FINAL Pour Impression Jean Julien LEMBEYE Dossier - Professionnel - TSSR

DOSSIER PROFESSIONNEL (DP)
Nom de naissance  LEMBEYE

Prénom  Jean-Julien
Adresse  221 Route de Bellevue
 40230 Saint Geours de Maremne
Titre professionnel visé

Technicien Supérieur Systèmes et Réseaux
MODALITE D’ACCES :
☒ Parcours de formation
☐ Validation des Acquis de l’Expérience (VAE)
DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 1 sur 87

Présentation du dossier
Le dossier professionnel (DP) constitue un élément du système de validation du titre professionnel.

Ce titre est délivré par le Ministère chargé de l’emploi.
Le DP appartient au candidat. Il le conserve, l’actualise durant son parcours et le présente
obligatoirement à chaque session d’examen.
Pour rédiger le DP, le candidat peut être aidé par un formateur ou par un accompagnateur VAE.
Il est consulté par le jury au moment de la session d’examen.
Pour prendre sa décision, le jury dispose :

1. des résultats de la mise en situation professionnelle complétés, éventuellement, du questionnaire
professionnel ou de l’entretien professionnel ou de l’entretien technique ou du questionnement à partir de
productions.
2. du Dossier Professionnel (DP) dans lequel le candidat a consigné les preuves de sa pratique professionnelle.
3. des résultats des évaluations passées en cours de formation lorsque le candidat évalué est issu d’un parcours
de formation
4. de l’entretien final (dans le cadre de la session titre).
[Arrêté du 22 décembre 2015, relatif aux conditions de délivrance des titres professionnels
du ministère chargé de l’Emploi]
Ce dossier comporte :
 pour chaque activité-type du titre visé, un à trois exemples de pratique professionnelle ;
 un tableau à renseigner si le candidat souhaite porter à la connaissance du jury la détention d’un titre, d’un
diplôme, d’un certificat de qualification professionnelle (CQP) ou des attestations de formation ;
 une déclaration sur l’honneur à compléter et à signer ;
 des documents illustrant la pratique professionnelle du candidat (facultatif)
 des annexes, si nécessaire.
Pour compléter ce dossier, le candidat dispose d’un site web en accès libre sur le site.

http://travail-emploi.gouv.fr/titres-professionnels

Sommaire
Exemples de pratique professionnelle
Assister les utilisateurs en centre de services p. 5
 Explorateur afficher un page d’accueil par défaut p. 5
 Procédure utilisateur double authentification office 365 p. 6
Maintenir, exploiter et sécuriser une infrastructure centralisée p. 7
 Configuration d’un switch et sécurisation sur un laboratoire physique « JBM » p. 7
 Maintenir et exploiter un domaine Active Directory sur un laboratoire physique « gre28 » p. 8
 Installation d’un serveur Web avec GLPI en DMZ et sa base de données sur un serveur
p. 9
situé dans en Zone Verte, configuration des Accès SSH sur « gre28 »
Maintenir et exploiter une infrastructure distribuée et contribuer à sa sécurisation p. 10
 Procédure de Masterisation d’un ordinateur chez Labeyrie p. 10
 Configuration d’un Accès VPN SSL Client-to-site p. 11
 Installation superviseur Zabbix, connexion SSL, configuration hôte switch Cisco p. 12
Titres, diplômes, CQP, attestations de formation p. 13
Déclaration sur l’honneur p. 14
Documents illustrant la pratique professionnelle p. 15
Annexes p. 17

EXEMPLES DE PRATIQUE
PROFESSIONNELLE

Activité-type 1 Assister les utilisateurs en centre de services
Exemple n°1  Assister les utilisateurs sur leurs équipements numériques
1. Décrivez les tâches ou opérations que vous avez effectuées, et dans quelles conditions :
Contexte : Un utilisateur souhaite pouvoir ouvrir son explorateur internet avec la page google.fr par
défaut.
- Je demande quel explorateur internet il utilise
- Je cherche sur internet où se trouve l’accès au paramétrage de cet explorateur ou je télécharge
directement l’explorateur sur mon pc pour plus de facilité
- J’indique la procédure à l’utilisateur
- Je lui demande de vérifier que cela fonctionne en lui faisant ouvrir une nouvelle page
- Je lui demande si son problème est résolu et si je peux clôturer le ticket
2. Précisez les moyens utilisés :
- Pour demander de l’aide au service informatique, cet utilisateur a utilisé un logiciel de gestion des
incidents et demande diverses informatiques (GLPI)
- Un ordinateur avec un accès internet
3. Avec qui avez-vous travaillé ?
En autonomie pendant ma formation avec un intervenant extérieur.
4. Contexte
Nom de l’entreprise, organisme ou association Greta
Chantier, atelier, service  En classe
Période d’exercice  Du : 02/06/2021 au : 02/06/2021
5. Informations complémentaires (facultatif)

Activité-type 1 Assister à l’utilisation des ressources collaboratives
Exemple n°2  Procédure utilisateur double authentification office 365
Dans le cadre de mon stage en entreprise, j’ai réalisé une procédure pour la mise en place de
l’authentification multi facteur, car malgré les explications déjà prévues sur office certains nouveaux
utilisateurs faisaient appel au support pour réaliser cette petite intervention.
Un ordinateur portable masterisé et préparer avec mes identifiants de connexion. Mon téléphone
portable avec l’application mobile Microsoft Authenticator
Seul sous la responsabilité de mon tuteur de stage.
4. Contexte
Nom de l’entreprise, organisme ou association LABEYRIE Fine Foods
Chantier, atelier, service  Service Helpdesk de la DCI
Procédure utilisateur double authentification office 365 en annexe 1 (Page 17)

Activité-type 2 Maintenir, exploiter et sécuriser une infrastructure centralisée
Exemple n°1  Configuration d’un switch et sécurisation sur un laboratoire physique
Réalisation d’un laboratoire physique dans le cadre de ma formation pour mettre en pratique la
formation reçue. Paramétrage d’un switch Cisco catalyst 2960 X série, création de Vlans suivant
schémas de l’installation.
1 switch Cisco catalyst 2960 X série

1 Ordinateur portable pour se connecter au switch via un logiciel de prise en main.
- le logiciel MobaXtrem pour la connexion au switch par câble usb/rj45 depuis la console du switch.
Nous étions trois étudiants sous la responsabilité du formateur dans le cadre de ce laboratoire.
4. Contexte
Nom de l’entreprise, organisme ou association  Greta Bayonne
Chantier, atelier, service  Salle GV14
Détail de la configuration complète du switch en annexe 2 (Page 21)

Exemple n°2  Maintenir et exploiter un domaine Active Directory sur un laboratoire physique
Au cours de ma formation, j’ai installé et configuré un serveur Windows 2016 avec Active Directory
selon un cahier des charges défini dans le cadre d’un TP sur un laboratoire physique. (Plan d’adressage
réseau, structure de l’active directory suivant un organigramme bien défini, droit d’accès aux partages
et gestion de stratégie)
1 ordinateur avec IPfire

1 ordinateur avec un Windows serveur 2016
1 ordinateur avec poste client sur Windows 10
2 ordinateurs avec OS Linux Debian et serveur LAMP
En autonomie et sous la responsabilité de mon formateur.
4. Contexte
Chantier, atelier, service  Salle 19
Procédure d’installation et de configuration en Annexe 3 (Page 29)

Exemple n°3  Installation d’un serveur Web avec GLPI en zone DMZ et sa base de données sur
un serveur situé dans la Zone Verte, configuration des Accès SSH
Dans le cadre de cette installation sur un laboratoire physique, j’ai commencé par installer sur un
ordinateur un serveur MySQL et créé une base de données puis sur un autre ordinateur j’ai installé un
serveur Web, PHP, puis GLPI et fait le paramétrage nécessaire pour que GLPI accède à sa base de
données située sur le server MySQL. Comme les deux serveurs ne sont pas sur le même réseau, j’ai
donc créé les règles de pare-feu qui laisse passer le trafic entre les deux sur les bons ports. Ensuite j’ai
configuré les accès SSH pour le paramétrage à distance des serveurs.
1 ordinateur avec IPfire

