Nom de naissance ► FROMENTIN

Nom d’usage ►

Prénom ► Emmanuel
Adresse ► 21, Rue Aristide Briand
64100 Bayonne

Titre professionnel visé

Technicien Supérieur Systèmes et Réseaux

MODALITE D’ACCES :

☒ Parcours de formation
☐ Validation des Acquis de l’Expérience (VAE)

1
 Présentation du dossier

Le dossier professionnel (DP) constitue un élément du système de validation du titre professionnel.

Ce titre est délivré par le Ministère chargé de l’emploi.
Le DP appartient au candidat. Il le conserve, l’actualise durant son parcours et le présente
obligatoirement à chaque session d’examen.
Pour rédiger le DP, le candidat peut être aidé par un formateur ou par un accompagnateur VAE.
Il est consulté par le jury au moment de la session d’examen.

Pour prendre sa décision, le jury dispose :

1. des résultats de la mise en situation professionnelle complétés, éventuellement, du questionnaire
professionnel ou de l’entretien professionnel ou de l’entretien technique ou du questionnement à partir de
productions.

2. du Dossier Professionnel (DP) dans lequel le candidat a consigné les preuves de sa pratique professionnelle.

3. des résultats des évaluations passées en cours de formation lorsque le candidat évalué est issu d’un parcours
de formation

4. de l’entretien final (dans le cadre de la session titre).

[Arrêté du 22 décembre 2015, relatif aux conditions de délivrance des titres professionnels
du ministère chargé de l’Emploi]

Ce dossier comporte :
► pour chaque activité-type du titre visé, un à trois exemples de pratique professionnelle ;
► un tableau à renseigner si le candidat souhaite porter à la connaissance du jury la détention d’un titre, d’un
diplôme, d’un certificat de qualification professionnelle (CQP) ou des attestations de formation ;
► une déclaration sur l’honneur à compléter et à signer ;
► des documents illustrant la pratique professionnelle du candidat (facultatif)
► des annexes, si nécessaire.

Pour compléter ce dossier, le candidat dispose d’un site web en accès libre sur le site.

◢ http://travail-emploi.gouv.fr/titres-professionnels

Sommaire

2
Exemples de pratique professionnelle

Assister les utilisateurs en centre de services p. 5

► Aide aux utilisateurs d’un CSE à l'utilisation de “Microsoft Teams” p. 5
► Utilisation/Création de tickets incidents sur GLPI p. 6
►
p.

Maintenir, exploiter et sécuriser une infrastructure centralisée p.

► Installation et paramétrage d’une infrastructure de test avec un hyperviseur « Proxmox » p. 7
► Installation d’une plateforme de collaborative et calendrier partagées « Nextcloud » p. 8
► Migration d’un switch Linksys 24 ports (en production) vers un switch Aruba 48 ports p. 9

Maintenir et exploiter une infrastructure distribuée et contribuer à sa sécurisation p.

► Installation et paramétrage du superviseur « Zabbix » p. p. 10
► Configuration d’un accès VPN « Open VPN » p. p. 11
► p p.

Titres, diplômes, CQP, attestations de formation (facultatif) p.

Déclaration sur l’honneur p.
Documents illustrant la pratique professionnelle (facultatif) p.
Annexes (Si le RC le prévoit) p.

3
EXEMPLES DE PRATIQUE
PROFESSIONNELLE

4
 Activité-type 1 Assister les utilisateurs en centre de services
Exemple n°1 ► Aide aux utilisateurs d’un CSE à l'utilisation de “Microsoft Teams”

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Suite aux soucis de communication au sein d’un CSE, j’ai mis en place la solution « Teams » qui était inclus dans
l’abonnement Microsoft 365 du CSE afin d’améliorer les échanges et centraliser les données par la même
occasion. Cette solution est totalement gratuite pour les autres utilisateurs.
Après avoir créé les utilisateurs et les différents groupes, j’ai fait une présentation de l’outil et de ses
fonctionnalités afin d’expliquer aux utilisateurs son fonctionnement et qu’ils puissent le visualiser concrètement.
Chacun vérifie, ensuite, l’authentification à son compte utilisateur et le paramètre sur son ordinateur personnel
et/ou smartphone. Tous n’ayant pas la même maitrise des outils numériques, j’ai donc accompagné ces
utilisateurs dans cette démarche.
Plusieurs essais sur les divers canaux créés en présentiel ont permis de mieux comprendre les interactions
possibles entre les membres du CSE et divers organismes syndicaux
.

2. Précisez les moyens utilisés :

Un écran pour la présentation et les explications en groupe

Un PC pour effectuer cette présentation et la création/modification des utilisateurs (ainsi que la résolution des
soucis, notamment sur les accès aux boites mails personnels)
Pour ceux qui en possédait un, un ordinateur portable personnel et/ou un smartphone afin de leurs présenter
l’outil dans leurs environnement

3. Avec qui avez-vous travaillé ?

Avec le secrétaire du CSE pour la partie présentation

4. Contexte

Nom de l’entreprise, organisme ou association ► Hôtel du Palais - Biarritz

Chantier, atelier, service ► CSE

Période d’exercice ► Novembre 2019

5. Informations complémentaires (facultatif)

5
 Activité-type 1 Assister les utilisateurs en centre de services
Exemple n°2 ► Utilisation/Création de tickets incidents sur GLPI

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Après l'installation et la sécurisation du serveur GLPI, l’importance des bonnes pratiques de créations et
d’utilisations de cet outil m’est apparu comme une évidence pour le bien des IT mais aussi des utilisateurs.
Dans cette démarche ITIL, j’ai donc requis l’aide d’un des formateurs qui maitrise cet outil dans un
environnement d’entreprise

