Partage de dossiers entre 2 réseaux

Fermé
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 - 29 sept. 2015 à 20:02
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 3 juin 2016 à 14:09
Bonjour,

Je suis fraichement administrateur réseau d'un collège, je dois mettre en place un serveur de fichiers qui est sous Windows server 2003, jusque là pas de soucis, là ou ça se complique c'est qu'il y a 2 réseaux distinct, un pédagogique (profs, élèves, etc...) et un autre qui est administratif (secrétariat, vie scolaire, etc...)

Les 2 réseaux sont totalement séparés l'un de l'autre, et doivent le rester pour des raisons bien sur, de sécurité.

Actuellement, pour accéder à des fichiers partagés entre les 2 réseaux, on utilise drop-box qui est installé sur le serveur pédagogique, sauf que ce n'est pas sécurisé et que en version gratuite c'est limité à 2 Go.

Je souhaiterais donc installer ce serveur qui possède une carte réseau gigabit 4 ports et qui permettrais de partager des dossiers communs contenus dans le disque dur de celui-ci, mais je n'ai pas assez de connaissances techniques pour y arriver.

--TECHNIQUE--

- Le réseau pédagogique possède l'adresse IP de type : 10.166.20.XXX (1 pour le serveur) avec un Windows server 2008

- Le réseau administratif possède l'adresse IP de type : 10.66.20.XXX (1 pour le serveur) avec un système Éole (Serveur basé sur ubuntu)

- Les 2 réseaux possèdent un active Directory

- Le serveur de fichier peut passer sour windows server 2008 si besoin ou même linux


Mes connaissances en informatique sont assez grandes mais je débute dans le domaine réseau (mais j'apprends vite)

Bien sûr je vous demande pas de me faire un tutoriel complet (quoi que^^) mais de me pousser sur la voie pour réussir ce qui pour moi (et pour les profs, personnels, etc..) serait une prouesse technique.

Par avance, merci beaucoup.

A vous lire.


A voir également:

8 réponses

kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
30 sept. 2015 à 13:22
Bonjour,

1. Quel est le but en résumé ? (en une phrase simple)

2. Quelle est la population qui va utiliser ce que vous souhaitez mettre en place ?

3. Quelle va être l'utilisation, type de fichier, taille de fichier, quelle donnée est transférée etc... pour quel besoin ? (détail du 1.)

4. Quand vous dites "Les 2 réseaux possèdent un active Directory", pouvez vous détailler ? S'agit il du même annuaire ou non ?

5. Comment pensez vous faire le lien entre les 2 réseaux ?

6. Si les réseaux sont distincts pour des raisons de sécurité, ne pensez-vous pas que de les lier "par un serveur de fichier" irait à l'encontre de ce qui a été fait au départ pour les maintenir sécurisés ?

1
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
1 oct. 2015 à 10:21
Bonjour,

1. En gros, je veux savoir si il est possible de connecter un serveur sur 2 réseaux différents via 2 cartes réseau pour y partager un dossier commun tout simplement.
2. Ce sera des professeurs, des élèves, l'administration, toute personne se connectant à un pc du collège.
3. Les fichiers peuvent être de toute nature (Films, Images disque, photos, etc...) mais pas de fichiers sensibles. le disque dur sera de 2To pour commencer.
4. c'est détaillé dans le "--technique--" et non, les 2 réseaux ont 2 annuaires différents. donc les droits seront attribués au cas par cas directement sur le serveur de fichiers en plus d'un dossier publique en lecture seule.
5. Le lien se fera avec une carte réseau possédant plusieurs sorties (reconnue comme plusieurs cartes réseaux)
6. Du moment que les réseaux sont séparés, il n'y a pas de raison qu'un réseau soit visible d'un autre, surtout que les pc doivent passer obligatoirement par une authentification pour se connecter.

A te lire, merci.
0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié par kelux le 1/10/2015 à 15:12
Hello,

Si je demandais des précisions sur les annuaires, c'est que la partie "technique" n'était pas assez précise.
Disons que je peux mettre 1 domaine sur plusieurs réseaux IP; tout comme je peux mettre 50 domaines sur le même réseau IP.

Ce point est très important, car pour la gestion des droits d'accès c'est juste le gros facteur déterminant.

Le serveur peut certes avoir 2 IPs, dans des réseaux séparés (avec une petite configuration particulière sur les cartes réseaux, 1 seule passerelle par défaut et enregistrement auto dans les DNS à voir) ; par contre il ne peut appartenir qu'à un seul domaine AD.

Et c'est ce point qui est bloquant, on ne pourra ajouter que des autorisations de ce domaine, mais pas de l'autre.

Pourquoi on ne peut pas ajouter des autorisations avec des comptes de l'autre annuaire ?
Car d'après ce que je lis, les annuaires sont distincts (à moins qu'ils soient dans la même forêt, mais le "détail technique" ne l'aborde pas) et que les réseaux IP sont étanches, il ne doit pas y avoir de relations d'approbations entre les 2 annuaires (la encore une fois, le "détail technique" ne le décrit pas).

C'est pour cela que les réponses en 2 et 4 sont importantes, si la population ne concernait qu'un annuaire, cela aurait été plus simple. (Là on a plusieurs types de population dans deux annuaires distincts)

Est ce que vous comprenez la difficulté qui se présente pour la gestion et l'exploitation des autorisations/partages ?

-

Un autre point à résoudre et à tester, est la résolution DNS du nom FQDN du serveur de part et d'autre des réseaux.

-

Petite remarque sur le point 6 : justement on met un point commun entre les deux réseaux IPs (le serveur avec 2 cartes, même s'il ne fait pas de routage...) et vous me parlez d'authentification sur les machines comme étant un gage de sécurité.
Dans ce cas pourquoi ne pas tout mettre sur le même réseau IP et dans le même annuaire ? (puisque vous vous dites que c'est sécurisé grâce à l'authentification).
C'est pour cela que ma question n'est pas anodine sur le "pourquoi c'est sécurisé" comme cela et à quel niveau (physique, réseau ou ressources ...)

Disons que je ne veux pas préconiser n'importe quoi ;-)
Ou sinon il faut revoir soit "un peu" l'architecture, soit "un peu" le besoin...

Après mettre deux Ips sur un serveur de fichiers, c'est plutot simple ; la gestion des partages et des autorisations est tout autre !


Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
0
CcHuMi Messages postés 835 Date d'inscription jeudi 1 octobre 2015 Statut Membre Dernière intervention 5 février 2023 45
1 oct. 2015 à 16:04
j'adore ta réponse au pile et au poil bien joué!!
0
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
Modifié par halfernet le 1/10/2015 à 18:25
Merci pour la réponse,

je ne suis encore qu'un amateur dans le réseau donc je vais préciser un peu :

dans tous les collèges de France il y a 3 réseaux qui sont "chartés" par le conseil départemental (en gros, ils le placent, le supervisent quand il y a un problème technique mais sinon c'est débrouille toi)

Ces 3 réseaux sont :
- un réseau pédagogique ou sont connectés les postes des élèves et des profs (le nom de domaine est PEDAG.local)

- un réseau administratif où sont connectés le personnel, la vie scolaire et tous les postes qui ne sont pas dans le domaine pédagogique. (le nom de domaine est PDC.local)

- et un réseau DMZ où sont installés les serveurs en ligne (CDI, Logiciel de vie scolaire et notation, site internet) et qui n'a pas de nom de domaine.

Les réseaux sont isolés entre eux, les noms d'utilisateurs aussi. A ma connaissance, il n'y a pas de forêt commune entre ces 2 réseaux qui sont isolés par une passerelle AMON (sorte de serveur sous ubuntu où les 3 réseaux sont connectés eux aussi a des cartes réseaux distinct) qui est connectée elle même à une box internet.

Je vous envoie un schéma simplifié du réseau.

Si le serveur peut fonctionner simplement comme un NAS, mais sur les 2 réseaux, ça me va aussi.

Cordialement.



A tout problèmes, il y a une solution.
Si il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
halfernet Messages postés 284 Date d'inscription jeudi 10 mai 2007 Statut Membre Dernière intervention 3 avril 2020 27
2 oct. 2015 à 18:29
Re,

Pour le conseil départemental, c'est pas un soucis, du moment que je ne touche pas aux baies de brassage et autres smart switch^^ (là c'est pas le cas, les cables RJ45 y sont déjà) les profs (de techno) connectent eux aussi des NAS et petits serveurs web un peu partout dans le collège (si si).

sinon, je viens d'apprendre du Cons. Dép. que la partie DMZ est visible des 2 réseaux et que je pourrais sans problème connecter le serveur dessus. (cependant c'est moins sécurisé puisque directement visible de l'extérieur, qui exigera donc un pare feu pour le serveur en question et d'ouvrir des ports sur la passerelle [car tous fermés d'origine] dont on a besoin). Du coup, je peux brancher le serveur de données sur un seul port et donner l'adresse IP du serveur à qui veut se brancher dessus. Je conserve cette option en dernier ressort si je n'ai pas le choix.



Je me dis donc :

- c'est compliqué de faire passer un serveur de données sur 2 réseaux^^ mais es-ce faisable quand même si je créé l'authentification directement sur le serveur avec un mot de passe et login ?

