Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1140 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Restructuration architecture réseau (OpenLDAP, VPN, Firewall...)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Restructuration architecture réseau (OpenLDAP, VPN, Firewall...)

n°35577
anonix
Posté le 03-04-2008 à 14:40:36  profilanswer
 

Bonjour,  
 
J'aimerais avoir vos avis sur différents sujets quant à la restructuration d'un parc informatique d'une PME (25 employés, 25 PC). Je suis stagiaire alors je préfère demander un avis général avant d'opérer.
 
Voici les différents points :
 
- La mise en place d'un domaine, d'authentification : J'ai pensé à la solution OpenLDAP sous Linux + SAMBA)  
Samba est il obligatoire si l'on veut que des clients xp puisse se logger sur un domaine  créer avec OpenLDAP ?
 
- Mise en place d'un VPN pour connexion avec des nomades. J'ai pensé à OpenVPN.
 
- Mise en place d'un serveur de fichiers  (stockage) : Achat d'un petit serveur NAS. On peut ajouter les droits d'accès avec authentification (faite avec OpenLDAP ou SAMBA ?)
 
- Mise en place d'un serveur Firewall. Que me conseillez vous ?
 
Je souhaite mettre les rôles de serveur OpenLDAP, OpenVPN et le Firewall sur le même serveur physique (qui n'a pas de RAID :s)  
Pensez vous qu'un AMD Sempron 3400+ - 512 Mo de DDR2 - Disque dur de 250 Go sera suffisant ?
 
Vu qu'il ne possède pas de RAID, j'ai pensé à plusieurs solutions pour la tolérance aux pannes..
 
- Faire de la réplication (SLURPD) de l'annuaire LDAP sur une autre machine et sauvegarder les fichiers .conf du firewall et du VPN sur une autre machine.
 
- Virtualiser les rôles d'annuaire, firewall et VPN sur un poste (Windows) et faire des backups de l'image pour pouvoir la restaurer si il ya un problème matériel .
Pensez vous qu'il faut faire plusieurs instances de systèmes d'exploitation pour les différents rôles ou alors 1 seul suffira ? Pensez vous qu'il est "dangereux d'attribuer ses rôles via virtualisation ? Y aura t il une baisse de performance pour 25 utilisateurs ?
 
- Utiliser DRDB + HeartBeat : solution qui semble être intéressante mais il faut deux serveurs identiques.
 
- Autres idées ?
 
 
Merci d'avance !


Message édité par anonix le 03-04-2008 à 14:45:39
mood
Publicité
Posté le 03-04-2008 à 14:40:36  profilanswer
 

n°35582
goran
Posté le 03-04-2008 à 16:11:14  profilanswer
 

Si tu es stagiaire, il faut t'assurer que lorsque tu ne seras plus là, il y aura les compétences en interne pour administrer correctement les solutions que tu auras mises en place ?

 

Tu as vraiment besoin du firewall? Il n'y a rien de prévu dans la solution de sortie sur internet que vous utilisez ?

 

Plutôt qu'un petit NAS j'acheterais un vrai serveur et je me servirais de ses disques dur pour faire serveur de fichiers.

 

Mais tu m'as l'air d'avoir quand même déjà bien pensé à ta solution. Tu es stagiaire en quoi?

  



Message édité par goran le 03-04-2008 à 16:13:29

---------------
Mon blog info et Mon CV
n°35584
anonix
Posté le 03-04-2008 à 16:37:46  profilanswer
 

Je suis stagiaire en ingénierie réseaux (je suis en 4e année à l'exia). Effectivement, une fois que je ne serai plus là, une personne compétente pourra se charger de l'administration, même si ce n'est pas son rôle principal. Je veux mettre une solution stable, qui, une fois installer, ne demande pas trop d'administration. Actuellement, c'est un routeur Bewan basique qui permet la solution de sortie internet. Il ne comporte pas de Firewall. J'ai regarder du coté des Firewalls matériel (qui permettraient également de répondre à la problématique du VPN), mais ça reste une solution excessivement couteuse pour une PME. Dis moi si je me trompe, mais pour moi, un NAS est un serveur de stockage qui permet également le partage de fichier, donc qui a le rôle de serveur de fichiers.  
Merci

n°35586
edouardj
Posté le 03-04-2008 à 16:51:26  profilanswer
 

il veut te dire d'éviter les petits serveurs nas et de te pencher sur une solution à base de serveur pro + linux. Je préfère aussi cette soultion.
 