2. Précisez les moyens utilisés :

Un ordinateur et un serveur GLPI (notamment celui du Greta SIO)

3. Avec qui avez-vous travaillé ?

Le professeur référant T2SR

4. Contexte

Nom de l’entreprise, organisme ou association ► Greta

Chantier, atelier, service ► SIO

Période d’exercice ► Du : janvier 2020 au : mai 2021

5. Informations complémentaires (facultatif)

Détails sur l’installation du serveur et le cycle de vie d’un ticket GLPI en annexe 1 (Page 16)

6
 Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n°1 ► Installation et paramétrage d’une infrastructure avec un hyperviseur Proxmox

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Création d’un environnement de test à but de formation en autonomie sous la tutelle du professeur référent
Installation et paramétrage d’un routeur/pare-feu en utilisant le logiciel libre « pfSense »
Création de vlans : le vlan 10 pour l’administration, le vlan 20 pour les utilisateurs, le vlan 30 pour les serveurs
Paramétrage d’un switch Cisco
Installation de Proxmox (hyperviseur de type 1) sur le serveur
Installation de Windows serveur 2016 avec les rôles suivants : Active directory et rôle DNS lié, D’autres rôles seront installés
par la suite, notamment : serveur de fichiers, autorité de certification, gestion de stratégie de groupe

2. Précisez les moyens utilisés :

Le matériel utilisé pour effectuer ce labo de test est le suivant :

1 PC avec 2 cartes réseaux pour installer un routeur/pare feu « pfSense » + son écran pour la supervision
1 Switch Cisco Catalyst 2960x
1 Serveur IBM avec 2 cartes réseaux pour l’installation du « Proxmox » + son écran pour la supervision
1 PC utilisé comme utilisateur
1 PC utilisé comme administrateur
Divers câbles réseaux
Un vlan sur le réseau du SIO pour « simuler » un accès WAN
3. Avec qui avez-vous travaillé ?

En autonomie sous la tutelle et les conseils du professeur référent

4. Contexte

Nom de l’entreprise, organisme ou association ► Greta Bayonne

Chantier, atelier, service ► Salle GV16.

Période d’exercice ► Octobre 2021

5. Informations complémentaires (facultatif)

Détails sur l’installation de l’infrastructure en annexe 2 (Page 28)

7
 Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n°2 ► Installation d’une plateforme de collaborative et calendrier partagées Nextcloud

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Demande des élus d’une mairie souhaitant un calendrier partagé en évitant, de préférence, les GAFAM.
Pour limiter les coups, offrir une maîtrise totale des données hébergées et profiter au maximum de
l’infrastructure existante (serveur Proxmox), un logiciel open source leurs a été proposé. L’outil
répondant à leur demande dans un premier temps, il leurs permettra d’utiliser de nombreux service
collaboratif par la suite (partage de fichier, tchat, etc.)
Un container Debian a donc été implémente sur le Proxmox pour faire un serveur LAMP afin d’installer
Nextcloud. Un nouveau vlan à été créer pour le cloisonnement des données. La sécurisation et
optimisation du serveur a été vérifié à l’aide des outils inclus au serveur NextCloud

2. Précisez les moyens utilisés :

Un serveur Proxmox pour l’installation du serveur LAMP

Un routeur Mikrotik pour la création du vlan et l’ouverture du port pour le serveur
Demande de création d’un enregistrement de pointage « A » auprès du prestataire gérant le DNS

3. Avec qui avez-vous travaillé ?

En autonomie

4. Contexte

Nom de l’entreprise, organisme ou association ► Kompa informatika

Chantier, atelier, service ► Mairie local

Période d’exercice ► Mars 2021

5. Informations complémentaires (facultatif)

Détails sur l’installation du serveur en annexe 3 (Page 37)

8
 Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n° 3 ► Migration d’un switch 24 ports (en production) vers un switch 48 ports

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Les ordinateurs de la salle de classe étant tous reliés via des switchs 5 ports en série (certains en
100mbits) nous avons tirés des câbles réseaux individuel pour chaque postes (13 câbles
supplémentaires). La migration vers un switch 48 ports a donc été une obligation.
Après la réflexion et la documentation sur la future configuration du switch, la migration s’est faite
progressivement en limitant les interruptions au minimum, les autres stagiaires continuant à travailler
sur leurs postes et infrastructures de test

2. Précisez les moyens utilisés :

Le switch Linksys 24 ports (en production)

Un switch Aruba 48 ports

3. Avec qui avez-vous travaillé ?

Autonomie sous la tutelle du professeur référant

4. Contexte

Nom de l’entreprise, organisme ou association ► Cliquez ici pour taper du texte.

Chantier, atelier, service ► Cliquez ici pour taper du texte.

Période d’exercice ► Du : Cliquez ici au : Cliquez ici

5. Informations complémentaires (facultatif)

Recettage de la configuration du nouveau switch en annexe 4 (Page 41)

9
 Activité-type 3 Maintenir et exploiter une infrastructure distribuée et sa sécurisation
Exemple n°1 ► Installation et paramétrage du superviseur « Zabbix »

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Installation et paramétrage du superviseur sur mon ilot TP afin de faire remonter les informations et d’éventuels
soucis matériel et réseau qui, même si elle est de petite taille, reflète un réseau réel (vlans, switch, routeur,
hyperviseur, VMs et conteneurs, postes clients)
J’ai ensuite installé et paramétré un autre serveur Zabbix en production sur la salle SIO du Greta afin de
surveiller, entre autres, les flux réseaux qui transite par le routeur, la disponibilité d’un site web dédié au cours,
et le matériels réseaux

2. Précisez les moyens utilisés :

Infrastructure de l’ilots TP du Greta (switch, routeur, hyperviseur, VMs et conteneurs, postes clients)
Infrastructure de la classe SIO au sein du Greta

3. Avec qui avez-vous travaillé ?

En autonomie

4. Contexte

Nom de l’entreprise, organisme ou association ► Greta.