1 ordinateur avec un Windows serveur 2016
1 ordinateur avec poste client sur Windows 10
1 ordinateur avec OS Linux Debian et (Serveur WEB, PHP) pour GLPI
1 ordinateur avec OS linux Debian un serveur MySQL pour la base de données
En autonomie et sous la responsabilité de mon formateur.
4. Contexte
Chantier, atelier, service  Salle 19
Installation d’un serveur Web et sécurisation Annexe 4 (Page 46)

Maintenir et exploiter une infrastructure distribuée et contribuer à sa
Activité-type 3 sécurisation
Exemple n°1  Etapes de masterisation d’un ordinateur chez Labeyrie
Durant ce stage, j’ai intégré le service Poste de travail et helpdesk principalement. Ce service se
compose d’un technicien qui s’occupe à plein temps du déploiement et renouvellement des postes de
travail et 5 techniciens dédiés au support donc dépannage informatique pour le groupe Labeyrie. (18
sites) Il y a environ 2000 postes de travail réparti sur le groupe, dont la moitié à Saint Geours.
Toute l’informatique du groupe est gérée depuis le site de Saint Geours de Maremne il y a une
trentaine de personnes qui travaillent pour la DSI. Avant la masterisation il fallait déplacer les
ordinateurs dans les bonnes Unités d’Organisations, et regarder les informations des utilisateurs sur
leurs anciens ordinateurs pour la préparation des sessions utilisateurs après la mastérisation.
Un ordinateur portable joint au domaine.

Les accès administrateur du domaine sur la partie Utilisateurs et ordinateurs dans active directory sur
Windows server 2019.
Utilisation des logiciels :
IVANTI : découvrir, provisionner, configurer et sécuriser tous les périphériques et applications.
SERVICE NOW : Sert à répertorier toutes les caractéristiques des ordinateurs et les incidents qui se sont
passés sur ce matériel.
Avec le technicien en charge du déploiement et de l’approvisionnement des ordinateurs pour le groupe

et en autonomie 1 jour par semaine sous la responsabilité de mon tuteur de stage.
4. Contexte
Nom de l’entreprise, organisme ou association  LABEYRIE Fine Foods
Chantier, atelier, service  Service Helpdesk de la DSI
Etapes de masterisation dans l’entreprise Labeyrie Annexe n° 5 (Page 55)

Exemple n°2  Configuration d’un Accès VPN SSL Client-to-site
Dans le cadre d’un laboratoire virtuel mise en place d’un accès à distance sécurisé (VPN) pour que des
utilisateurs externes puissent avoir accès aux ressources du labo.
Un environnement virtuel avec Virtual box sur un hôte Windows 10

Un ordinateur avec PfSense
Le paquet « openvpn-client-export » pour l’exportation de la configuration d’Open VPN sur le poste
client.
Installation de Open VPN sur le client Windows 10.
En autonomie sur un laboratoire virtuel durant ma formation.
4. Contexte
Configuration d’un accès VPN en Annexe n°6 (Page 61)

Exemple n° 3  Installation superviseur Zabbix, connexion SSL, configuration hôte switch CISCO
Installation et paramétrage du superviseur Zabbix sur un ilot TP pour faire remonter toutes les
informations matériels et réseau de celui-ci, mise en place d’une connexion SSL pour l’interface web,
exemple de paramétrage d’un hôte, ici le switch Cisco du labo.
Un serveur avec un hyperviseur proxmox

Une machine virtuelle sur proxmox avec linux et un serveur LAMP pour l’installation de Zabbix
Un switch Cisco Catalyst 2960
Un client Windows sur le réseau Admin pour le paramétrage de zabbix via son interface web.
Nous étions trois étudiants sous la responsabilité du formateur dans le cadre de ce laboratoire.
4. Contexte
Période d’exercice  De : 06/09/2021 au : 10/11/2021
Installation superviseur Zabbix et configuration Annexe n°7 (Page 80)

Titres, diplômes, CQP, attestations de formation
(Facultatif)
Intitulé Autorité ou organisme Date

Bac Professionnel EIE
(Equipement Installation Lycée TARNOS 2003
Electrique)
CAP/BEP
Lycée TARNOS 2001
Electrotechnique
Formation Siemens
CSIL Soustons 2005
Automatisme
Habilitation Electrique
B1V/B2V/BR/BC APAVE 2021
H1V/H2V HC

Déclaration sur l’honneur
Je soussigné Jean-Julien LEMBEYE,
déclare sur l’honneur que les renseignements fournis dans ce dossier sont exacts et que je suis l’auteur(e)
des réalisations jointes.
Fait à Saint Geours de Maremne le 01/12/2021.

Pour faire valoir ce que de droit.

Documents illustrant la pratique professionnelle
Intitulé
Annexe 1 Procédure utilisateur double authentification office 365 Page 17
Annexe 2 Configuration d’un switch et sécurisation Page 21
Annexe 3 Maintenir et exploiter un domaine Active Directory Page 29
Annexe 4 Installation d’un serveur Web avec GLPI sa BD sur un autre serveur / configuration Accès SSH Page 46
Annexe 5 Masterisation d’un ordinateur chez Labeyrie Page 55
Annexe 6 Configuration d’un Accès VPN SSL Client-to-site Page 61
Annexe 7 Installation superviseur Zabbix, connexion SSL, configuration hôte switch CISCO Page 80

ANNEXES

Annexe 1 Procédure utilisateurs
Activation de l’authentification multi-facteur sur Office 365
L’authentification multi-facteur est une sécurité forte d’Office 365, qui permet d’assurer l’authenticité de la personne,
et de prévenir le vol de mot de passe, en présentant deux preuves d’identité distinctes. Dans notre cas : le mot de passe
+ le téléphone (smartphone).
Dès lors que l’authentification multi-facteurs est activée sur votre compte Office 365, vous serez guidé par une série
d’écrans permettant de définir vos préférences d’authentification multi-facteur.
Sur la fenêtre d’authentification, saisissez l’adresse mail de votre compte Office 365, puis faites « Suivant ».
Définissez ensuite le mode de vérification (Application mobile conseillé). Vérifiez que le N° de téléphone
d’authentification est bien le vôtre.
Important : Vous n’êtes pas obligé d’utiliser votre mobile, vous pouvez choisir de recevoir une vérification sur votre
téléphone fixe professionnel. Si vous renseignez votre N° de mobile, il ne sera en aucun cas exploitable et connu de
l’entreprise.
Il est recommandé de choisir la vérification par application mobile

Si vous avez opté pour une vérification par appel téléphonique vous recevrez un appel vous demandant de confirmer
votre identité en appuyant sur la touche #.
Si vous avez opté pour une vérification par « Application mobile », vous devez installer sur votre mobile l’application
Authentification Microsoft . Lancez l’application « Authenticator », faites « Ajouter un compte » >> « Compte
professionnel ou scolaire », puis scannez le QRcode affiché sur l’écran de votre ordinateur.

À tout moment, vous pourrez revenir sur tous ces paramètres et les modifier en allant dans « Mon compte » >>
« Sécurité et confidentialité » >> « Vérification de sécurité supplémentaire ».

Vous pouvez utiliser d’autres options de vérification par défaut :
1. Appeler mon téléphone d’authentification

2. Envoyer un SMS sur mon téléphone d’authentification
3. Appeler mon téléphone de bureau
4. Me notifier via l’application
5. Utiliser le code de vérification à partir de l’application

Annexe 2 configuration des périphériques de base sur SWITCH CISCO
Catalyst 2960-X série LABO JBM
Schémas physiques du labo JBM.
Schémas logique du labo

Mode de configuration
Switch>enable
Switch#configure terminal
Attribution d’un nom au commutateur.

