utilisateur, il sera nécessaire de remplir les informations suivantes puis cliquer sur Ajouter :

De plus, il y a la possibilité de gérer la validité du compte :

Ainsi qu’aux habilitations du compte et à quelle entité appartient le compte :

Gestion des habilitations d’un utilisateur

Toujours dans l’onglet, Administration > Utilisateurs et en sélectionnant l’utilisateur en question, il est possible de modifier ou d’ajouter des habilitations ainsi que de modifier l’entité que peut administrer ou consulter cet utilisateur.

Gestion de groupes

Il est également possible de créer un groupe en accédant à Administration > Groupe, puis en cliquant sur le bouton Ajouter.

Puis, en remplissant les informations nécessaires et en cliquant sur Ajouter, le groupe est crée.

Dans l’onglet Sous-groupe, il est permis de créer des groupes enfants.

De plus, dans l’onglet Utilisateurs, il est envisageable de voir tous les utilisateurs appartenant au groupe et d’effectuer la gestion de ceux-ci directement depuis ici, en ajouter, en supprimer.

Règles et droits

Il est permis de créer une règle pour attribuer des droits. Pour effectuer cette action, il est nécessaire de se rendre dans l’onglet Administration > Règles, il faut sélectionner Règle d’affectation d’habilitation à un utilisateur.

Puis aller sur le bouton Ajouter.

Il faudra remplir les informations de base, telles que nom, description, puis cliquer sur Ajouter.

Ensuite, il faut se rendre dans l’onglet Critère puis Groupe et le groupe qui a été créé soit Test ici.

Puis en allant dans Action, on peut ajouter l’action Profil et il faudra assigner le rôle que l’on souhaite, ici Technician. Ne pas oublier de finaliser l’action en cliquant sur Ajouter.

La règle est désormais fonctionnelle et activée !

De plus, dans l’onglet Administration > Profils, il est possible de sélectionner un profil, ici l’exemple de Technician. Ensuite, en accédant dans l’onglet Parc, on peut voir tous les droits attribués aux techniciens concernant la gestion du parc informatique.

Par ailleurs, dans l’onglet Assistance, il est possible de voir les actions autorisés pour les techniciens concernant leurs tickets.

Ainsi, dans cette barre latérale, il est possible de paramétrer de nombreux paramètres associés à ce profil.

Authentification LDAP

Configuration LDAP et connexion à l’AD

Petit contexte pour visualiser l’infrastructure virtuelle :

Pour ce tuto, les utilisateurs suivant ont été créé :

Installation des mises à jours et installation des extensions nécessaires


sudo dnf install php-ldap -y

On effectue un test avec un compte LDAP

Et cela fonctionne ! Ce compte aura accès à GLPI avec par défaut un profil Self-Service dans lequel il ne pourra créer et suivre l’état de ses propres tickets et accéder à la base de connaissance de GLPI en mode FAQ si celle-ci est utilisée.

En se connectant sur GLPI avec un compte Base interne GLPI, puis que l’on se rends dans Administration → Utilisateurs, on peux retrouver dans la liste des utilisateur, l’utilisateur connecté précédemment.

Importation d’utilisateurs en masse

Si vous le souhaitez, vous avez la possibilité d’importer en masse tous les utilisateurs présents dans la « BaseDN » que vous avez configurée. Cela permettra de les synchroniser avec votre GLPI avant même leur première connexion.

Pour ceci, il faudra se rendre dans Liaison annuaire LDAP

Puis dans Importation de nouveaux utilisateurs

Définir des filtres si vous le souhaiter et se rendre sur Rechercher

En bas de la page, vous verrez apparaître tous les utilisateurs présents dans la BaseDN que vous avez déclarée, qu’il s’agisse des utilisateurs d’une unité organisationnelle (OU) spécifique ou de tous les utilisateurs du domaine, en fonction de votre configuration.

Pour les importer dans GLPI, il faudra sélectionner les cases à gauche puis cliquer sur Actions → Importer → Envoyer

Une infobulle informera du déroulement de l’import.