Chantier, atelier, service ► Ilot TP

Période d’exercice ► Du : mars 2021 au : avril 2021

5. Informations complémentaires (facultatif)

Détails sur l’installation et du paramétrage du serveur en annexe 5 (Page 42)

10
 Activité-type 3 Maintenir et exploiter une infrastructure distribuée et sa sécurisation
Exemple n°2 ► Configuration d’un accès VPN « Open VPN »

1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :

Afin d’avoir un accès sécurisé à l’infrastructure pour l’administration et dépannage à distance et pour
les utilisateurs souhaitant accéder au domaine depuis l’extérieur dans un contexte d’entreprise, je mets
en place un accès VPN. J’ai choisi OpenVPN notamment pour la gratuité du service.
Le service a été mis en place sur l’ilot TP

2. Précisez les moyens utilisés :

OpenVPN implémenté sur le routeur pfSense

Le paquet « openvpn-client-export » pour faciliter l’exportation

3. Avec qui avez-vous travaillé ?

En autonomie sous la tutelle et les conseils du professeur référant

4. Contexte

Nom de l’entreprise, organisme ou association ► Cliquez ici pour taper du texte.

Chantier, atelier, service ► Cliquez ici pour taper du texte.

Période d’exercice ► Du : Cliquez ici au : Cliquez ici

5. Informations complémentaires (facultatif)

Détails sur l’installation de l’infrastructure en annexe 6 (Page 46)

11
 Titres, diplômes, CQP, attestations de formation
(facultatif)

Intitulé Autorité ou organisme Date

Cliquez ici pour
Cliquez ici. Cliquez ici pour taper du texte.
sélectionner une date.

12
 Déclaration sur l’honneur

Je soussigné(e) [prénom et nom] Emmanuel Fromentin,

déclare sur l’honneur que les renseignements fournis dans ce dossier sont exacts et que je suis

l’auteur(e) des réalisations jointes.

Fait à Bayonne le 10 juin 2021

pour faire valoir ce que de droit.

Signature :

13
 Documents illustrant la pratique professionnelle
(facultatif)

Intitulé
Annexe 1 : Installation Serveur GLPI Page 16

Annexe 2 : Ilot TP Greta Page 28

Annexe 3 : Installation Serveur Nextcloud Page 37

Annexe 4 : Recettage Switch Aruba Page 41

Annexe 5 : Installation Serveur Zabbix Page 42

Annexe 6 : Création VPN Page 46

14
 ANNEXES
(Si le RC le prévoit)

15
 Installation GLPI (v9.5.5)

Vérification / Installation du serveur LAMP

→ Mettere à jour la liste des paquets et les paquets eux-mêmes :

# apt update && apt-get upgrade

→ Mettre à jour la localisation et la zone temps

#dpkg-reconfigure locales tzdata

→ Installez Apache2 :

# apt install apache2 libapache2-mod-php

Dans la configuration apache, pensez à activer le module ssl

# a2ensite default-ssl

→ Installer PHP et les modules complémentaires au bon fonctionnement de GLPI

# apt install php php-imap php-ldap php-curl php-xmlrpc php-gd php-mysql

php-cas apcupsd php-apcu php-mbstring php-simplexml php-intl php-zip php-
bz2

→ Installer MariaDB :

# apt install mariadb-server

# mysql_secure_installation

(Répondre “Y” à toutes les questions. Vérifier la cohérence)

Concernant le mot de passe créé, c’est le compte root du MariaDB. N’oubliez pas de
conserver votre mot de passe, nous en aurons besoin plus tard

→ Redémarrer les services :

# systemctl restart apache2

# systemctl restart mysql

→ Créer la base de données qui nous permettra ensuite d’installer GLPI :

# mysql -u root -p

À la demande du mot de passe, donnez celui que vous venez de conserver :

MariaDB [(none)]> create database glpidb;

MariaDB [(none)]> grant all privileges on glpidb.* to glpiuser@localhost
identified by "votre-mot-de-passe";
MariaDB [(none)]> quit

Entrer le mot de passe de votre choix à la place de "votre-mot-de-passe" en gardant les

guillemets. Penser également à le conserver !

Ici, le MariaDB [(none)]> représente le prompt de MariaDB. Cela signifie que vous n’êtes
plus en train de contrôler Linux via le Shell, mais via MariaDB.

Maintenant que le serveur est fonctionnel, nous allons pouvoir procéder à l’installation de
GLPI. 16
Installez GLPI en ligne de commande

L'installation de GLPI est très rapide, elle se passe en deux temps.

Une première installation en ligne de commande nous permet de récupérer les paquets
GLPI sur le serveur miroir. Pour cela, entrez les 3 commandes suivantes :

# cd /usr/src/
# wget https://github.com/glpi-project/glpi/releases/download/9.5.5/glpi-
9.5.5.tgz
# tar -xvzf glpi-9.5.5.tgz -C /var/www/

Ensuite, une fois que l’on aura téléchargé et décompressé ces derniers, nous attribuons les
droits au serveur LAMP d’agir sur les fichiers, et nous pourrons enchaîner sur l’installation
graphique. Pour cela, entrez la commande suivante :

# chown -R www-data /var/www/glpi/

Au moment de l'écriture de ce cours, GLPI est en version 9.5.5.