Switch(config)#hostname SW.LabJBM
SW.LabJBM(config)#
Désactivation de la recherche DNS pour empêcher le routeur d'essayer de traduire les commandes
incorrectement saisies comme s'il s'agissait de noms d'hôtes.
SW.LabJBM(config)#no ip domain lookup
Attribution du mot de passe chiffré d'exécution privilégié.
SW.LabJBM(config)#enable secret JBM
Attribution du mot de passe de console et activation de celle-ci.

SW.LabJBM(config)#line console 0
SW.LabJBM(config-line)#password JBM
SW.LabJBM(config-line)#login
SW.LabJBM(config-line)#exit
Cryptage des mots de passe en texte clair.

SW.LabJBM(config)#service password-encryption
Définition du mot de passe VTY et activation de la connexion en sécurisant celle-ci.

SW.LabJBM(config)#line vty 0 3
SW.LabJBM(config-line)#password JBM
SW.LabJBM(config-line)#login local
SW.LabJBM(config-line)#no transport input
SW.LabJBM(config-line)#transport input SSH
SW.LabJBM(config-line)#exec-timeout 150
SW.LabJBM(config-line)#exit
SW.LabJBM(config)#ip domain-name labo.jbm
SW.LabJBM(config)#username jbmcisco secret jbmcisco
SW.LabJBM(config)#login block-for 120 attempts 3 within 60
SW.LabJBM(config)#crypto key generate rsa
How many bits in the modulus [512]: 2048 force
SW.LabJBM(config)#no ip http server
SW.LabJBM(config)#no ip http secure-server
SW.LabJBM(config)#exit
Création d’une bannière qui avertit quiconque souhaitant accéder à l'appareil.

SW.LabJBM(config)#banner motd "Acces interdit aux personnels non autorises !"
Création d’un VLAN 99 et configuration d’une adresse IP pour l’administration du switch.

SW.LabJBM(config)#vlan 99
SW.LabJBM(config-vlan)#name ADMINISTRATION
SW.LabJBM(config)#interface vlan 99
SW.LabJBM(config-if)#ip address 172.16.99.253 255.255.255.240
SW.LabJBM(config-if)#no shut
Passerelle
SW.LabJBM(config)#ip default-gateway 172.16.99.254
Création des différents VLANs du LABO

SW.LabJBM(config-vlan)#name PC1
SW.LabJBM(config-vlan)#vlan 20
SW.LabJBM(config-vlan)#name PC2
SW.LabJBM(config-vlan)#name WIFI
SW.LabJBM(config-vlan)#name NATIVE VLAN
SW.LabJBM(config-vlan)#exit
SW.LabJBM(config-vlan)#name ADDNS
SW.LabJBM(config-vlan)#name SERVICES
Affectation des différentes interfaces

SW.LabJBM(config)#interface range gigabitEthernet 1/0/2-4
SW.LabJBM(config-if-range)#switchport mode access
SW.LabJBM(config-if-range)#switchport access vlan 10
SW.LabJBM(config-if-range)#exit

SW.LabJBM(config)#interface range gigabitEthernet 1/0/1

SW.LabJBM(config)#interface gigabitEthernet 1/0/20

SW.LabJBM(config-if)# switchport trunk allowed vlan 10,20,30,99,210,220
SW.LabJBM(config-if)#switchport mode trunk
SW.LabJBM(config-if)#exit
SW.LabJBM(config)#

SW.LabJBM(config-if)#switchport mode access
SW.LabJBM(config-if)#switchport access vlan 99
SW.LabJBM(config)#

SW.LabJBM(config)#


SW.LabJBM(config)#inter gigabitEthernet 1/0/24
SW.LabJBM(config-if)#switchport mode trunk
SW.LabJBM(config-if)# switchport trunk allowed vlan 10,20,30,99,210,220
Blocage de l'accès à l’interface graphique et changement du port SSH par défaut

SW.LabJBM(config)#no ip http server
SW.LabJBM(config)#no ip http secure-server
SW.LabJBM(config)#ip ssh port 2299 rotary 1
SW.LabJBM(config)#ip ssh version 2
Attribution des interfaces non utilisées au VLAN 999 et désactivation de celle-ci.

SW.LabJBM(config-if-range)#switchport acces vlan 999

SW.LabJBM(config-if-range)#shutdown

SW.LabJBM(config-if-range)#shutdown
SW.LabJBM(config)#exit
Sauvegarde de la configuration
SW.LabJBM# WR
Vérification de l’attribution des VLANs
SW.LabJBM#show vlan
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active
10 PC1 active Gi1/0/2, Gi1/0/3, Gi1/0/4
20 PC2 active Gi1/0/5, Gi1/0/6, Gi1/0/7
30 WIFI active Gi1/0/1
99 ADMINISTRATION active Gi1/0/21, Gi1/0/22, Gi1/0/23
210 SERVICES active
220 ADDNS active
999 NATIVE VLAN active Gi1/0/8, Gi1/0/9, Gi1/0/10, Gi1/0/11
Gi1/0/12, Gi1/0/13, Gi1/0/14, Gi1/0/15
Gi1/0/16, Gi1/0/17, Gi1/0/18, Gi1/0/19
Gi1/0/25, Gi1/0/26, Gi1/0/27, Gi1/0/28
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
99 enet 100099 1500 - - - - - 0 0
210 enet 100210 1500 - - - - - 0 0
220 enet 100220 1500 - - - - - 0 0
999 enet 100999 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs

------------------------------------------------------------------------------
Primary Secondary Type Ports
SW.LabJBM#show running-config
Building configuration...
Current configuration : 3643 bytes
Last configuration change at 12:53:08 UTC Fri Sep 24 2021 by jbmcisco

NVRAM config last updated at 12:53:41 UTC Fri Sep 24 2021 by jbmcisco
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
hostname SW.LabJBM
boot-start-marker
boot-end-marker
enable secret 5 $1$IL0x$wBrULKW7VVsXRnYwvmcMi/
username jbmcisco secret 5 $1$7Z.b$bKDFK12e5BiKynQ9.eJSJ/
no aaa new-model
switch 1 provision ws-c2960x-24ts-l
no ip domain-lookup
ip domain-name labo.jbm
login block-for 120 attempts 3 within 60
spanning-tree mode pvst
spanning-tree extend system-id
vlan internal allocation policy ascending
interface FastEthernet0
no ip address
interface GigabitEthernet1/0/1
description ADMINISTRATION
switchport access vlan 30
switchport mode access

shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
shutdown
switchport trunk allowed vlan 10,20,30,99,210,220
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99,210,220
switchport mode trunk
shutdown
shutdown
shutdown
shutdown
interface Vlan1
no ip address
interface Vlan99
ip address 172.16.99.253 255.255.255.240
interface Vlan210
no ip address
ip default-gateway 172.16.99.254
no ip http server
no ip http secure-server
ip ssh port 2299 rotary 1
ip ssh version 2
ip access-list extended deny
no vstack
banner motd ^Cacces interdit aux personnels non autorises !!^C
line con 0
password 7 062C2D0C
login
line vty 0 3
exec-timeout 150 0
password 7 10642B34
login local
rotary 1
transport input ssh
transport output ssh
line vty 4
login
line vty 5 15
login
end

Annexe 3 maintenir et exploiter un domaine Active Directory
Sur un Labo physique GRE28.EURL
TABLE DES MATIERES
1) Schémas de l’installation Page 30

2) Installation du pare-feu IPFire et configurations des interfaces
3) Installation Serveur Windows 2016 Page 31
a. Nom du serveur
b. Installation du contrôleur de Domaine et le service DNS
- Redirecteurs Page 32
- Vieillissement / Nettoyage des zones Page 33
- Zone de recherche inversée Page 34
c. Installation du serveur DHCP Page 35
- Ajouter le rôle
- Configurer le serveur DHCP avec étendue et bail. Page 36
d. Configuration du routeur pour attribuer la passerelle automatiquement.
e. Création d’une partition de 20 GO sur le serveur Page 37
f. Installation du rôle service de fichiers
g. Active Directory Page 38
- Création de la structure suivant organigramme
- Exemple de création d’utilisateur Page 40
- Attribuer les groupes correspondant aux différents utilisateurs Page 41
- Création des dossiers de groupe du Domain Local
- Création des dossiers de partage Page 42
- Mappage des dossiers de partage Page 43
- Création des stratégies de groupe avec exemple (GPO)
- Joindre un PC client au domaine Page 44
- Application des Stratégies de groupe Page 45

1) Schémas de l’installation
2) Installation de IPFIRE configuration des interfaces

3) Installation du Serveur Windows 2016
a. Nom de l’ordinateur
 Description « Contrôleur de Domaine » et nom « SRV28 ».