Pour ton firewall, Ipcop ou Pfsense te conviendront très bien (firewall, proxy, vpn, failover pour pfsense, etc...)

n°35609
anonix
Posté le 04-04-2008 à 09:19:32  profilanswer
 

Et par rapport à la virtualisation du serveur d'authentification.. Qu'en pensez vous ?

n°35634
edouardj
Posté le 04-04-2008 à 12:54:01  profilanswer
 

Je ne mettrai pas l'annuaire sur le même serveur que ton firewall/vpn.
Après tu peux virtualiser pourquoi pas pour palier à un problème matériel (mais temporaire)

n°35638
anonix
Posté le 04-04-2008 à 14:13:26  profilanswer
 

Effectivement, je vais séparer Firewall (+ VPN) de l'annuaire. Ca va être bien plus simple et bien plus sécurisé également. Je regarde du coté de IPCop qui semble intéressant mais j'ai lu plusieurs articles qui stipulent que la zone verte (LAN fillère) et bleue (LAN wireless) ne peuvent communiquer entre elles sauf si l'on créé un VPN. Le problème qui se pose est la présence d'un domaine d'authentification : même les nomades en wifi devront se connecter au domaine. Si la zone bleu ne peut pas communiquer avec la verte, les nomades n'auront pas accès au serveur d'authentification, et ne pourront donc pas s'authentifier. Est il est possible de mettre la borne wifi dans la zone verte (sans risque) ?  
Sinon, j'hésite encore pour la redondance du serveur d'authentification ^^ (je ne veux pas du temporaire)


Message édité par anonix le 04-04-2008 à 14:15:49
n°35640
edouardj
Posté le 04-04-2008 à 14:19:02  profilanswer
 

voir mon autre post. Tout dépend à qui tu donnes l'accès wifi et ce que tu veux faire avec.
Je pense qu'il y a moyen de paravirtualiser dans xen ton openlad et donc après c'est facilement exportable si tu as un problème sur ton serveur original.

n°35652
anonix
Posté le 04-04-2008 à 15:00:06  profilanswer
 

Merci j'avais pas vu la réponse ^^
Effectivement, la solution de (para)virtualiser le serveur semble intéressant.. En cas de panne, il suffit de rebalancer l'instance sur une autre machine. Je peux même créer virtuellement un serveur de réplication qui pourra prendre la main en cas de panne du serveur primaire.


Message édité par anonix le 04-04-2008 à 15:37:12
n°36009
anonix
Posté le 11-04-2008 à 11:13:36  profilanswer
 

up :
 
Samba est il obligatoire si l'on veut que des clients xp et mac puisse se logger sur un domaine crée avec OpenLDAP ?

mood
Publicité
Posté le 11-04-2008 à 11:13:36  profilanswer
 

n°36015
dam1330
...
Posté le 11-04-2008 à 12:57:03  profilanswer
 

OpenLDAP ne créé pas un domaine, c'est un annuaire.
 
Donc oui il faut samba:
 
http://damstux.free.fr/wiki/index. [...] Samba_LDAP
 
C'est moi qui l'ai redigé, va dans la section os alternatif de HFR y a un topic de support

n°36110
anonix
Posté le 14-04-2008 à 11:03:17  profilanswer
 

Nickel, merci. Il a l'air très bien fait. Je me baserai dessus ;)  

n°37130
anonix
Posté le 30-04-2008 à 14:31:18  profilanswer
 

Je souhaite acheter 1 serveur NAS de 4To. Le parc informatique est composé de PC et de quelques MAC. Chez Lacie, un serveur NAS m'interesse beaucoup mais il est précisé qu'il n'est pas compatible AFP (Apple Filing Protocol).  
Cela signifie t il que les MACs n'auront pas accès au serveur NAS ?  
Merci

n°37170
Gavrinis
Open your mind
Posté le 01-05-2008 à 11:29:56  profilanswer
 

oui ils y auront accès, ils peuvent passer par TCP :)

n°37184
zbineulong​time
☱☱☱☱☱☱☱☱☱☱☱☱
Posté le 01-05-2008 à 22:44:11  profilanswer
 

Chez nous j'ai mis une solution VPN avec du matériel Fortinet (routeur/firewall), un boitier d'authentification (zone DMZ) F5, avec authentification forte (token safeword) s'appuyant sur un serveur Active Directory.
 
Niveau sécu c'est très correct, mais je ne me souviens plus trop des prix.
 
Tu pourrais donc utiliser ce genre d'équipements pour la partie VPN + Firewall, et créer un LDAP (linux ou windows) sur un serveur dédié, qui serait aussi le serveur de données, que tu pourrais "doubler" en cluster (si les moyens le permettent).
 
Edit : par contre je pense que tu seras effectivement plus serain sous openLDAP, car ActiveDirectory est un vrai gruyère si on est pas hyper rigoureux dans les mises à jour de secu).


Message édité par zbineulongtime le 01-05-2008 à 22:45:42

---------------
.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Restructuration architecture réseau (OpenLDAP, VPN, Firewall...)

 

Sujets relatifs
Question sur le NETASQ VPN SSL (applet java)connexion imprimante reseau en TSE
Avertissment sécurité execution logiciel via réseauQuestion cablage réseau (outil)
"Poubelle réseau" pour les suppresion de dossiers partagésDéployer VoIP avec SIP sur réseau local
Limité en VPN ?Achat cable reseau
Conseil optimisation reseauswitch catalyst 2950 et firewall ns5gt
Plus de sujets relatifs à : Restructuration architecture réseau (OpenLDAP, VPN, Firewall...)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR