AD, DHCP, VLAN, GLPI, TFTP, Nextcloud et serveur de fichier

Compétences mises en œuvres :

Objectifs et contexte

  • Problématique : La société rest0.fr connait depuis ces derniers mois un succès grandissant. Le parc de postes de travail et d’équipements a donc grandement augmenté et le DSI aimerait mettre en place des solutions d’infrastructure qui permettent d’améliorer la sécurité et l’exploitation de son parc.
  • Les besoins exprimés de la société :
      • Segmentation du réseau : Afin de renforcer la sécurité et de pouvoir appliquer une politique « Zero Trust », une segmentation du réseau sera mise en place.
      • Création d’un domaine Active Directory : Pour améliorer la gestion des identités et de renforcer la sécurité, un domaine Active Directory sera mis en place sur un serveur Windows Server 2019.
      • Serveur DHCP et DHCP Relay : Un serveur DHCP sera déployé sur Windows Server 2019, avec la mise en place d’un relais DHCP entre les VLANs Client et Serveur.
      • Serveur TFTP : Un serveur TFTP sera installé afin de centraliser et sécuriser les sauvegardes de configurations des équipements
      • Serveur GLPI pour les ticket et l’inventaire du parc : Pour améliorer la gestion des demandes et automatiser l’inventaire du parc, un serveur GLPI sera mis en place.
      • Serveur de fichier Windows Server : Un serveur de fichiers sous Windows Server 2019 sera mis en place pour centraliser les données et proposer un accès sécurisé via des répertoires partagés en SMB.
  • Technologies utilisées : Trello, Stormshield, Windows Server 2019, TFTP, GLPI, Nextcloud

Déroulement du projet :

  • Espace de travail Trello
  • Afin de structurer efficacement mon travail et de suivre l’avancement des différentes étapes, j’ai choisi de gérer ce projet à l’aide de Trello
  • Stormshield et segmentation du réseau par VLAN
  • Dans un premier temps j’ai configuré le switch. Cela m’a permis d’attribuer les VLAN aux ports du switch. Puis sur le Stormshield j’ai lié les VLAN à la bonne interface et j’ai fait mes règles de NAT.
  • Installation et configuration de l’Active Directory
  • J’installe le rôle AD DS sur un Windows Sever 2019 que je configure pour le domaine rest0.fr. Je créé les groupes et utilisateurs y compris les comptes d’administrations nominatifs.
  • DHCP et DHCP Relay
  • J’installe le rôle DHCP sur le même serveur Windows puis le configure l’étendu pour le LAN. Pour finir, Je mets en place le DHCP Relay du LAN jusqu’au serveur DHCP.
  • Configuration du serveur TFTP
  • J’installe le serveur TFTP sur un Debian 12. Je sécurise la connexion à mon serveur en mettant en place la connexion SSH par clé et en interdisant la connexion par mot de passe. Je sauvegarde la configuration du switch dans le serveur TFTP.
  • GLPI Ticket & Inventaire
  • Je configure l’agent GLPI sur les clients Windows et Linux, puis je crée un script pour inventorier le switch et le routeur Stormshield via SNMP. Ensuite, je lie l’annuaire de GLPI à l’AD et je mets en place les catégories ITIL, les gabarits de tickets et les SLA associés pour que les cadres puissent créer des tickets pour leurs équipes.
  • Partage de Fichier Windows
  • Je créer les partages SMB commun, personnels et pour les équipes sur un Windows Server 2019. Je configure les habilitations et quotas puis je les mappe en tant que lecteur via GPO.
  • Configuration de Nextcloud
  • Je configure mon serveur Nextcloud sur un Debian 12 dans la DMZ. Je lie Nextcloud à l’AD et je fais les liens vers les différents partages SMB. Je peux accéder aux partages SMB sur iOS et Windows depuis Internet.

Défis rencontrés :

  • Le plugin GLPI INVENTORY est censé pouvoir faire des inventaire SNMP automatique mais pour certaines personnes les tâches automatiques de GLPI INVENTORY ne se lancent jamais. Ce problème est connu de la communauté est n’est pas résolu. Pour faire face à se problème j’ai décider de faire ma propre solution d’inventaire SNMP via un script.

Résultats obtenus

  • Les VLAN fonctionnent correctement. Les utilisateurs parviennent à se connecter à leur session, à GLPI et à Nextcloud avec leur compte AD. Ils accèdent uniquement à leurs partages, sans pouvoir consulter ceux des autres. Les non-cadres ne peuvent pas créer de tickets. Les machines sont correctement inventoriées dans GLPI. Les utilisateurs accèdent à leurs répertoires SMB depuis Internet sans difficulté.

Liens utiles :

Galerie :