Le serveur doit redémarrer après application des modifications.
b. Installation du contrôleur de domaine et du serveur DNS
 Cliquez sur le « Gestionnaire de serveur ».

 Cliquez sur le menu « Gérer ».
 Cliquez sur l'option « Ajouter des rôles et fonctionnalités ».
 Passez l'introduction, cochez l'option « Installation basée sur un rôle ou une fonctionnalité »
 Puis cliquez sur « Suivant ».
 Sélectionnez, dans le pool de serveurs, le nom de votre serveur local puis cliquez sur « Suivant ».
 Cochez l'option « Services AD DS » et acceptez « Ajouter des fonctionnalités » puis cliquez sur « Suivant ».
 Passez l'écran « Fonctionnalités » puis cliquez sur « Suivant ».
 Continuez jusqu’à confirmer l'installation en cliquant sur le bouton « Installer ».
 Vous devez maintenant promouvoir ce serveur en tant que contrôleur de domaine en utilisant le
 Gestionnaire des notifications du tableau de bord :
 Cliquez sur le triangle jaune dans la zone « Notifications »
 Cliquez sur l'option « Promouvoir ce serveur en contrôleur de domaine ».
L'assistant « Configuration des services de domaine Active Directory » s’ouvre :

 Cochez l'option « Ajouter une nouvelle forêt ».
 Tapez le nom de domaine racine local « srv28.eurl « puis cliquez sur « Suivant ».
 Sélectionnez le « Niveau fonctionnel de la forêt » et le « Niveau fonctionnel du domaine ».
 Les options « Serveur DNS » et « Catalogue global » sont sélectionnées par défaut.
 Tapez le mot de passe de restauration (DSRM) « Rest@urat10n » puis cliquez sur « Suivant ».
 « Options DNS » : cliquez sur « Suivant ».

 « Options supplémentaires » : vous verrez le nom de domaine NetBIOS que vous avez choisi pour votre
serveur puis cliquez sur « Suivant ».
 Acceptez les emplacements par défaut pour la base de données, les fichiers, les journaux et SYSVOL puis
cliquez sur « Suivant ».
 Vérifiez vos choix puis cliquez sur « Suivant ». Ne pas faire attention aux avertissements, vérifiez juste que la
configuration est validée :
 Cliquez sur « Installer ».
Le serveur doit redémarrer automatiquement il présente la fenêtre de login avec le nom de domaine gre28.eurl
Le serveur est désormais promu.
- Redirecteurs
Les redirecteurs permettent de transférer des requêtes DNS pour des noms DNS externes vers des serveurs DNS
situés à l'extérieur du réseau de l'entreprise.
 Click droit de la souris sur le nom de votre serveur et sélectionnez l'option « Propriétés » puis l'onglet «
Interfaces ».
 Cochez l'option « Uniquement les adresses IP suivantes ».
 Cochez l'adresse IP de votre serveur AD 10.100.28.201.
 Cliquez sur l'onglet « Redirecteurs ».

 Vérifiez ou configurez les DNS. Pour le labo j’ai utilisé 8.8.8.8 de google.

- Vieillissement / Nettoyage des zones
Le vieillissement et le nettoyage permettent de supprimer automatiquement des ressources stockées dans une zone
DNS en tenant compte d'une période définie par l'administrateur.
 Click droit de la souris sur le nom de votre serveur
 Sélectionnez l'option « Définir le vieillissement/nettoyage pour toutes les zones... ».
 Cochez l'option « Nettoyer les enregistrements de ressources obsolètes ».
 Laissez les valeurs proposées par défaut et cliquez sur « OK ».

 Cochez l'option « Appliquez ces paramètres aux zones existantes intégrées à Active Directory » et cliquez « OK ».
 Développez les « Zones de recherche directes ».
 Click droit de la souris sur le nom de domaine et sélectionnez « Propriétés » puis cliquez sur l'onglet « Général ».
 Cliquez sur le bouton « Vieillissement... ».
 Vérifiez que l'option « Nettoyer les enregistrements de ressources obsolètes » est bien cochée.

- Zone de recherche inversée
La zone de recherche inversée n'a pas été déclarée par l'assistant AD DS. Je dois le faire manuellement.
 Click droit de la souris sur « Zones de recherche inversées » puis sélectionnez « Nouvelle zone... ».
L'assistant « Nouvelle zone » s’ouvre :

 Cliquez sur le bouton « Suivant ».
 Cochez les options « Zone principale » et « Enregistrer la zone dans Active Directory » puis cliquez sur « Suivant ».
 Cochez l'option « Vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine
 Cochez l'option « Zone de recherche inversée IPv4 » puis cliquez sur « Suivant ».
 Tapez l'ID de votre réseau puis cliquez sur « Suivant ».
 Cochez l'option « N’autoriser que les mises à jour dynamiques sécurisées » puis cliquez sur « Suivant »
et enfin sur « Terminer ».
 Click droit de la souris sur votre nouvelle zone « 28.100.10.in-addr.arpa» puis cliquez
sur « Nouveau pointeur (PTR)... ».
 Utilisez le bouton parcourir pour trouver le nom de votre serveur puis cliquez sur « OK »
Vous aurez une « Zones de recherche inversée » en 10.100.28.X
 Fermez le « Gestionnaire DNS ».
c. Installation du serveur DHCP (Dynamic Host Configuration Protocol)

- Ajouter le rôle
Même procédure que pour l’AD et le DNS. L’installation de ce service ne présente aucune difficulté.
 Cochez « Installation basée sur un rôle ou une fonctionnalité » puis cliquez sur « Suivant ».
 Dans le cadre « Pool de serveurs », sélectionnez le serveur Active Directory puis cliquez sur « Suivant ».
 Cochez l'option « Serveur DHCP » puis cliquez sur « Suivant ».
 Passez l'écran sur les fonctionnalités et cliquez sur « Suivant » jusqu’à arriver à « Terminer ».
 Cliquez sur le triangle jaune dans la zone « Notifications » du tableau de bord « Gestionnaire de serveur ».
 Configuration post-déploiement du rôle Serveur DHCP
 Cliquez sur « Terminer la configuration DHCP ».
 Cliquez sur « Suivant ».
 Acceptez les informations d'identification proposées par le système et validez.
 Fermez l'assistant « Configuration post-installation DHCP ».
 Fermez le « Gestionnaire de serveur ».
- Configurer le serveur DHCP
 Depuis le gestionnaire de serveurs faites un clic droit sur le service DHCP puis choisissez
« Gestionnaire DHCP ». Pour déployer l’arborescence DHCP faites un clic droit sur IPv4 et
créer une nouvelle étendue qui sera nommée « Labo_Info ».
Création de la plage 10.100.28.11 à 10.100.28.199.