Il est possible de vérifier les utilisateurs :

Importation des groupes AD

Se rendre dans le menu Administration → Groupes → Liaison annuaire LDAP

Puis se rendre sur Importation de nouveaux groupes

Ainsi, le service proposera en bas de page tous les groupes disponibles dans le BaseDN renseigné plus tôt. Il ne manquera plus qu’à sélectionner comme plus tôt puis Action → Importer → Envoyer

Les groupes importés sont disponibles dans GLPI

Plugins

Injecter des données en masse grâce à Data Injection

Data Injection permet d’importer facilement des données dans GLPI en les centralisant dans un fichier CSV, évitant ainsi de les saisir une par une. Dans cette démo, nous allons importer quelques utilisateurs et ordinateurs pour nous entraîner. Attention, le plugin n’injecte pas tous les champs, seulement ceux disponibles lors de la création d’un modèle.

L’installation est possible soit en passant par le repo GitHub du plugin :

cd /tmp
sudo wget <https://github.com/pluginsGLPI/datainjection/releases/download/2.14.1/glpi-datainjection-2.14.1.tar.bz2>
tar -xvjf glpi-datainjection-2.14.1.tar.bz2 -C /var/www/html/glpi/plugins/

Puis activer le plugin comme expliqué ci-dessous.

Ou l’installation est aussi possible en passant par le marketplace de GLPI:

Se rendre dans Configuration → Plugins

Puis dans Marketplace

S’enregistrer sur le GLPI Network pour ainsi récupérer une clef d’enregistrement afin d’accéder au Marketplace

En se connectant, se rendre sur Enregistrement puis récupérer sa clef d’enregitrement

Entrer sa clef d’enregistrement juste ici

Retourner comme précédemment sur la partie MarketPlace puis chercher et installer Data Injection

Et ne pas oublier d’activer Data Injection

On retrouvera le plugin dans Outils → Data Injection

Cependant, avant d’injecter des données, il faut donner des modèles au plugin. Pour effectuer ceci, il faudra cliquer sur l’icone ci-dessous :

Puis dans Ajouter

Configuration des informations nécessaires pour le modèle en cours de création:

Un exemple de fichier CSV :

Puis faire correspondre les éléments du CSV avec les éléments de GLPI

Puis injecter les données comme ceci

Et en vérifiant, cela donne ceci :

Mise en place d’un outil de wiki : WikiJS

13 décembre 2024 by Lois Dutour

Prérequis

Pour suivre la documentation suivante concernant l’installation et la mise en place d’un serveur hébergeant Wiki.js, un deuxième serveur Nextcloud et un troisième serveur AD. Le serveur AD servira de d’annuaire pour que les utilisateurs des serveurs Nextcloud et Wiki.js puissent se connecter avec les droits attribués à chacun. Voici la liste des machines nécessaires :

2 machines virtuelles sous Rocky Linux (ici version 9.4)
1 machine virtuelle sous Windows Server Standard (ici Windows Server 2022)

Installation et configuration des éléments nécessaire pour assurer la qualité de service

• Création d’un groupe ainsi que d’un utilisateur

sudo groupadd --system wiki

• Activation et installation de packages packages nécessaires

sudo useradd -s /sbin/nologin --system -g wiki wiki
sudo yum install git nano wget curl unzip tar socat mariadb-server nodejs nginx redis -y

Installation de wiki-js
- Création d’un dossier wiki à la racine

sudo mkdir /wiki

- Récupération du fichier d’installation

sudo wget <https://github.com/Requarks/wiki/releases/latest/download/wiki-js.tar.gz>

- Extraction du fichier

sudo tar xzf wiki-js.tar.gz -C /wiki cd /wiki ls -la

Démarrage de mysql

sudo systemctl start mariadb
sudo systemctl status mariadb

Configuration de mysql par défaut en exécutant le script

sudo mysql_secure_installation

Connexion à mysql avec le mot de passe défini plus tôt

mysql -u root -p

Création d’un utilisateur wiki avec un mot de passe

CREATE USER 'wiki'@'localhost' IDENTIFIED BY 'P@ssword59!';

Création d’une base de données pour le wiki

CREATE DATABASE wiki_database;

Affectation et application des droits privilèges à l’utilisateur créé plus tôt

GRANT ALL PRIVILEGES ON wiki_database.* TO 'wiki'@'localhost';
FLUSH PRIVILEGES;

Vérification de la base de données

SHOW DATABASES;

Vérification des droits de l’utilisateur wiki :

SHOW GRANTS FOR 'wiki'@'localhost';

