Bonjour,  
 
J'aimerais avoir vos avis sur différents sujets quant à la restructuration d'un parc informatique d'une PME (25 employés, 25 PC). Je suis stagiaire alors je préfère demander un avis général avant d'opérer.
 
Voici les différents points :
 
- La mise en place d'un domaine, d'authentification : J'ai pensé à la solution OpenLDAP sous Linux + SAMBA)  
Samba est il obligatoire si l'on veut que des clients xp puisse se logger sur un domaine  créer avec OpenLDAP ?
 
- Mise en place d'un VPN pour connexion avec des nomades. J'ai pensé à OpenVPN.
 
- Mise en place d'un serveur de fichiers  (stockage) : Achat d'un petit serveur NAS. On peut ajouter les droits d'accès avec authentification (faite avec OpenLDAP ou SAMBA ?)
 
- Mise en place d'un serveur Firewall. Que me conseillez vous ?
 
Je souhaite mettre les rôles de serveur OpenLDAP, OpenVPN et le Firewall sur le même serveur physique (qui n'a pas de RAID :s)  
Pensez vous qu'un AMD Sempron 3400+ - 512 Mo de DDR2 - Disque dur de 250 Go sera suffisant ?
 
Vu qu'il ne possède pas de RAID, j'ai pensé à plusieurs solutions pour la tolérance aux pannes..
 
- Faire de la réplication (SLURPD) de l'annuaire LDAP sur une autre machine et sauvegarder les fichiers .conf du firewall et du VPN sur une autre machine.
 
- Virtualiser les rôles d'annuaire, firewall et VPN sur un poste (Windows) et faire des backups de l'image pour pouvoir la restaurer si il ya un problème matériel .
Pensez vous qu'il faut faire plusieurs instances de systèmes d'exploitation pour les différents rôles ou alors 1 seul suffira ? Pensez vous qu'il est "dangereux d'attribuer ses rôles via virtualisation ? Y aura t il une baisse de performance pour 25 utilisateurs ?
 
- Utiliser DRDB + HeartBeat : solution qui semble être intéressante mais il faut deux serveurs identiques.
 
- Autres idées ?
 
 
Merci d'avance !

Si tu es stagiaire, il faut t'assurer que lorsque tu ne seras plus là, il y aura les compétences en interne pour administrer correctement les solutions que tu auras mises en place ?

Tu as vraiment besoin du firewall? Il n'y a rien de prévu dans la solution de sortie sur internet que vous utilisez ?

Plutôt qu'un petit NAS j'acheterais un vrai serveur et je me servirais de ses disques dur pour faire serveur de fichiers.

Mais tu m'as l'air d'avoir quand même déjà bien pensé à ta solution. Tu es stagiaire en quoi?

Je suis stagiaire en ingénierie réseaux (je suis en 4e année à l'exia). Effectivement, une fois que je ne serai plus là, une personne compétente pourra se charger de l'administration, même si ce n'est pas son rôle principal. Je veux mettre une solution stable, qui, une fois installer, ne demande pas trop d'administration. Actuellement, c'est un routeur Bewan basique qui permet la solution de sortie internet. Il ne comporte pas de Firewall. J'ai regarder du coté des Firewalls matériel (qui permettraient également de répondre à la problématique du VPN), mais ça reste une solution excessivement couteuse pour une PME. Dis moi si je me trompe, mais pour moi, un NAS est un serveur de stockage qui permet également le partage de fichier, donc qui a le rôle de serveur de fichiers.  
Merci

il veut te dire d'éviter les petits serveurs nas et de te pencher sur une solution à base de serveur pro + linux. Je préfère aussi cette soultion.
 
Pour ton firewall, Ipcop ou Pfsense te conviendront très bien (firewall, proxy, vpn, failover pour pfsense, etc...)

Et par rapport à la virtualisation du serveur d'authentification.. Qu'en pensez vous ?

Je ne mettrai pas l'annuaire sur le même serveur que ton firewall/vpn.
Après tu peux virtualiser pourquoi pas pour palier à un problème matériel (mais temporaire)

Effectivement, je vais séparer Firewall (+ VPN) de l'annuaire. Ca va être bien plus simple et bien plus sécurisé également. Je regarde du coté de IPCop qui semble intéressant mais j'ai lu plusieurs articles qui stipulent que la zone verte (LAN fillère) et bleue (LAN wireless) ne peuvent communiquer entre elles sauf si l'on créé un VPN. Le problème qui se pose est la présence d'un domaine d'authentification : même les nomades en wifi devront se connecter au domaine. Si la zone bleu ne peut pas communiquer avec la verte, les nomades n'auront pas accès au serveur d'authentification, et ne pourront donc pas s'authentifier. Est il est possible de mettre la borne wifi dans la zone verte (sans risque) ?  
Sinon, j'hésite encore pour la redondance du serveur d'authentification ^^ (je ne veux pas du temporaire)

voir mon autre post. Tout dépend à qui tu donnes l'accès wifi et ce que tu veux faire avec.
Je pense qu'il y a moyen de paravirtualiser dans xen ton openlad et donc après c'est facilement exportable si tu as un problème sur ton serveur original.

Merci j'avais pas vu la réponse ^^
Effectivement, la solution de (para)virtualiser le serveur semble intéressant.. En cas de panne, il suffit de rebalancer l'instance sur une autre machine. Je peux même créer virtuellement un serveur de réplication qui pourra prendre la main en cas de panne du serveur primaire.

up :
 
Samba est il obligatoire si l'on veut que des clients xp et mac puisse se logger sur un domaine crée avec OpenLDAP ?

OpenLDAP ne créé pas un domaine, c'est un annuaire.
 
Donc oui il faut samba:
 
http://damstux.free.fr/wiki/index. [...] Samba_LDAP
 
C'est moi qui l'ai redigé, va dans la section os alternatif de HFR y a un topic de support

Nickel, merci. Il a l'air très bien fait. Je me baserai dessus  

Je souhaite acheter 1 serveur NAS de 4To. Le parc informatique est composé de PC et de quelques MAC. Chez Lacie, un serveur NAS m'interesse beaucoup mais il est précisé qu'il n'est pas compatible AFP (Apple Filing Protocol).  
Cela signifie t il que les MACs n'auront pas accès au serveur NAS ?  
Merci

oui ils y auront accès, ils peuvent passer par TCP

Chez nous j'ai mis une solution VPN avec du matériel Fortinet (routeur/firewall), un boitier d'authentification (zone DMZ) F5, avec authentification forte (token safeword) s'appuyant sur un serveur Active Directory.
 
Niveau sécu c'est très correct, mais je ne me souviens plus trop des prix.
 
Tu pourrais donc utiliser ce genre d'équipements pour la partie VPN + Firewall, et créer un LDAP (linux ou windows) sur un serveur dédié, qui serait aussi le serveur de données, que tu pourrais "doubler" en cluster (si les moyens le permettent).
 
Edit : par contre je pense que tu seras effectivement plus serain sous openLDAP, car ActiveDirectory est un vrai gruyère si on est pas hyper rigoureux dans les mises à jour de secu).