Après installation

Une fois GLPI installé, vous avez presque terminé.

Une étape supplémentaire serait de sécuriser (ou de supprimer le fichier install/install.php ) le

répertoire d’installation. Par exemple, vous pouvez envisager d’ajouter la configuration
suivante à votre hôte virtuel Apache (ou dans le fichier glpi/install/.htaccess) :

<IfModule mod_authz_core.c>
Require local
</IfModule>
<IfModule !mod_authz_core.c>
order deny, allow
deny from all
allow from 127.0.0.1
allow from ::1
</IfModule>
ErrorDocument 403 "<p><b>Restricted area.</b><br />Only local access
allowed.<br />Check your configuration or contact your administrator.</p>"

Avec cet exemple, l’accès au dossier install serait limité au seul hôte local et afficherait un
message sinon. Bien sûr, vous pouvez adapter cela à vos besoins, référez-vous à la
documentation de votre serveur web.

.htaccess

<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
deny from all
</IfModule>

17
Emplacements des dossiers et fichiers

Comme beaucoup d’applications web, GLPI peut être installé en copiant simplement le
contenu complet du répertoire sur un serveur web quelconque. Néanmoins, une telle pratique
peut s’avérer relativement peu sécurisée.

Avertissement

Tout fichier accessible directement depuis un serveur web doit être considéré comme non
sécurisé !

GLPI stocke un certain nombre de données dans son répertoire files, la configuration de
votre base de données est stockée dans le dossier config, … Bien que des dispositions soient
prises pour éviter que des données sensibles puisse être rendues accessibles directement
depuis un serveur web, la meilleure façon de les protéger reste de les stocker en dehors de la
racine web. De cette manière, les fichiers sensibles ne seront pas accessibles directement
depuis le serveur web.

Un certain nombre de variables de configuration qu’il est possible d’utiliser pour ce faire
(utilisées d’ailleurs dans les paquets fournis par les distributions linux) :

• GLPI_CONFIG_DIR : définit le chemin d’accès du dossier de configuration ;

• GLPI_VAR_DIR : définit le chemin d’accès du répertoire “fichiers” ;
• GLPI_LOG_DIR : définit le chemin d’accès vers les fichiers de log.

Note

Il existe bien d’autres variables de configuration, celles évoquées ci-dessus sont les
principales à prendre en considération pour une installation davantage sécurisée.

Le choix des différents dossiers est laissé à votre entière appréciation ; l’exemple qui suit se
base quant à lui sur les recommandations FHS <http://www.pathname.com/fhs/>.

Notre instance de GLPI sera installée dans le dossier /var/www/html/glpi, un hôte virtuel
dans la configuration du serveur web reflètera ce chemin.

La configuration de GLPI sera stockée dans /etc/glpi/, copier simplement le contenu du

dossier config à cet endroit. GLPI requiert un accès en lecture sur ce dossier pour
fonctionner, et un accès en écriture lors de l’installation.

Les données de GLPI seront stockées dans /var/lib/glpi/, copier le contenu du dossier
files à cet endroit. GLPI requiert les droits en lecture et écriture sur ce dossier.

Les fichiers de log de GLPI seront stockés dans /var/log/glpi/, il n’y a rien à copier. Créer
le dossier glpi . GLPI requiert les droits en lecture et écriture sur ce dossier.

Suivant cette nomenclature, il convient de créer un fichier inc/downstream.php dans le

dossier de GLPI avec le contenu suivant :

<?php
define('GLPI_CONFIG_DIR', '/etc/glpi/');

if (file_exists(GLPI_CONFIG_DIR . '/local_define.php')) {
require_once GLPI_CONFIG_DIR . '/local_define.php';
}

18
Avertissement

Les paquets GLPI des différents dépôts fourniront très certainement un fichier
inc/downstream.php. Ce dernier ne doit pas être modifié !

GLPI cherche un fichier local_define.php dans son propre dossier config. Si vous souhaitez en
utiliser un depuis un autre dossier, vous devez le charger.

Ensuite, créer un fichier /etc/glpi/local_define.php avec le contenu suivant :

<?php
define('GLPI_VAR_DIR', '/var/lib/glpi');
define('GLPI_LOG_DIR', '/var/log/glpi');

Installez le plugin fusioninventory

# cd /usr/src
# wget https://github.com/fusioninventory/fusioninventory-for-
glpi/archive/refs/tags/glpi9.5+3.0.tar.gz
# tar -zxvf glpi9.5+3.0.tar.gz -C /var/www/glpi/plugins

→ Attribuez les droits d'accès au serveur web :

# chown -R www-data /var/www/glpi/plugins

→ Préparez la compatibilité du répertoire pour être visible dans GLPI :

# cd /var/www/glpi/plugins
# mv fusioninventory-for-glpi-glpi9.5-3.0/ fusioninventory/

Résolvez le problème de la crontab

La première chose qui est censée nous sauter au yeux, c’est le message d’alerte du cron de GLPI. Il
est dû à une absence de cron.php du GLPI dans le cron de Linux.

Pour rappel, la crontab sous Linux est la table qui gère les actions automatiques. Pour que
GLPI puisse fonctionner “automatiquement” malgré son aspect de site en PHP (qui ne réagit
donc que quand il y a une requête), on intègre un fichier cron.php qui va envoyer
automatiquement une requête toutes les minutes sur le serveur, pour simuler la présence de
quelqu’un sur la page.