L’installation de redis a été effectuée plus tôt, nous allons rendre redis enable :

sudo systemctl enable --now redis

Vérification du status de redis :

sudo systemctl status redis

On copie le fichier exemple de configuration pour effectuer une configuration préalablement :

ls -la
sudo cp config.sample.yml config.yml
sudo nano config.yml

Modification du fichier de configuration pour faire correspondre les informations :

db:
  type: mariadb

  # PostgreSQL / MySQL / MariaDB / MS SQL Server only:
  host: localhost
  port: 3306
  user: wiki
  pass: P@ssword59!
  db: wiki_database
  ssl: false

Test de la configuration grâce à la commande sudo node server :

sudo node server

Ouverture du port dans le pare-feu, puis recharger le pare-feu

sudo firewall-cmd --add-port=3000/tcp --permanent
sudo firewall-cmd --reload

Faire tourner le service en tant que service :

sudo nano /etc/systemd/system/wiki.service

[Unit]
Description=Wiki.js
After=network.target

[Service]
Type=simple
ExecStart=/usr/bin/node server
Restart=always
User=wiki
Environment=NODE_ENV=production
WorkingDirectory=/srv/wiki

[Install]
WantedBy=multi-user.target

On déplace le fichier wiki dans la bonne racine :

sudo cp -r /wiki /srv/

Attribution des droits

sudo chown -R wiki:wiki /srv/wiki

On recharge

sudo systemctl daemon-reload
sudo systemctl enable --now
sudo systemctl enable --now wiki.service

Vérification si le service est opérationnel :

sudo systemctl status wiki

Ajout d’entrée SeLinux :

sudo semanage port -a -t http_port_t -p tcp 3000
sudo setsebool -P httpd_can_network_connect 1

Il est possible depuis un navigateur web de se rendre sur la page d’installation de la solution :

http://*adresse_ip*:3000

Après s’être connecté, on a la possibilité de créer une page :

Après avoir créée une page, il faut aller sur l’Administration en haut à droite de la page pour personnaliser :

Possibilité d’ajouter des groupes et des utilisateurs

Possibilité de mettre en place des stratégies d’authentification (Par exemple grâce à l’AD que nous mettrons en place plus tard) :

Possibilité d’ajout des extensions
Possibilité de changer la langue

Possibilité de personnalisation de l’entreprise

Mise en place du serveur AD

Voir la documentation Mise en place d’un serveur AD, DNS, DHCP

Nous nous baserons sur l’arborescence AD suivante :

Authentification sur le WikiJS avec l’AD

Aller dans le portail d’administration de WikiJS
- Comme expliqué dans le grand II. Installation de Wiki.js :

Ajout d’une stratégie de type « Active Drectory »

Renseignement des paramètres du serveur AD
- Adresse serveur AD avec port 389 (LDAP)
- Login utilisateur permettant de lire l’AD en utilisant le distinguished name (DN)
- Mot de passe
- Emplacements des utilisateurs autorisés pour l’authentification dans l’AD
- Utilisation du filtre SAMAccountName (Attribut pour le nom de l’objet)

⚠️Pour s’aider, il est possible de trouver l’ensemble des informations dans l’éditeur d’attribut de l’AD de votre objet⚠️

DN (Distinguished Name) : Représente le chemin LDPA qui permet de trouver l’objet dans l’annuaire AD

Application des paramètres (comme ceux ci-dessous)
- Par défaut, un utilisateur disposera uniquement des droits « guests »
- Pour des raisons de sécurité, si un utilisateur doit avoir les droits administrateurs sur le Wiki, il faudra faire l’action manuellement

Création d’un nouveau groupe pour les utilisateurs de l’Active Directory

Modification des paramètres du groupe pour définir les autorisations sur le wiki
- Selon la matrice de droits, il faudra attribuer des groupes avec des droits spécifiques aux utilisateurs

Test de connexion avec 2 utilisateurs différents

⚠️TIPS : Si vous ouvrez une fenêtre en navigation privée, vous pouvez être authentifier avec 2 utilisateurs différents⚠️

Test avec le compte demo-it dans OU=UTILISATEURS,OU=IT,OU=SERVICES,CN=LAB,CN=LOCAL

En tant qu’administrateur de Wiki.JS, il y a possibilité de voir quels utilisateurs se sont connectés à WIKI.JS.

De plus, lorsque les utilisateurs se connectent, ceux-ci sont placés dans le groupe « Guest ».

CR – Documentations Download