Attention au masque de sous-réseau qui doit être cohérent avec celui du serveur.
Mise en place du DHCP avec étendue : 10.100.28.11 à 10.100.28.199 et un Bail de 2 jours :
d. Configuration du routeur pour attribuer la passerelle automatiquement dans les options d’étendue.

e. Création de la partition de 20 GO sur le serveur windows2016 :
f. Installation du rôle service de fichiers
 Dans le « Gestionnaire de serveur », cliquez sur « Gérer », puis sur « Ajouter des rôles et des
fonctionnalités ». Dans « Avant de commencer », cliquez sur « Suivant ».
 Dans « Sélectionner le type d’installation », vérifiez que : installation basée sur un rôle ou une fonctionnalité
est sélectionné, puis cliquez sur « Suivant ».
 Dans « Sélectionner le serveur de destination », vérifiez que le serveur correct est sélectionné, puis cliquez
sur suivant.
 Dans « Sélectionner des rôles de serveurs », dans « rôles », notez que le rôle services de fichiers et de stockage
est déjà installé. Cliquez sur la flèche à gauche du nom de rôle pour développer la sélection des services de rôle,
puis cliquez sur la flèche à gauche de « Fichiers et de services iSCSI ».
 Activez les cases à cocher pour « Serveur de fichiers » et « BranchCache pour fichiers réseau ». Il est
recommandé d’activer également la case à cocher de la « Déduplication des données » Cliquez sur « Suivant ».
 Dans « Sélectionner des fonctionnalités », cliquez sur « Suivant ».

 Dans « Confirmer les sélections pour l’installation », passez en revue vos sélections, puis cliquez sur installer. Le
volet progression de l'installation s’affiche pendant l’installation. Une fois l’installation terminée,
cliquez sur « Fermer ».
 Cliquez sur « Ajouter un rôle « et sélectionnez le « Services de Fichier »

g. Active Directory
- Création de la structure de l’Active Directory suivant l’organigramme.

 Allez dans le gestionnaire de serveur et cliquez sur « Outils > Utilisateurs et ordinateurs Active Directory »
 Faire un clic droit sur « gre28.eurl » et sélectionner « Nouveau > Unité d’organisation » :
Pour créer le groupe local dans l’OU « OU_Directeur », procéder comme suit :
 Faites un clic droit sur l’OU_Directeur, et sélectionnez « Nouveau>Groupe » :
 Nommez ce groupe « G_Directeur » et sélectionnez le type global :
 Procédez de la même manière afin de créer les autres groupes dans les autres OU.

Pour simplifier ce TP je vais modifier la GPO de mot de passe pour imposer : 4 Caractères pour tous + Se souvenir du
dernier mot de passe saisi et complexité désactivée.
NB : A ne jamais faire en entreprise évidemment !
- Exemple création manuellement d’un utilisateur :

Nous n’avons pas utilisé de script pour la création de nos deux OU mais cela peut se faire également si la structure
est importante.
 Faites un clic droit sur « OU_Directeur » et sélectionnez « Nouveau\Utilisateur » :

 Entrez les informations de l’utilisateur :

 Cliquez sur « Suivant » et définissez les options du mot de passe.
 Cliquez sur « Suivant « et « Terminer ».

 Faire de même pour les autres utilisateurs.
- Attribuer les groupes correspondant aux différents utilisateurs :

Pour le Directeur dans cet exemple.
 Clic droit sur l’utilisateur « Ella Grozetete», puis « Propriétés » ;
 Cliquez sur l’onglet « Membre de » ;
 Cliquez sur « Ajouter ».
 Entrez « G_Directeur » et cliquez sur « Vérifier les noms » ;
 Effectuer l’attribution des autres utilisateurs dans leurs groupes respectifs.

- Création des dossiers de groupe du Domain Local
• DL_dossier-Directeur_R (R=Read=lecture seule)
• DL_dossier-Directeur_RW (RW=Read/Write=lecture/écriture)

Réalisation du lien entre les groupes du Domain Local et les groupes Globaux.
Nous pouvons vérifier que le directeur a bien les droits R/W :
Autre exemple pour le service budget
- Création des dossiers de partage

 Créez les dossiers qui seront partagés dans « Dossiers_Partages » sur D:\

- Mappage des dossiers de partage exemple avec le Directeur
- Création des stratégies de groupe (GPO)
Exemple mise en place de fond d’écran par service :

Exemple avec le service Administratif

Joindre un PC client au domaine :
Cliquer sur modifier

Application des Stratégies de groupe
Pour appliquer la GPO « Strat_Direction » au groupe « Direction », sans sortir du gestionnaire de groupe procéder
comme suit :
 Double cliquez sur la stratégie de groupe « Strat_Direction »

 Dans la partie « Filtrage et sécurité », cliquez sur le bouton « Ajouter » et ajoutez le groupe « G_Direction ».
Commencez à taper « G_», cliquez sur « Vérifier les noms « et tous les groupes s’affichent. Choisissez G_Direction
et cliquer sur « OK ». La stratégie s’appliquera maintenant à tous les utilisateurs du groupe « Direction » :
 Supprimez la ligne « Utilisateurs authentifiés » et ajoutez « Ordinateurs du domaine » :

Annexe 4 installation
Serveur web avec GLPI et un Serveur Mysql
Configuration des Accès SSH
TABLE DES MATIERES
Installation Serveur Web avec GLPI

Etape 1 : Installation Debian via clé bootable Ventoy Page 47
Etape 2 : Installation apache
Etape 3 : Installation PHP
Etape 4 : Installation php_mysql
Etape 5 : Test page php
Etape 6 : Installation de GLPI Page 48
Installation Serveur Base de Données Mysql

Etape 1 : Install Debian via clé bootable Ventoy Page 50
Etape 2 : Installation MySQL serveur
Etape 3 : Création de la base de données
Etape 4 : Création d’un utilisateur
Etape 5 : Attribution de tous les privilèges
Etape 6 : Création des règles de pare feu Page 52
Configuration des accès SSH

Etape 1 : Se mettre en mode super utilisateur et installer SSH Page 52
Etape 2 : Il faut créer le dossier .ssh
Etape 3 : Permettre à l’utilisateur d’écrire un fichier dans ce dossier
Etape 4 : Modification du port par défaut 22 du SSH
Etape 5 : Généré une paire de clé sur le poste client Page 53
Etape 6 : Envoyer la clé publique du poste client sur le serveur
Etape 7 : Création de la règle de pare-feu pour autoriser la connexion SSH sur le port choisi
Etape 8 : TEST de connexion SSH
Etape 9 : Reprendre les étapes 1 à 8 pour le serveur de la base de données GLPI

Etape 1 : Installation Debian via clé bootable Ventoy
Commande de base:
su pour administrateur
su - pour rester en admin
Faire une rechercher des mises à jour disponibles et les installer.
su apt update
su apt upgrade
Etape 2 : Installation apache (si pas déjà présent à l’installation)
root@jj:~# apt install apache2
Etape 3 : Installation PHP
root@jj:~# apt install libapache2-mod-php
NB : sur ma version d’Install Debian il va chercher sur le CD-Rom donc il ne parvient pas à installer il faut donc
supprimer la ligne cd-rom dans sa recherche de paquet
nano /etc/apt/sources.list
Supprimer la ligne qui commence par deb CD-Rom puis enregistrer
Etape 4 : Installation php_mysql
root@jj:~# apt install php php-mysql
Etape 5 : On peut tester en créant une page très simple php en créant un fichier avec nano
root@jj:~# nano /var/www/html/index.php
Dans la page taper :
<?php phpinfo(); ?>.
Puis ^O Ecrire ^X Quitter
Pour vérifier et voir la page créer taper http://localhost/indexphp
Etape 6 : Installation de GLPI :

root@jj:~# cd /tmp
root@jj:/tmp# wget https://github.com/glpi-project/glpi/releases/download/9.5.5/glpi-9.5.5.tgz
(Pour trouver la dernière version allez sur https://glpi-project.org/downloads/ et récupérer le lien du DOWNLOAD)
root@jj:/tmp# tar -zxvf glpi-9.5.5.tgz
root@jj:/tmp# mv glpi /var/www/html/

root@jj:/tmp# chown -R www-data /var/www/html/glpi
root@jj:/tmp# nano /etc/apache2/conf-available/glpi.conf
Puis inscrire dans le fichier :