Pour résoudre ce souci, faites la manipulation suivante dans le shell de Linux en compte root :

# crontab -u www-data -e

→ Sélectionnez le choix 1, si vous êtes néophyte sur Linux. Un fichier s’ouvre.

→ À la fin de celui-ci, ajoutez la ligne suivante et enregistrez ensuite :

*/1 * * * * /usr/bin/php7.3 /var/www/glpi/front/cron.php &>/dev/null

→ Une fois fini, on relance le daemon du cron :

# systemctl restart cron

Lien de l’agent pour windows 64bits :

https://github.com/fusioninventory/fusioninventory-
agent/releases/download/2.4.2/fusioninventory-agent_windows-x64_2.4.2.exe 19
Configurez GLPI via l’interface web

Une fois l’installation en commande terminée, il faut désormais ouvrir votre navigateur favori
et taper dans la barre d’adresse l'IP de votre machine, suivie de /glpi.

Dans mon exemple, je suis en 192.168.1.43, donc j'utilise

l'adressehttp://192.168.1.43/glpi.

Si votre installation a correctement été effectuée, vous arrivez sur la page suivante :

Page d'installation de GLPI

Appuyez sur [OK] après avoir choisi votre langue préférée (anglais par défaut). Une fois
validé, vous arrivez sur le menu suivant :

Conditions générales d'utilisation de GLPI

Là encore, après avoir consulté les CGU et validé, vous pouvez cliquer sur [Continuer]. Dans
le menu suivant, nous allons pouvoir cliquer sur [Installer].

20
Début de l'installation de GLPI

Sur le menu suivant, nous vérifierons que tous les paquets sont correctement installés.

Liste des paquets et vérification de leur installation

Si un paquet n'est pas validé, c’est qu’il vous manque une dépendance. Le plus souvent, ce
problème se règle en tapant le nom de l’extension précédé par “php-”

Exemples :

• s’il manque l’extension CAS, la commande est la suivante → # apt-get install

php-cas
• s’il manque l’extension CURL, la commande sera → # apt-get install php-curl
• etc.

Concernant la dernière erreur, c’est une alerte de sécurité qui informe qu’en tapant le nom des
sous-répertoires dans l’URL du site, on a la possibilité de naviguer dans les fichiers via
l’interface web ; ce qui est, vous vous en doutez, une faille de sécurité. Pour notre serveur
d’essais, ça n’a pas d’importance, mais en production vous devrez verrouiller les sous-
répertoires en y ajoutant un fichier .htaccess. (voir dernier point du tuto) 21
Cliquez sur [Continuer].

Étape 1 - Configuration de la connexion à la base de données

Sur cette fenêtre, nous allons associer GLPI à sa base de données créée précédemment sur
MariaDB.

Les informations sont les suivantes :

• serveur SQL (MariaDB ou MySQL) → localhost ;

• utilisateur SQL → glpiuser ;
• mot de passe SQL → Le mot de passe que vous avez défini précédemment.

Cliquez ensuite sur [Continuer].

Si tout est OK, vous devriez voir la fenêtre suivante avec la base de données “glpidb”
apparaître. Vous devez la sélectionner pour la suite.

Étape 2 - test de connexion à la base de données

22
Une fois fait, cliquez sur [Continuer] et surtout attendez l’initialisation de la base. Cette
opération peut prendre du temps. Ne cliquez pas plusieurs fois sur [Continuer], au risque
de créer deux fois la base de données !

Étape 3 - Initialisation de la base de données

Une fois sur cette étape, votre Base de données est synchronisée avec le serveur GLPI, qui
pourra écrire ses informations dedans.

Vous pouvez cliquer sur [Continuer].

Puis, approuvez ou non la récolte de données à l’étape 4 et cliquez sur [Continuer].

Vous pouvez faire un don à l’équipe GLPI en étape 5, ou encore cliquer sur [Continuer].

Étape 6 - Installation terminée

Nous finissons donc avec l’étape 6.

Elle confirme l’installation de GLPI et vous donne les logins et mots de passe des comptes par
défaut. Prenez-les en note, ils vous seront utiles pour vous connecter. 23
En cliquant sur [Utiliser GLPI], vous avez désormais accès à la page de connexion du serveur.

Connexion à GLPI

Félicitations, GLPI est désormais fonctionnel !

Les identifiants et mots de passe par défaut sont :

• glpi/glpi pour le compte administrateur

• tech/tech pour le compte technicien
• normal/normal pour le compte normal
• post-only/postonly pour le compte postonly

Vous pouvez supprimer ou modifier ces comptes ainsi que les données initiales.

---------------------------------------Backup de la base de données------------------------

mysqldump -u [username] -p [databaseName] > glpi_dump_datedujour.sql

tar -zcvf glpi_dump_datedujour.tar.gz /root/glpi_dump_datedujour.sql

transfert :

scp -P leportSSH glpi_dump_datedujour.tar.gz root@xxxxxxxxx:./

Importation

mysql -u root -p glpidb < glpi_dump_ladatedujour.sql

Tuto basé sur les cours d’ openclassrooms.com 24

 Cycle de vie d’un ticket GLPI

Un utilisateur peut créer un ticket directement sur l’interface GLPI (si des droits lui ont été attribués bien sur
ce qui est le cas ici, avec une liaison à l’AD). Le ticket peut être également créer à la suite d’un mail ou d’un
appel

