Académique Documents
Professionnel Documents
Culture Documents
Nom d’usage ►
Prénom ► Emmanuel
Adresse ► 21, Rue Aristide Briand
64100 Bayonne
MODALITE D’ACCES :
☒ Parcours de formation
☐ Validation des Acquis de l’Expérience (VAE)
1
Présentation du dossier
2. du Dossier Professionnel (DP) dans lequel le candidat a consigné les preuves de sa pratique professionnelle.
3. des résultats des évaluations passées en cours de formation lorsque le candidat évalué est issu d’un parcours
de formation
[Arrêté du 22 décembre 2015, relatif aux conditions de délivrance des titres professionnels
du ministère chargé de l’Emploi]
Ce dossier comporte :
► pour chaque activité-type du titre visé, un à trois exemples de pratique professionnelle ;
► un tableau à renseigner si le candidat souhaite porter à la connaissance du jury la détention d’un titre, d’un
diplôme, d’un certificat de qualification professionnelle (CQP) ou des attestations de formation ;
► une déclaration sur l’honneur à compléter et à signer ;
► des documents illustrant la pratique professionnelle du candidat (facultatif)
► des annexes, si nécessaire.
Pour compléter ce dossier, le candidat dispose d’un site web en accès libre sur le site.
◢ http://travail-emploi.gouv.fr/titres-professionnels
Sommaire
2
Exemples de pratique professionnelle
3
EXEMPLES DE PRATIQUE
PROFESSIONNELLE
4
Activité-type 1 Assister les utilisateurs en centre de services
Exemple n°1 ► Aide aux utilisateurs d’un CSE à l'utilisation de “Microsoft Teams”
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Suite aux soucis de communication au sein d’un CSE, j’ai mis en place la solution « Teams » qui était inclus dans
l’abonnement Microsoft 365 du CSE afin d’améliorer les échanges et centraliser les données par la même
occasion. Cette solution est totalement gratuite pour les autres utilisateurs.
Après avoir créé les utilisateurs et les différents groupes, j’ai fait une présentation de l’outil et de ses
fonctionnalités afin d’expliquer aux utilisateurs son fonctionnement et qu’ils puissent le visualiser concrètement.
Chacun vérifie, ensuite, l’authentification à son compte utilisateur et le paramètre sur son ordinateur personnel
et/ou smartphone. Tous n’ayant pas la même maitrise des outils numériques, j’ai donc accompagné ces
utilisateurs dans cette démarche.
Plusieurs essais sur les divers canaux créés en présentiel ont permis de mieux comprendre les interactions
possibles entre les membres du CSE et divers organismes syndicaux
.
4. Contexte
5
Activité-type 1 Assister les utilisateurs en centre de services
Exemple n°2 ► Utilisation/Création de tickets incidents sur GLPI
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Après l'installation et la sécurisation du serveur GLPI, l’importance des bonnes pratiques de créations et
d’utilisations de cet outil m’est apparu comme une évidence pour le bien des IT mais aussi des utilisateurs.
Dans cette démarche ITIL, j’ai donc requis l’aide d’un des formateurs qui maitrise cet outil dans un
environnement d’entreprise
4. Contexte
Détails sur l’installation du serveur et le cycle de vie d’un ticket GLPI en annexe 1 (Page 16)
6
Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n°1 ► Installation et paramétrage d’une infrastructure avec un hyperviseur Proxmox
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Création d’un environnement de test à but de formation en autonomie sous la tutelle du professeur référent
Installation et paramétrage d’un routeur/pare-feu en utilisant le logiciel libre « pfSense »
Création de vlans : le vlan 10 pour l’administration, le vlan 20 pour les utilisateurs, le vlan 30 pour les serveurs
Paramétrage d’un switch Cisco
Installation de Proxmox (hyperviseur de type 1) sur le serveur
Installation de Windows serveur 2016 avec les rôles suivants : Active directory et rôle DNS lié, D’autres rôles seront installés
par la suite, notamment : serveur de fichiers, autorité de certification, gestion de stratégie de groupe
4. Contexte
7
Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n°2 ► Installation d’une plateforme de collaborative et calendrier partagées Nextcloud
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Demande des élus d’une mairie souhaitant un calendrier partagé en évitant, de préférence, les GAFAM.