<Directory /var/www/html/glpi>
AllowOverride All
</Directory>

<Directory /var/www/html/glpi/config>
Options -Indexes
</Directory>
<Directory /var/www/html/glpi/files>
Options -Indexes
</Directory>
root@jj:/tmp# a2enconf glpi

Enabling conf glpi.
To activate the new configuration, you need to run:
root@jj:~# systemctl reload apache2
root@jj:~# service apache2 restart
Ouvrir un explorateur
Puis taper depuis un client de la zone verte par exemple : http://10.101.28.202/glpi ou http://nom du serveur
glpi/glpi
Mettre français puis accepter les conditions générales et installer
root@jj:~# apt install mbstring curl gd simplexml
Comme certains paquets ne se sont pas installer il faut donc les installer et mettre php- devant
root@jj:~# apt install php-gd php-simplexml php-curl
Pour voir les modifications
root@jj:~# service apache2 restart

Ici vu que nous nous connectons sur une base de donnée qui se trouve sur un autre serveur il faut marquer :
ipduserveurbasededonnée :3306 (ex : 10.100.28.202 :3306) (le 3306 c’est le port par défaut pour mysql)
Mot de Passe : glpi pour les tests (A modifier par la suite)
Installation réussie !
Accès depuis la zone verte où se trouve le serveur GLPI :

http://10.101.28.202/glpi
Pour afficher GLPI directement à la place de la page apache par défaut :

Dans cet exemple j’ai créé un enregistrement A sur le serveur DSN de mon domaine qui s’appelle intranet.gre28.eurl
Enregistrement A srvweb qui pointe sur l’ip de mon serveur web apache avec glpi ip :10.101.28.202
Sur le serveur apache il suffit de modifier le fichier 000-default.conf

root@jj:/etc/apache2/sites-available# nano 000-default.conf
et ajouter glpi sur la ligne du document root.
Puis faire un restart du service apache2

root@jj:# systemctl restart apache2.service
Installation du serveur base de données Mysql

sur LINUX DEBIAN sans interface graphique.
Etape 1 : Install Debian via clé bootable Ventoy

Commande de base :
su pour administrateur
su - pour rester en admin
Faire une rechercher des mises à jour disponibles et les installer.
su apt update

su apt upgrade
Etape 2 : Installation MySQL serveur
root@jj:~# apt install mariadb-server
Etape 3 : Création de la base de données

root@jj:~# mysql -u root -p
mysql> CREATE DATABASE bdglpi CHARACTER SET UTF8 COLLATE UTF8_BIN;

Query OK, 1 row affected, 2 warnings (0,01 sec)
Etape 4 : Création d’un utilisateur

mysql> CREATE USER 'bdglpi'@'bdglpi.gre28.eurl ' IDENTIFIED BY 'bdglpi';
Query OK, 0 rows affected (0,02 sec)
Etape 5 : Attribution de tous les privilèges

mysql> GRANT ALL PRIVILEGES ON bdglpi.* TO 'bdglpi'@'bdglpi.gre28.eurl';
mysql> FLUSH PRIVILEGES;

NB : Pour pouvoir réaliser l’étape du SETUP de GLPI
Il va falloir ajouter une ligne dans le fichier de conf sur le serveur de la base de données mysql pour autoriser
les connexions distantes.
En mode su du serveur mysql
Allez dans : nano /etc/mysql/my.cnf
Ajouter la ligne : bind-address = 0.0.0.0
Sauvegarder : control O
Une fois la modification enregistrée il faut redémarrer le serveur :

# /etc/init.d/mysql restart

Etape 6 : Création des règles de pare feu pour autoriser glpi à accéder à la base de données
ACCES SSH sur le serveur Web et serveur Mysql depuis zone Verte
Sur le serveur web

Etape 1 : Se mettre en mode super utilisateur et installer SSH
Sudo Apt install ssh
Etape 2 : Il faut créer le dossier .ssh sur le serveur avec la commande mkdir
#mkdir /home/websrv/.ssh
Etape 3 : Permettre à l’utilisateur websrv d’écrire un fichier dans ce dossier.
#chown -Rf websrv /home/websrv/.ssh
Etape 4 : On peut modifier le port par défaut 22 du SSH sur le serveur et ajouter à la ligne Allowers le nom srvweb
pour donner l’autorisation de connexion en ssh.
Sur le serveur modifier le fichier de config sshd :
Nano /etc/ssh/sshd_config

Enregistrer avec <O Write Out
Puis #systemctl restart ssh.service
Etape 5 : Généré une paire de clé sur le poste client (Windows 10).
Ouvrir windows powershell
C:\Users\mike.maingauche> ssh-keygen
Etape 6 : Envoyer la clé publique du poste client sur le serveur web
type $env:USERPROFILE\.ssh\id_rsa.pub | ssh -p2233 websrv@10.101.28.202 "cat>>.ssh/authorized_keys"
Taper le password de websrv pour valider.
Etape 7 : Création de la règle de pare-feu pour autoriser la connexion SSH sur le port 2233 (port par défaut 22) sur le
serveur WEB zone Orange depuis la zone Verte. (Voir les règles une page plus haut)
On peut maintenant ne pas autoriser les connexions par mot de passe dans le fichier de config sshd du serveur
web.
Etape 8 : TEST de connexion SSH sur l’hôte client depuis la zone verte.
C:\Users\mike.maingauche> ssh -p2233 websrv@10.101.28.202
NB : Pour se connecter avec un autre utilisateur il faudrait d’abord créer cet utilisateur sur le serveur et l’ajouter au
fichier de config sshd .
Etape 9 : Sur le serveur de la base de données GLPI maintenant
Reprendre exactement les mêmes étapes :
NB : A l’étape 6 si le message d’erreur suivant apparait.

Il faudra supprimer le fichier know_hosts dans le fichier .ssh du client.
Retaper maintenant la commande
type $env:USERPROFILE\.ssh\id_rsa.pub | ssh -p2233 bdglpi@10.100.28.202 "cat>>.ssh/authorized_keys"
Le fichier know_hosts dans le fichier .ssh du client c’est donc régénéré comme cela.
On peut maintenant ne pas autoriser les connexions par mot de passe dans le fichier de conf du serveur bdglpi.
Nano /etc/ssh/sshd_config
Puis #systemctl restart ssh.service

Annexe 5 étapes de masterisation de PC chez Labeyrie
Table des matières
1) Récupération du nom sur l’étiquette du PC Page 56

2) Voir si le PC est présent dans IVANTI et le supprimer avant la masterisation.
3) Récupérer l’adresse Mac de sa carte réseau via le nom du PC dans Service Now.
4) Aller sur HTA
5) Se connecter à la console Ivanti Page 57
a. La pré-installation du système d’exploitation (OS) Page 58
b. Installation du système d’exploitation Page 59
c. Après l’installation
d. Configuration du système Page 60

1) Récupération du nom sur l’étiquette du PC directement
(ex : LT01585 pour un portable ou UCXXX pour un fixe) Cette étiquette a été au préalable coller sur tous les
PCs directement chez le fournisseur avec les éléments données par l’entreprise Labeyrie.
2) Voir si le PC est présent dans la console IVANTI et le supprimer avant la masterisation.
3) Récupérer l’adresse Mac de sa carte réseau via le nom du PC dans Service Now.
4) Aller sur HTA et faire un copier/coller de l’adresse mac et fournir toutes les informations de configuration
adaptée au futur utilisateur.
(ex : Office ou non, windows 10, langue, pc fixe ou Portable)
Cliquer sur ajouter et ensuite sur provisionner.

5) Se connecter à la console Ivanti
Une fois connecté faire une recherche du PC avec son numéro, le PC doit remonter sur Ivanti en actualisant.
Lancer la tâche « Master Poste Windows (20H2)-v21.3 » pour faire la masterisation.

Une fois cette étape effectuée il suffit de faire un boot de démarrage du PC sur IPV4.
Le PC démarre la masterisation.

La masterisation se compose de 4 étapes qui exécute différentes tâches :
a. La pré-installation du système d’exploitation (OS)

b. Installation du système d’exploitation
c. Après l’installation

d. Configuration du système

Annexe 6 configuration d’un VPN SSL client-to-site sous PfSense via OpenVPN
Afin de permettre un accès à distance sur le labo JBM
TABLE DES MATIERES
1) Schéma de principe Page 62

2) Création de la machine virtuelle avec installation et configuration de Pfsense sur virtual Box
3) La gestion des certificats Page 66
A. Créer l'autorité de certification
B. Créer le certificat Server Page 68
4) Créer les utilisateurs locaux Page 69
5) Configurer le serveur OpenVPN Page 71
6) Exporter la configuration OpenVPN Page 74
7) Créer les règles de firewall pour OpenVPN Page 76
A. Autoriser le flux OpenVPN
B. Autoriser les flux vers les ressources Page 77
8) Tester l'accès distant depuis un poste client Page 78

1) Schémas de principe
2) Création de la machine avec installation et configuration de Pfsense sur Virtual Box

Dans la foulée, menu Périphériques > Lecteurs optiques > Ejecter le disque du lecteur virtuel
Une fois la machine redémarrée :
Attention le clavier est en QWERTY

Le menu pfSense s’affiche.
Arrêtez la VM en appuyant sur : 6 <Entrée et confirmer>
Assignation des Interfaces dans virtual box.

• Carte 2 : Activer la carte réseau
Valider et démarrez la VM

WAN :
LAN :
Configuration IP WAN
Appuyez sur 2 pour Set Interface(s) IP address et Choisir WAN : 1 <Entrée>
Configure IPv4 address WAN interface via DHCP? (y/n) y
Configure IPv6 address WAN interface via DHCP6? (y/n) n
Do you want to revert to HTTP as the webConfigurator protocol? (y/n) y
Configuration IP LAN
Appuyez sur 2 pour Set Interface(s) IP address et Choisir LAN : 2 <Entrée>

Configuration finale
Depuis le LAN
3) La gestion des certificats
A. Créer l’autorité de certification

B. Créer le certificat Server

4) Créer les utilisateurs locaux
Création d’un utilisateur
Menu système / Gestionnaire d’usagers / Ajouter

5) Configurer le serveur OpenVPN
Dans Serveurs / Ajouter

auth-nocache. Cette option offre une protection supplémentaire contre le vol des identifiants en refusant la mise
en cache.
Validez la configuration... La configuration VPN est prête.

6) Exporter la configuration OpenVPN
Aller dans système / Gestionnaire de paquets
Rechercher et installer le paquet openvpn-client-export
Une fois installé on peut repartir dans le menu VPN et il y a maintenant un nouvel onglet qui s’est créé Client
Export

Ensuite pour utiliser le client open vpn community
Pour utiliser OpenVPN Community, il faudra prendre la configuration "Bundled Configuration", au format
archive pour récupérer tous les fichiers qui contienent le certificat et le fichier Ovpn correspondant à la
configuration du VPN client to site.
NB : Pour l'utilisation sur mobile avec OpenVPN Connect, prenez la configuration "Inline Configuration".

7) Créer les règles de firewall pour OpenVPN
Une fois téléchargée la configuration, Il faut créer les règles de pare-feu pour autoriser la connexion au vpn.
A. Autoriser le flux OpenVPN

Aller sur la patte WAN et créer une règle.

Création de la règle de l’accès distant OpenVPN sur l’interface WAN.
B. Autoriser les flux vers les ressources
Maintenant il faut créer des règles de pare feu sur l’interface OpenVPN pour accéder aux ressources de
l’entreprise sur la patte LAN. (Serveur etc.)
Exemple : Autoriser les flux https à destination d’une appli Web interne à l’entreprise ou accès GLPI par exemple.

8) Tester l'accès distant depuis un poste client
Installer openvpn sur le client puis importer la configuration que l’on a téléchargé dans :
C:\Program Files\OpenVPN\config
On peut renommer le fichier en JBM_Connection par exemple pour que l’utilisateur voit ce nom lors de la
connexion.
Test de connexion
Clic droit en bas sur Connexion puis renseigner les identifiants locaux.

Test avec ipconfig

Annexe 7 installation Zabbix (Superviseur) avec connexion SSL
Configuration de l’hôte switch cisco Catalyst 2960-X série
TABLE DES MATIERES
1) Installation et configuration serveur Ubuntu Page 81

2) Installation des dépôts ZABBIX
3) Installation zabbix serveur/agent/frontend
4) Création de la base de données et de l'utilisateur MySQL
5) Configurer la base de données pour le serveur Zabbix
6) Démarrer les processus du serveur et de l'agent Zabbix
7) Mise en place de la connexion SSL
8) Insertion de la clé et du certificat serveur pour zabbix dans les fichiers suivants
9) Suppression de la page http avec redirection sur la page https de zabbix Page 83
10) Installation du mib sur le server
11) Configuration server SNMP sur le switch CISCO Page 84
12) Création de l’hôte sur l’interface web de Zabbix étape par étape Page 85
13) Mise en place des règles de pare-feu sur Pfsense Page 86
14) Vérification du Traffic sur l’interface Page 87

1) Installation et configuration serveur Ubuntu
Configuration réseau :
Ip: 172.16.210.250
Masque : 255.255.255.248
passerelle : 172.16.220.250
DNS: 172.16.220.250, 1.1.1.1
2) Installation des dépôts ZABBIX

# wget https://repo.zabbix.com/zabbix/5.4/ubuntu/pool/main/z/zabbix-release/zabbix-release_5.4-
1+ubuntu20.04_all.deb
# dpkg -i zabbix-release_5.4-1+ubuntu20.04_all.deb
# apt install ca-certificate « paquet à installer pour pouvoir utiliser le dépôt ZABBIX installé »
# apt update
# apt install mysql-server
3) Installation zabbix serveur/agent/frontend

#apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent
4) Création de la base de données et de l'utilisateur MySQL

# mysql -uroot -p
password
mysql> create database zabbix character set utf8 collate utf8_bin;
mysql> create user zabbix@localhost identified by 'password';
mysql> grant all privileges on zabbix.* to zabbix@localhost;
mysql> quit;
Sur l'hôte du serveur Zabbix, importez le schéma et les données initiaux. Rentrez le mot de passe qu'on vient de créer sur
MySQL.
# zcat /usr/share/doc/zabbix-sql-scripts/mysql/create.sql.gz | mysql -uzabbix -p zabbix
5) Configurer la base de données pour le serveur Zabbix

#nano /etc/zabbix/zabbix_server.conf
DBPassword=password
6) Démarrer les processus du serveur et de l'agent Zabbix

Démarrez les processus du serveur et de l'agent Zabbix et faites-le démarrer au démarrage du système.
# systemctl restart zabbix-server zabbix-agent apache2

# systemctl enable zabbix-server zabbix-agent apache2
7) Mise en place de la connexion SSL
Création d’un dossier SSL dans apache2 pour y placer le certificat serveur zabbix et sa clé.
root@zabbixjbm:/etc/apache2# mkdir ssl
root@zabbixjbm:/etc/apache2# apt-get install openssl
8) Insertion de la clé et du certificat serveur pour zabbix dans les fichiers suivants. (Préalablement créer sur pfsense)
/etc/apache2/ssl/zabbix.crt
/etc/apache2/ssl/zabbix.key
Copier les informations du certificat et de la clé dans les fichiers respectifs.