25
Dans notre cas, une solution temporaire à été décidé vu l’importance des risques de défaillances du réseau

Nous avons détecté la cause de notre problème. La solution a donc été exposée et expliqué

26
 L’utilisateur pour à ce moment accepter ou refuser la solution proposée, en commentant sont choix

Le problème étant solutionné, il est décidé de rebasculer prochainement sur les serveurs DHCP en failover qui
était impacté après avoir rectifié le pool d’adressage évidement. Un suivi a donc été ajouté

Une nouvelle tâche peut être éventuellement créer afin d’attribué ce projet à un technicien et facilité sont
suivi
Au final, la traçabilité de l’incident et sa solution peut être consulté à tout moment. La solution peut
également être ajouté à une base de connaissance 27
 WAN

192.168.68.253/29 10.0.0.254/29

VLAN 10 – 10.0.10.0/24
CISCO 2960x-Series
10.0.10.253/24

VLAN 10 – 10.0.10.0/24
VLAN 20 – 10.0.20.0/24 VLAN 10 – 10.0.10.0/24 Proxmox
T2SR-USERS T2SR-IT 10.0.10.252/24
10.0.20.1/24 10.0.10.1/24

VLAN 30 – 10.0.30.0/24
Windows serveur 2016
10.0.30.252/24

28
 TP OURS

Cahier des charges initiales :

- Installer et configurer le matériel suivant :

o 1 PC en routeur avec pfsense

o 1 Switch CISCO Catalyst 2960-x Série

o 2 PC sous Windows 10 sous 2 VLAN différents

- Le switch ne doit être administrable QUE depuis un seul des PC

Missions suivantes par étape :

- Ajouter un Serveur sur un autre VLAN avec un Proxmox

• Virtualiser dessus un Serveur Windows 2016

• Ajouter une deuxième carte réseaux afin d’isoler l’accès au proxmox

- Sur le serveur Windows 2016 :

• Ajouter les rôles Active directory

• Lier pfsense à l’active directory

- Configurer un accès VPN en SSL avec authentification via active directory

29
 Configuration de pfsense
Assignation des Vlans

Applications des règles de pare-feu :

Pour le Vlan 10 – Attribuées aux techniciens

réseaux

Pour le Vlan 20 – Attribuées aux utilisateurs (accès restreins a l’administration l’infrastructure)

Pour le Vlan 30 – Attribuées aux serveurs

30
 Les règles de NAT ont été laissé en automatique

Les serveurs DHCP du Vlan 10 (IT) et 20 (USERS) ont été activé par simplicité d’utilisation, afin que lors d’ajout de
nouveaux ordinateurs sur réseau, l’adressage se fasse automatiquement (notamment sur les appareils mobile)

Les serveurs seront, eux, en IP statique ; le DHCP n’a donc pas été activé

31
 Administration déléguée avec utilisateurs Active Directory

En cas de difficulté à cibler le conteneur d’authentification, utilisez la commande suivant en powershell :

(get-aduser -filter 'samaccountname -eq "pfsense.connect"').DistinguishedName

32
 J’ajoute ensuite un groupe dans pfsense qui fera le lien avec celui créer dans l’AD

Je défini
ensuite le serveur qu’utilisera pfsense pour l’authentification

Sur l’ AD, je crée un groupe portant le même nom que celui créer dans pfsense

33
je crée également l’utilisateur qui permettra à pfsense de consulter l’AD et je l’intègre au groupe bien évidement

34
 Paramétrage du switch Cisco 2960x
L’accès initial s’effectue sur ce modèle directement depuis une interface web minimaliste branché sur un PC avec un
câble RJ45, Le switch attribue automatiquement une adresse IP via sont DHCP intégré

L’attribution des ports (Access ou trunk) se fait également par simple clic en attribuant des rôles au ports connecté
(Ordinateur, Switch ou routeur)

Une gestion plus précise se fait ensuite en utilisant le logiciel prioritaire « Cisco Network Assistant » ou via une interface
web plus poussée après la mise a jour du firmware en v15.2(7)E2

Note importante, les paramètres de base en termes de sécurité ont été appliqué automatiquement (cryptage des mots
de passe, création/demande d’un mot de passe d’accès à console (par défaut en administrateur 15)

35
 Installation d’un proxmox afin de virtualiser un Windows serveur 2016
L’installation du proxmox n’a aucune particularité

Seul l’ajout du dépôt Proxmox VE No-Subscription Repository afin de faire les mise à jour de notre version non
enregistré avec la ligne suivante dans /etc/apt/sources.list.d et du paquet ifupdown2 qui lui évite de redémarrer le
nœud proxmox lors des changement d’adressage
deb http://download.proxmox.com/debian/pve buster pve-no-subscription
nommer le fichier en .list

apt update

apt full-upgrade

L’ajout d’une deuxième carte reseau nous a permis d’isoler l’accès au proxmox sur un vlan différent (celui des IT)

Installation de Windows serveur 2016 et des rôles : Active directory, Autorité de certification et service de certificats
active directory afin de poursuivre les tests et générer un réseau de plus en plus complexe et sécurisé

(Wapt, Zabbix, Portails captifs sur pfsense ou Alcasar…)

36
 Serveur NEXTCLOUD

https://docs.nextcloud.com/server/21/admin_manual/installation/source_installation.html

Vérification / Installation du serveur LAMP

→ Mettre à jour la liste des paquets et les paquets eux-mêmes :

# apt update && apt-get upgrade

→ Mettre à jour la localisation et la zone temps

#dpkg-reconfigure locales tzdata

→ Installer PHP et les modules complémentaires au bon fonctionnement de GLPI

# apt install php

# apt install php-common\
php-mysql\
php-curl\
php-zip\
php-xml\
php-gd\
php-json\
php-mbstring

→ Installer les modules recommandés suivant les besoins

# apt install php-fileinfo\
php-bz2\
php-intl\
php-ldap\
php-smbclient\
php-ftp\
php-imap\
php-bcmath\
php-gmp\
php-apcu\
php-memcache\
php-redis\
imagemagick\
php-imagick\

# phpenmod apcu iconv intl imap posix smbclient

→ Installer Apache2 et ses modules :

# apt install apache2 libapache2-mod-php

Dans la configuration apache, pensez a activer le module ssl et module

conseillés

a2enmod rewrite headers env dir mime ssl setenvif

37
→ Installez MariaDB :

# apt install mariadb-server

# mysql_secure_installation

(Répondez “Y” à toutes les questions. Vérifier la cohérence !)

Concernant le mot de passe créé, c’est le compte root du MariaDB. N’oubliez pas de
conserver votre mot de passe, nous en aurons besoin plus tard

#/etc/init.d/mysql start
#mysql -uroot -p

CREATE USER 'username'@'localhost' IDENTIFIED BY 'password';

CREATE DATABASE IF NOT EXISTS nextcloud CHARACTER SET utf8mb4 COLLATE
utf8mb4_general_ci;
GRANT ALL PRIVILEGES ON nextcloud.* TO 'username'@'localhost';
FLUSH PRIVILEGES;

Quit ;

→ Installez Redis serveur pour le cache mémoire

#apt install redis-server

#systemctl enable redis-server

Ajouter à /var/www/nextcloud/config/config.php

'memcache.distributed' => '\OC\Memcache\Redis',

'memcache.local' => '\OC\Memcache\Redis',
'memcache.locking' => '\OC\Memcache\Redis',
'redis' => array(
'host' => 'localhost',
'port' => 6379,
),

Profitez-en pour supprimer le dossier index.php de l’url de nextcloud en

ajoutant également la ligne

'htaccess.IgnoreFrontController' => true,

Ajouter également
‘default_phone_region’ => ‘FR’,

→ Sécuriser le serveur SSH :

• Je crée un nouvel utilisateur principal

• J’interdis de se connecter directement à root en SSH
• J’interdis de se connecter avec un mot de passe en SSH
• Je change le port du SSH. Prenez un port aléatoire après 1024

# adduser tomtom

38
 # usermod -aG sudo tomtom
# su - tomtom
# mkdir ~/.ssh
# chmod 700 ~/.ssh
# vim ~/.ssh/authorized_keys # là j'ajoute ma clé SSH
# chmod 600 ~/.ssh/authorized_keys

• Puis je modifie le fichier /etc/ssh/sshd_config avec les options suivantes :

# Port #####
# PermitRootLogin no
# PasswordAuthentication no
#AllowUsers tomtom

• Et puis on redémarre le serveur SSH : systemctl restart sshd

→ Sécuriser le serveur FAIL2BAN

• J’installe, apt install fail2ban . Puis on crée un nouveau fichier

/etc/fail2ban/jail.local avec la configuration suivante :

[DEFAULT]

bantime = 84600
findtime = 600
maxretry = 3

destemail = tomtom@example.com
sendername = Fail2ban

action = %(action_mwl)s

[7sshd]
enabled = true
port = 21153

Redémarrer le service

Installation de nextcloud (21.0.1 à ce jour)

# wget https://download.nextcloud.com/server/releases/nextcloud-21.0.1.tar.bz2

# tar -xjvf nextcloud-21.0.1.tar.bz2 /var/www/

# chown -R www-data:www-data /var/www/nextcloud/

Poursuivre ensuite depuis l’interface web

Entête apache2

<IfModule mod_ssl.c>
<VirtualHost _default_:443>

39
 ServerAdmin webmaster@localhost

ServerName nextcloud.manulemalin.ovh

DocumentRoot /var/www/nextcloud

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews
</Directory>

<IfModule mod_dav.c>
Dav off
</IfModule>

Dans /ect/php/7.3/apache2/php.ini

Modifier la ligne memory_limit = 1288M à 512minimum

Dans /etc/mysql/conf.d/mysql.cnf
[mysqld]
innodb_buffer_pool_size=1G
innodb_io_capacity=4000

Reset du password :

sudo -u www-data php /var/www/nextcloud/occ user:resetpassword admin

40
 Switch Aruba - HP-2530-48G-PoEP (J9772A)
https://hp1.greta.eus 192.168.10.251

Acces : - manager => mdp niveau1

- operator => Adminbts!

Port Mode du port Vlan acces Vlan interface

1 untagged 50 PCs
2 untagged 50 PCs
3 untagged 50 PCs
4 untagged 50 PCs
5 untagged 50 PCs
6 untagged 50 PCs
7 untagged 50 PCs
8 untagged 50 PCs
9 untagged 50 PCs
10 untagged 50 PCs
11 untagged 50 PCs
12 untagged 50 PCs
13 untagged 50 PCs
14 untagged 50 PCs
15 untagged 50 PCs
16 untagged 50 PCs
17
18
19
20
21
22
23
24
25 Untagged 666 BTS2
26 Untagged 667 BTS2 Christophe
27 Untagged 669 ARTZA
28 Untagged 670 BTS1
29
30
31 Untagged Pont GV14/9 (prof)
32 Untagged 668 GV16 / LesOurs
33 Tagged 666,667,669,670 Ilot TP
34 Tagged 50,150,190,200,201,250 proxomox1
35 Tagged 50,150,190,200,201,250 proxomox2
36 Tagged 50,150,190,200,201,250 proxomox3
37 untagged 100 Greta (Imprimante)
38 untagged 10 Proxmox Admin1
39 untagged 10 Proxmox Admin2
40 untagged 10 Proxmox Admin3
41 Untagged 250 Services
42 Untagged 250 Services
43 Untagged 200 Wifi
44 Untagged 11 Cluster proxmox1
45 Untagged 11 Cluster proxmox2
46 Untagged 11 Cluster proxmox3
47 Tagged All Pfsense (agregation)
48 Tagged All Pfsense (agregation)