Pour limiter les coups, offrir une maîtrise totale des données hébergées et profiter au maximum de
l’infrastructure existante (serveur Proxmox), un logiciel open source leurs a été proposé. L’outil
répondant à leur demande dans un premier temps, il leurs permettra d’utiliser de nombreux service
collaboratif par la suite (partage de fichier, tchat, etc.)
Un container Debian a donc été implémente sur le Proxmox pour faire un serveur LAMP afin d’installer
Nextcloud. Un nouveau vlan à été créer pour le cloisonnement des données. La sécurisation et
optimisation du serveur a été vérifié à l’aide des outils inclus au serveur NextCloud
En autonomie
4. Contexte
8
Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n° 3 ► Migration d’un switch 24 ports (en production) vers un switch 48 ports
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Les ordinateurs de la salle de classe étant tous reliés via des switchs 5 ports en série (certains en
100mbits) nous avons tirés des câbles réseaux individuel pour chaque postes (13 câbles
supplémentaires). La migration vers un switch 48 ports a donc été une obligation.
Après la réflexion et la documentation sur la future configuration du switch, la migration s’est faite
progressivement en limitant les interruptions au minimum, les autres stagiaires continuant à travailler
sur leurs postes et infrastructures de test
4. Contexte
9
Activité-type 3 Maintenir et exploiter une infrastructure distribuée et sa sécurisation
Exemple n°1 ► Installation et paramétrage du superviseur « Zabbix »
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Installation et paramétrage du superviseur sur mon ilot TP afin de faire remonter les informations et d’éventuels
soucis matériel et réseau qui, même si elle est de petite taille, reflète un réseau réel (vlans, switch, routeur,
hyperviseur, VMs et conteneurs, postes clients)
J’ai ensuite installé et paramétré un autre serveur Zabbix en production sur la salle SIO du Greta afin de
surveiller, entre autres, les flux réseaux qui transite par le routeur, la disponibilité d’un site web dédié au cours,
et le matériels réseaux
Infrastructure de l’ilots TP du Greta (switch, routeur, hyperviseur, VMs et conteneurs, postes clients)
Infrastructure de la classe SIO au sein du Greta
En autonomie
4. Contexte
10
Activité-type 3 Maintenir et exploiter une infrastructure distribuée et sa sécurisation
Exemple n°2 ► Configuration d’un accès VPN « Open VPN »
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Afin d’avoir un accès sécurisé à l’infrastructure pour l’administration et dépannage à distance et pour
les utilisateurs souhaitant accéder au domaine depuis l’extérieur dans un contexte d’entreprise, je mets
en place un accès VPN. J’ai choisi OpenVPN notamment pour la gratuité du service.
Le service a été mis en place sur l’ilot TP
4. Contexte
11
Titres, diplômes, CQP, attestations de formation
(facultatif)
12
Déclaration sur l’honneur
Signature :
13
Documents illustrant la pratique professionnelle
(facultatif)
Intitulé
Annexe 1 : Installation Serveur GLPI Page 16
14
ANNEXES
(Si le RC le prévoit)
15
Installation GLPI (v9.5.5)
→ Installez Apache2 :
# a2ensite default-ssl
→ Installer MariaDB :
Concernant le mot de passe créé, c’est le compte root du MariaDB. N’oubliez pas de
conserver votre mot de passe, nous en aurons besoin plus tard
# mysql -u root -p
Ici, le MariaDB [(none)]> représente le prompt de MariaDB. Cela signifie que vous n’êtes
plus en train de contrôler Linux via le Shell, mais via MariaDB.