- Activer SSL et le fichier de conf
root@zabbixjbm:~# a2enmod ssl
root@zabbixjbm:~# a2ensite default-ssl
root@zabbixjbm:~# systemctl restart apache2

root@zabbixjbm:~# systemctl reload apache2
- Modifier le fichier de configuration default-ssl.conf

root@zabbixjbm:~#nano /etc/apache2/sites-available/default-ssl.conf

- Test de la page SSL
https://zabbix.labo.jbm/zabbix
9) Suppression de la page http avec redirection sur la page https de zabbix
- Modifier le fichier 000-default.conf dans /etc/apache2/sites-available#
- Ajouter la ligne Redirect permanent / https://zabbix.labo.jbm/

10) Installation du mib
(management information base, base d'informations pour la gestion du réseau) sur zabbix

- Télécharger et installation du paquet snmp-mibs-downloader et mise à jour des dépôts
root@zabbixjbm:/home/zabbix# apt-get update
root@zabbixjbm:/home/zabbix# apt-get install snmp snmp-mibs-downloader
éditer le fichier de conf et ajouter un # devant mibs
root@zabbixjbm:/home/zabbix# nano /etc/snmp.conf
- Installer les paquets mib

root@zabbixjbm:/etc/snmp# download-mibs
- Redémarrer le serveur zabbix
root@zabbixjbm:/etc/snmp# service zabbix-server restart
Test de la connectivité
root@zabbixjbm:/etc/snmp# snmpwalk -c community_jbm -v2c 172.16.99.253
11) Configuration server SNMP sur le switch CISCO
Activation du serveur SNMP et désactivation de la community public

SW.LabJBM(config)#no snmp-server community public
SW.LabJBM(config)#snmp-server community community_jbm
SW.LabJBM(config)#snmp-server enable traps snmp
SW.LabJBM(config)#snmp-server host 172.16.210.250 version 2c community_jbm udp-port 162
Liste des traps sur le switch

SW.LabJBM(config)#snmp-server enable traps ?
auth-framework Enable SNMP CISCO-AUTH-FRAMEWORK-MIB traps
bridge Enable SNMP STP Bridge MIB traps
bulkstat Enable Data-Collection-MIB Collection notifications
call-home Enable SNMP CISCO-CALLHOME-MIB traps
cluster Enable Cluster traps
config Enable SNMP config traps
config-copy Enable SNMP config-copy traps
config-ctid Enable SNMP config-ctid traps
copy-config Enable SNMP config-copy traps

cpu Allow cpu related traps
energywise Enable SNMP ENERGYWISE traps
entity Enable SNMP entity traps
envmon Enable SNMP environmental monitor traps
errdisable Enable SNMP errdisable notifications
event-manager Enable SNMP Embedded Event Manager traps
flash Enable SNMP FLASH notifications
fru-ctrl Enable SNMP entity FRU control traps
ike Enable IKE traps
ipsec Enable IPsec traps
license Enable license traps
mac-notification Enable SNMP MAC Notification traps
port-security Enable SNMP port security traps
power-ethernet Enable SNMP power ethernet traps
snmp Enable SNMP traps
stackwise Enable SNMP stackwise traps
storm-control Enable SNMP storm-control trap parameters
stpx Enable SNMP STPX MIB traps
syslog Enable SNMP syslog traps
transceiver Enable SNMP transceiver traps
trustsec-sxp Enable SNMP CISCO-TRUSTSEC-SXP-MIB traps
tty Enable TCP connection traps
vlan-membership Enable SNMP VLAN membership traps
vlancreate Enable SNMP VLAN created traps
vlandelete Enable SNMP VLAN deleted traps
vstack Enable SNMP Smart Install traps
vtp Enable SNMP VTP traps
Activation de certains TRAPs
SW.LabJBM(config)#snmp-server enable traps cpu

SW.LabJBM(config)#snmp-server enable traps call-home
SW.LabJBM(config)#snmp-server enable traps auth-framework
Sauvegarde de la configuration
SW.LabJBM# WR
12) Création de l’hôte sur l’interface web de Zabbix étape par étape
Connectez -vous à votre frontend Zabbix nouvellement installé : http://172.16.210.250/zabbix

Ou http://zabbix.labo.jbm/zabbix

13) Mise en place des règles de pare-feu sur Pfsense

14) Vérification du Traffic sur l’interface Gi 1/0/24 TRUNK de notre labo.

FINAL Pour Impression Jean Julien LEMBEYE Dossier - Professionnel - TSSR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

FINAL Pour Impression Jean Julien LEMBEYE Dossier - Professionnel - TSSR

Transféré par

Droits d'auteur :

Formats disponibles

DOSSIER PROFESSIONNEL (DP)

Nom de naissance  LEMBEYE

Titre professionnel visé

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 1 sur 87

Le dossier professionnel (DP) constitue un élément du système de validation du titre professionnel.

Pour prendre sa décision, le jury dispose :

4. de l’entretien final (dans le cadre de la session titre).

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 2 sur 87

Assister les utilisateurs en centre de services p. 5

 Explorateur afficher un page d’accueil par défaut p. 5

 Procédure utilisateur double authentification office 365 p. 6

Maintenir, exploiter et sécuriser une infrastructure centralisée p. 7

 Configuration d’un switch et sécurisation sur un laboratoire physique « JBM » p. 7

 Maintenir et exploiter un domaine Active Directory sur un laboratoire physique « gre28 » p. 8

Maintenir et exploiter une infrastructure distribuée et contribuer à sa sécurisation p. 10

 Procédure de Masterisation d’un ordinateur chez Labeyrie p. 10

 Configuration d’un Accès VPN SSL Client-to-site p. 11

 Installation superviseur Zabbix, connexion SSL, configuration hôte switch Cisco p. 12

Titres, diplômes, CQP, attestations de formation p. 13

Déclaration sur l’honneur p. 14

Documents illustrant la pratique professionnelle p. 15

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 3 sur 87

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 4 sur 87

2. Précisez les moyens utilisés :

3. Avec qui avez-vous travaillé ?

En autonomie pendant ma formation avec un intervenant extérieur.

Nom de l’entreprise, organisme ou association Greta

Chantier, atelier, service  En classe

Période d’exercice  Du : 02/06/2021 au : 02/06/2021

5. Informations complémentaires (facultatif)

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 5 sur 87

2. Précisez les moyens utilisés :

3. Avec qui avez-vous travaillé ?

Seul sous la responsabilité de mon tuteur de stage.

Nom de l’entreprise, organisme ou association LABEYRIE Fine Foods

Chantier, atelier, service  Service Helpdesk de la DCI

Période d’exercice  Du : 19/07/2021 au : 03/09/2021

5. Informations complémentaires (facultatif)

Procédure utilisateur double authentification office 365 en annexe 1 (Page 17)

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 6 sur 87

2. Précisez les moyens utilisés :

1 switch Cisco catalyst 2960 X série

3. Avec qui avez-vous travaillé ?

Nom de l’entreprise, organisme ou association  Greta Bayonne

Chantier, atelier, service  Salle GV14

Période d’exercice  Du : 06/09/2021 au : 10/11/2021

5. Informations complémentaires (facultatif)

Détail de la configuration complète du switch en annexe 2 (Page 21)

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 7 sur 87

2. Précisez les moyens utilisés :

1 ordinateur avec IPfire

3. Avec qui avez-vous travaillé ?

En autonomie et sous la responsabilité de mon formateur.

Nom de l’entreprise, organisme ou association  Greta Bayonne

Chantier, atelier, service  Salle 19

Période d’exercice  Du : 05/07/2021 au : 09/07/2021

5. Informations complémentaires (facultatif)

Procédure d’installation et de configuration en Annexe 3 (Page 29)

DOSSIER PROFESSIONNEL-Jean-Julien LEMBEYE Version du 1/12/2021 Page 8 sur 87

2. Précisez les moyens utilisés :

1 ordinateur avec IPfire

3. Avec qui avez-vous travaillé ?

En autonomie et sous la responsabilité de mon formateur.