41
 Zabbix – installation sur Debian LAMP

- apt install apache2 php php-mysql libapache2-mod-php mariadb-server postfix apticron mailutils

- ajouter adresse mail root dans ; nano /etc/aliases

newaliases
dpkg-reconfigure locales tzdata

zabbix
- wget https://repo.zabbix.com/zabbix/5.4/debian/pool/main/z/zabbix-release/zabbix-release_5.4-
1+debian10_all.deb
- dpkg -i zabbix-release_5.4-1+debian10_all.deb
- apt update && apt upgrade
- apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent
- mysql
Mysql> set password for 'root'@'localhost' =password('NouveauMotDePasse');
mysql> create database zabbix character set utf8 collate utf8_bin;
mysql> create user zabbix@localhost identified by 'password';
mysql> grant all privileges on zabbix.* to zabbix@localhost;
mysql> quit;
- zcat /usr/share/doc/zabbix-sql-scripts/mysql/create.sql.gz | mysql -uzabbix -p zabbix
Attention, longue attente sans prompt (15minutes environ)

- dans nano /etc/zabbix/zabbix_server.conf

DBPassword=password

- systemctl restart zabbix-server zabbix-agent apache2

- systemctl enable zabbix-server zabbix-agent apache2

http://server_ip_or_name/zabbix

MDP par defaut

Admin
zabbix

42
-----------------------Activation HTTPS----------------------

ajouter à la fin de /etc/zabbix/apache.conf

<Directory /var/www/html>
AllowOverride All
</Directory>

Configurez apache normalement

En 80 :

Redirect Permanent / https://zabbix.manulemalin.ovh

Et en 443:

ServerName zabbix.domaine.local
DocumentRoot /usr/share/zabbix

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includ$
</IfModule>

<Directory /usr/share/zabbix/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews
</Directory>

<IfModule mod_dav.c>
Dav off
</IfModule>

</VirtualHost>
</IfModule>

reinitialiser mot de passe admin

mysql
mysql> use zabbix;
mysql> update zabbix.users set passwd=md5('zabbix') where alias='Admin';
mysql> quit;

43
 Surveillance du réseau et de l’infrastructure avec ZABBIX

Pour mettre en place la surveillance de Zabbix, il faut dans un premier temps définir les
appareils à surveiller. Pour certain hôte, la surveillance passera par l’installation d’un agent
lorsque cela est possible. Pour d’autres, l’utilisation du protocoles SNMP implanté dans
beaucoup de matériel me sera d’une aide précieuse

Lors de l’utilisation d’un agent, je dois, après l’avoir installé sur l’hôte, déclarer celui-ci dans
Zabbix en lui attribuant un groupe d’hôte et un modèle (et en ajouter un s’il n’existe pas)

Par la suite, je vérifie les déclencheurs d’alerte qui sont prédéfini et j’ajuste le niveau de
sévérité)

Le principe est le même pour surveiller la disponibilité d’un site web en utilisant le protocole
ICMP par exemple ou pour surveiller un switch via le protocole SNMP

Il faut ensuite bien penser attribuer des actions de déclenchements à un groupe (Triggers)

44
Puis dans le profil des utilisateurs attribuer la plage horaire, la severité ainsi que le typre de
media avec lequel il faut envoyer l’alerte (apres les avoirs parametré dans le menu « types
de media » ; apticron dans notre cas)

Une fois tout le matériel configuré, il est possible de créer différents graphiques sur le
tableau de bord de l’accueil comme, par exemple, le trafic sur les différents vlans et le WAN

45
Configurer l’accès au réseau TP ours en VPN SSL via pfSense et OpenVPN

Création d’un certificat interne auto-signé (La configuration en « cascade » nous empêche
d’accès au port 80 et 443 pour créer un certificat officiel)

Je crée ensuite en en me basant sur ce certificat, un certificat d’authentification Serveur

46
 J’ajoute le certificat aux utilisateurs ou à au moins un lors de l’utilisation d’une AD comme
dans notre cas

Une fois les certificats complétés, Je configure la partie serveur d’openVPN sur mon pfSense

47
48
La topologie « Net30 – Réseau / 30 isolé par client a été choisi, malgré la perte d’IP dû aux
plages restreintes (4 IP par client connecté) afin de sécuriser leurs points d’accès

49
L’option auth-nocache me permet de refuser la mise en cache des identifiants afin de mieux
les protéger de leurs vols

J’installe un packages supplémentaire afin d’exporter ce certificat et l’utiliser sur mes postes
client pour me connecter avec ce VPN à distance

50
Dans mon labo de test, j’ai dû modifier manuellement ce fichier d’exportation, En effet celui-
ci étant dans un VLAN du SIO, l’adresse public et son port ont été redirigé vers la pâte WAN
de notre VLAN 192.168.58.253 port 1194

Enfin, je crée des règles sur le parefeu afin d’accédé aux ressources voulu

51