Maintenant que le serveur est fonctionnel, nous allons pouvoir procéder à l’installation de
GLPI. 16
Installez GLPI en ligne de commande
Une première installation en ligne de commande nous permet de récupérer les paquets
GLPI sur le serveur miroir. Pour cela, entrez les 3 commandes suivantes :
# cd /usr/src/
# wget https://github.com/glpi-project/glpi/releases/download/9.5.5/glpi-
9.5.5.tgz
# tar -xvzf glpi-9.5.5.tgz -C /var/www/
Ensuite, une fois que l’on aura téléchargé et décompressé ces derniers, nous attribuons les
droits au serveur LAMP d’agir sur les fichiers, et nous pourrons enchaîner sur l’installation
graphique. Pour cela, entrez la commande suivante :
Après installation
<IfModule mod_authz_core.c>
Require local
</IfModule>
<IfModule !mod_authz_core.c>
order deny, allow
deny from all
allow from 127.0.0.1
allow from ::1
</IfModule>
ErrorDocument 403 "<p><b>Restricted area.</b><br />Only local access
allowed.<br />Check your configuration or contact your administrator.</p>"
Avec cet exemple, l’accès au dossier install serait limité au seul hôte local et afficherait un
message sinon. Bien sûr, vous pouvez adapter cela à vos besoins, référez-vous à la
documentation de votre serveur web.
.htaccess
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
deny from all
</IfModule>
17
Emplacements des dossiers et fichiers
Comme beaucoup d’applications web, GLPI peut être installé en copiant simplement le
contenu complet du répertoire sur un serveur web quelconque. Néanmoins, une telle pratique
peut s’avérer relativement peu sécurisée.
Avertissement
Tout fichier accessible directement depuis un serveur web doit être considéré comme non
sécurisé !
GLPI stocke un certain nombre de données dans son répertoire files, la configuration de
votre base de données est stockée dans le dossier config, … Bien que des dispositions soient
prises pour éviter que des données sensibles puisse être rendues accessibles directement
depuis un serveur web, la meilleure façon de les protéger reste de les stocker en dehors de la
racine web. De cette manière, les fichiers sensibles ne seront pas accessibles directement
depuis le serveur web.
Un certain nombre de variables de configuration qu’il est possible d’utiliser pour ce faire
(utilisées d’ailleurs dans les paquets fournis par les distributions linux) :
Note
Il existe bien d’autres variables de configuration, celles évoquées ci-dessus sont les
principales à prendre en considération pour une installation davantage sécurisée.
Le choix des différents dossiers est laissé à votre entière appréciation ; l’exemple qui suit se
base quant à lui sur les recommandations FHS <http://www.pathname.com/fhs/>.
Notre instance de GLPI sera installée dans le dossier /var/www/html/glpi, un hôte virtuel
dans la configuration du serveur web reflètera ce chemin.
Les données de GLPI seront stockées dans /var/lib/glpi/, copier le contenu du dossier
files à cet endroit. GLPI requiert les droits en lecture et écriture sur ce dossier.
Les fichiers de log de GLPI seront stockés dans /var/log/glpi/, il n’y a rien à copier. Créer
le dossier glpi . GLPI requiert les droits en lecture et écriture sur ce dossier.
<?php
define('GLPI_CONFIG_DIR', '/etc/glpi/');
if (file_exists(GLPI_CONFIG_DIR . '/local_define.php')) {
require_once GLPI_CONFIG_DIR . '/local_define.php';
}
18
Avertissement
Les paquets GLPI des différents dépôts fourniront très certainement un fichier
inc/downstream.php. Ce dernier ne doit pas être modifié !
GLPI cherche un fichier local_define.php dans son propre dossier config. Si vous souhaitez en
utiliser un depuis un autre dossier, vous devez le charger.
<?php
define('GLPI_VAR_DIR', '/var/lib/glpi');
define('GLPI_LOG_DIR', '/var/log/glpi');
# cd /var/www/glpi/plugins
# mv fusioninventory-for-glpi-glpi9.5-3.0/ fusioninventory/
La première chose qui est censée nous sauter au yeux, c’est le message d’alerte du cron de GLPI. Il
est dû à une absence de cron.php du GLPI dans le cron de Linux.
Pour rappel, la crontab sous Linux est la table qui gère les actions automatiques. Pour que
GLPI puisse fonctionner “automatiquement” malgré son aspect de site en PHP (qui ne réagit
donc que quand il y a une requête), on intègre un fichier cron.php qui va envoyer
automatiquement une requête toutes les minutes sur le serveur, pour simuler la présence de
quelqu’un sur la page.
Pour résoudre ce souci, faites la manipulation suivante dans le shell de Linux en compte root :
# crontab -u www-data -e
https://github.com/fusioninventory/fusioninventory-
agent/releases/download/2.4.2/fusioninventory-agent_windows-x64_2.4.2.exe 19
Configurez GLPI via l’interface web
Une fois l’installation en commande terminée, il faut désormais ouvrir votre navigateur favori
et taper dans la barre d’adresse l'IP de votre machine, suivie de /glpi.
Si votre installation a correctement été effectuée, vous arrivez sur la page suivante :
Appuyez sur [OK] après avoir choisi votre langue préférée (anglais par défaut). Une fois
validé, vous arrivez sur le menu suivant :
Là encore, après avoir consulté les CGU et validé, vous pouvez cliquer sur [Continuer]. Dans
le menu suivant, nous allons pouvoir cliquer sur [Installer].
20
Début de l'installation de GLPI
Sur le menu suivant, nous vérifierons que tous les paquets sont correctement installés.
Si un paquet n'est pas validé, c’est qu’il vous manque une dépendance. Le plus souvent, ce
problème se règle en tapant le nom de l’extension précédé par “php-”
Exemples :
Concernant la dernière erreur, c’est une alerte de sécurité qui informe qu’en tapant le nom des
sous-répertoires dans l’URL du site, on a la possibilité de naviguer dans les fichiers via
l’interface web ; ce qui est, vous vous en doutez, une faille de sécurité. Pour notre serveur
d’essais, ça n’a pas d’importance, mais en production vous devrez verrouiller les sous-
répertoires en y ajoutant un fichier .htaccess. (voir dernier point du tuto) 21
Cliquez sur [Continuer].
Sur cette fenêtre, nous allons associer GLPI à sa base de données créée précédemment sur
MariaDB.
Si tout est OK, vous devriez voir la fenêtre suivante avec la base de données “glpidb”
apparaître. Vous devez la sélectionner pour la suite.
22
Une fois fait, cliquez sur [Continuer] et surtout attendez l’initialisation de la base. Cette
opération peut prendre du temps. Ne cliquez pas plusieurs fois sur [Continuer], au risque
de créer deux fois la base de données !
Une fois sur cette étape, votre Base de données est synchronisée avec le serveur GLPI, qui
pourra écrire ses informations dedans.
Vous pouvez faire un don à l’équipe GLPI en étape 5, ou encore cliquer sur [Continuer].
Elle confirme l’installation de GLPI et vous donne les logins et mots de passe des comptes par
défaut. Prenez-les en note, ils vous seront utiles pour vous connecter. 23
En cliquant sur [Utiliser GLPI], vous avez désormais accès à la page de connexion du serveur.
Connexion à GLPI
Vous pouvez supprimer ou modifier ces comptes ainsi que les données initiales.
transfert :
Importation
Un utilisateur peut créer un ticket directement sur l’interface GLPI (si des droits lui ont été attribués bien sur
ce qui est le cas ici, avec une liaison à l’AD). Le ticket peut être également créer à la suite d’un mail ou d’un
appel
25
Dans notre cas, une solution temporaire à été décidé vu l’importance des risques de défaillances du réseau
Nous avons détecté la cause de notre problème. La solution a donc été exposée et expliqué
26
L’utilisateur pour à ce moment accepter ou refuser la solution proposée, en commentant sont choix
Le problème étant solutionné, il est décidé de rebasculer prochainement sur les serveurs DHCP en failover qui
était impacté après avoir rectifié le pool d’adressage évidement. Un suivi a donc été ajouté
Une nouvelle tâche peut être éventuellement créer afin d’attribué ce projet à un technicien et facilité sont
suivi
Au final, la traçabilité de l’incident et sa solution peut être consulté à tout moment. La solution peut
également être ajouté à une base de connaissance 27
WAN
192.168.68.253/29 10.0.0.254/29
VLAN 10 – 10.0.10.0/24
CISCO 2960x-Series
10.0.10.253/24
VLAN 10 – 10.0.10.0/24
VLAN 20 – 10.0.20.0/24 VLAN 10 – 10.0.10.0/24 Proxmox
T2SR-USERS T2SR-IT 10.0.10.252/24
10.0.20.1/24 10.0.10.1/24
VLAN 30 – 10.0.30.0/24
Windows serveur 2016
10.0.30.252/24
28
TP OURS
29
Configuration de pfsense
Assignation des Vlans
réseaux
30
Les règles de NAT ont été laissé en automatique
Les serveurs DHCP du Vlan 10 (IT) et 20 (USERS) ont été activé par simplicité d’utilisation, afin que lors d’ajout de
nouveaux ordinateurs sur réseau, l’adressage se fasse automatiquement (notamment sur les appareils mobile)
Les serveurs seront, eux, en IP statique ; le DHCP n’a donc pas été activé
31
Administration déléguée avec utilisateurs Active Directory
32
J’ajoute ensuite un groupe dans pfsense qui fera le lien avec celui créer dans l’AD
Je défini
ensuite le serveur qu’utilisera pfsense pour l’authentification
Sur l’ AD, je crée un groupe portant le même nom que celui créer dans pfsense
33
je crée également l’utilisateur qui permettra à pfsense de consulter l’AD et je l’intègre au groupe bien évidement
34
Paramétrage du switch Cisco 2960x
L’accès initial s’effectue sur ce modèle directement depuis une interface web minimaliste branché sur un PC avec un
câble RJ45, Le switch attribue automatiquement une adresse IP via sont DHCP intégré
L’attribution des ports (Access ou trunk) se fait également par simple clic en attribuant des rôles au ports connecté
(Ordinateur, Switch ou routeur)
Une gestion plus précise se fait ensuite en utilisant le logiciel prioritaire « Cisco Network Assistant » ou via une interface
web plus poussée après la mise a jour du firmware en v15.2(7)E2
Note importante, les paramètres de base en termes de sécurité ont été appliqué automatiquement (cryptage des mots
de passe, création/demande d’un mot de passe d’accès à console (par défaut en administrateur 15)
35
Installation d’un proxmox afin de virtualiser un Windows serveur 2016
L’installation du proxmox n’a aucune particularité
Seul l’ajout du dépôt Proxmox VE No-Subscription Repository afin de faire les mise à jour de notre version non
enregistré avec la ligne suivante dans /etc/apt/sources.list.d et du paquet ifupdown2 qui lui évite de redémarrer le
nœud proxmox lors des changement d’adressage
deb http://download.proxmox.com/debian/pve buster pve-no-subscription
nommer le fichier en .list
apt update
apt full-upgrade
L’ajout d’une deuxième carte reseau nous a permis d’isoler l’accès au proxmox sur un vlan différent (celui des IT)
Installation de Windows serveur 2016 et des rôles : Active directory, Autorité de certification et service de certificats
active directory afin de poursuivre les tests et générer un réseau de plus en plus complexe et sécurisé
36
Serveur NEXTCLOUD
https://docs.nextcloud.com/server/21/admin_manual/installation/source_installation.html
37
→ Installez MariaDB :
Concernant le mot de passe créé, c’est le compte root du MariaDB. N’oubliez pas de
conserver votre mot de passe, nous en aurons besoin plus tard
#/etc/init.d/mysql start
#mysql -uroot -p
Quit ;
Ajouter à /var/www/nextcloud/config/config.php
Ajouter également
‘default_phone_region’ => ‘FR’,
# adduser tomtom
38
# usermod -aG sudo tomtom
# su - tomtom
# mkdir ~/.ssh
# chmod 700 ~/.ssh
# vim ~/.ssh/authorized_keys # là j'ajoute ma clé SSH
# chmod 600 ~/.ssh/authorized_keys
# Port #####
# PermitRootLogin no
# PasswordAuthentication no
#AllowUsers tomtom
[DEFAULT]
bantime = 84600
findtime = 600
maxretry = 3
destemail = tomtom@example.com
sendername = Fail2ban
action = %(action_mwl)s
[7sshd]
enabled = true
port = 21153
Redémarrer le service
# wget https://download.nextcloud.com/server/releases/nextcloud-21.0.1.tar.bz2
Entête apache2
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
39
ServerAdmin webmaster@localhost
ServerName nextcloud.manulemalin.ovh
DocumentRoot /var/www/nextcloud
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews
</Directory>
<IfModule mod_dav.c>
Dav off
</IfModule>
Dans /ect/php/7.3/apache2/php.ini
Dans /etc/mysql/conf.d/mysql.cnf
[mysqld]
innodb_buffer_pool_size=1G
innodb_io_capacity=4000
Reset du password :
40
Switch Aruba - HP-2530-48G-PoEP (J9772A)
https://hp1.greta.eus 192.168.10.251
41
Zabbix – installation sur Debian LAMP
- apt install apache2 php php-mysql libapache2-mod-php mariadb-server postfix apticron mailutils
zabbix
- wget https://repo.zabbix.com/zabbix/5.4/debian/pool/main/z/zabbix-release/zabbix-release_5.4-
1+debian10_all.deb
- dpkg -i zabbix-release_5.4-1+debian10_all.deb
- apt update && apt upgrade
- apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent
- mysql
Mysql> set password for 'root'@'localhost' =password('NouveauMotDePasse');
mysql> create database zabbix character set utf8 collate utf8_bin;
mysql> create user zabbix@localhost identified by 'password';
mysql> grant all privileges on zabbix.* to zabbix@localhost;
mysql> quit;
- zcat /usr/share/doc/zabbix-sql-scripts/mysql/create.sql.gz | mysql -uzabbix -p zabbix
Attention, longue attente sans prompt (15minutes environ)
http://server_ip_or_name/zabbix
42
-----------------------Activation HTTPS----------------------
En 80 :
Et en 443:
ServerName zabbix.domaine.local
DocumentRoot /usr/share/zabbix
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includ$
</IfModule>
<Directory /usr/share/zabbix/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews
</Directory>
<IfModule mod_dav.c>
Dav off
</IfModule>
</VirtualHost>
</IfModule>
43
Surveillance du réseau et de l’infrastructure avec ZABBIX
Pour mettre en place la surveillance de Zabbix, il faut dans un premier temps définir les
appareils à surveiller. Pour certain hôte, la surveillance passera par l’installation d’un agent
lorsque cela est possible. Pour d’autres, l’utilisation du protocoles SNMP implanté dans
beaucoup de matériel me sera d’une aide précieuse
Lors de l’utilisation d’un agent, je dois, après l’avoir installé sur l’hôte, déclarer celui-ci dans
Zabbix en lui attribuant un groupe d’hôte et un modèle (et en ajouter un s’il n’existe pas)
Par la suite, je vérifie les déclencheurs d’alerte qui sont prédéfini et j’ajuste le niveau de
sévérité)
Le principe est le même pour surveiller la disponibilité d’un site web en utilisant le protocole
ICMP par exemple ou pour surveiller un switch via le protocole SNMP
Il faut ensuite bien penser attribuer des actions de déclenchements à un groupe (Triggers)
44
Puis dans le profil des utilisateurs attribuer la plage horaire, la severité ainsi que le typre de
media avec lequel il faut envoyer l’alerte (apres les avoirs parametré dans le menu « types
de media » ; apticron dans notre cas)
Une fois tout le matériel configuré, il est possible de créer différents graphiques sur le
tableau de bord de l’accueil comme, par exemple, le trafic sur les différents vlans et le WAN
45
Configurer l’accès au réseau TP ours en VPN SSL via pfSense et OpenVPN
Création d’un certificat interne auto-signé (La configuration en « cascade » nous empêche
d’accès au port 80 et 443 pour créer un certificat officiel)
46
J’ajoute le certificat aux utilisateurs ou à au moins un lors de l’utilisation d’une AD comme
dans notre cas
Une fois les certificats complétés, Je configure la partie serveur d’openVPN sur mon pfSense
47
48
La topologie « Net30 – Réseau / 30 isolé par client a été choisi, malgré la perte d’IP dû aux
plages restreintes (4 IP par client connecté) afin de sécuriser leurs points d’accès
49
L’option auth-nocache me permet de refuser la mise en cache des identifiants afin de mieux
les protéger de leurs vols
J’installe un packages supplémentaire afin d’exporter ce certificat et l’utiliser sur mes postes
client pour me connecter avec ce VPN à distance
50
Dans mon labo de test, j’ai dû modifier manuellement ce fichier d’exportation, En effet celui-
ci étant dans un VLAN du SIO, l’adresse public et son port ont été redirigé vers la pâte WAN
de notre VLAN 192.168.58.253 port 1194
Enfin, je crée des règles sur le parefeu afin d’accédé aux ressources voulu
51