- Peux-on le faire dans ce cas-là sans connecter le serveur à aucun des 2 Active Directory ? (je le fais en partie, quand je me connecte sur un dossier du serveur pedago ou pdc d'un poste non référencé sur l'AD ou sur un session locale d'un poste)

- Et en gros si il est possible de créer un disque réseau tout simplement, une fois que l'authentification est faite ?.

A vous lire, et merci pour l'aide que vous me procurez.
0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié par kelux le 2/10/2015 à 19:30
sinon, je viens d'apprendre du Cons. Dép. que la partie DMZ est visible des 2 réseaux et que je pourrais sans problème connecter le serveur dessus.
Non surtout pas, ce n'est absolument pas le but de cette DMZ.
A quoi bon avoir des réseaux et des annuaires séparés pour ensuite utiliser cette DMZ connectée à Internet dans lequel on ira tout mettre ? ;)
On pourrait avoir une zone tampon certes, mais pas en bordure d'internet.

- c'est compliqué de faire passer un serveur de données sur 2 réseaux^^
Non pas du tout, mais vous confondez encore réseaux et domaine AD.

Connectez votre serveur aux deux réseaux, sans l'intégrer à un domaine.
La première carte vous lui mettez IP+masque+passerelle+DNS, la seconde uniquement IP+masque+DNS(pas obligatoire, "ça dépends") - on ne mets surtout pas de passerelle par défaut sur la seconde carte.

Faites des tests de Ping ici et la... ça fonctionne de suite.
Par contre maintenant gérer les accès c'est une autre paire de manche...

-Peux-on le faire dans ce cas-là sans connecter le serveur à aucun des 2 Active Directory ?
en workgroup c'est possible (ça revient à être sur un compte local à une machine, ce que vous faites déja) - mais vous pouvez l'intégrer à un domaine, vous pourrez au moins utiliser les comptes de ce domaine ...

De toute façon, vous allez devoir gérer des comptes locaux sur ce serveur. Donc ça veut dire maintenir un troisième référentiel de comptes, de groupes etc ...
Vous ne gérerez pas non plus le cycle de vie des comptes (reset de mot de passe, compte bloqué, à supprimer, à créer, compte expiré etc etc etc ...) comme avec AD.

Si vous avez 10 personnes, c'est facile, ça prendra pas trop de temps en terme d'exploitation.
Par contre en cas de rentrée, lorsqu'on a 1000 nouveaux utilisateurs plus ceux de l'année d'avant à mettre à jour ... vous ne vous en sortirez pas facilement.(sans compter "le reste du boulot à faire").

La gestion de droits et la création de l'arborescence c'est ce qui va être important.
Utilisez des groupes locaux et nommez les en fonction du type d'accès ;
On a le dossier "techno", on créé 2 groupes Techno_L et Techno_E.
Techno_L on donne les droits de lecture sur le dossier.
Techno_E on donne les droits en écriture/modif sur le dossier.

Ensuite on ajoute les utilisateurs à ces groupes. Ceci permet de ne plus toucher aux données une fois que c'est paramétré comme ça.

Si vous ne faites pas comme ça et que vous donnez les droits directement aux comptes utilisateurs, lorsque l'on doit ajouter ou supprimer des utilisateurs, il faut réécrire les droits NTFS sur les toutes données impactées.
Donc si il y a 100Go de données à traiter, ça va être long ... sans compter que ça va ralentir les gens qui sont en train d'y accéder.

Alors que si on le fait via les groupes, ba on ne change que l'appartenance à des groupes, on ne touche pas aux données ... et c'est bcp plus simple à maintenir et mettre à jour. (hop on jette à un oeil au groupe Techno_E pour savoir qui a accès en écriture et basta ... pas besoin d'aller éditer les droits NTFS du dossier en question ...)

Ce que je viens de dire là pour la gestion via les groupes, ça vaut aussi dans un domaine ...

-

Par contre, je vous le dis, l'exploitation de ce truc va être une galère sans nom quand plus en plus de gens vont l'utiliser. Je ne préconise vraiment pas de faire ainsi.

-

- Et en gros si il est possible de créer un disque réseau tout simplement, une fois que l'authentification est faite ?.


Comme je l'ai déja dit, c'est super simple de mettre un serveur sur deux réseaux IPs et de créer un dossier partagé.
C'est la gestion des accès qui est galère, donc l'authentification en partie.

-

Après essayez de voir comment votre besoin s'exprime au fil du temps.
De même passer par du FTP sera peut être plus simple à filtrer à travers des firewalls. Si les postes sont munis de clients FTP aussi ...

-

Je préconiserai une relation d'approbation entre les 2 domaines; ça simplifierait l'exploitation.
Néanmoins, sans faire passer les flux par la DMZ.
Après c'est juste du filtrage entre les Controleurs de domaine de chaque domaine... On ne va pas autoriser un poste du réseau 10.66.x.x à contacter une machine du réseau 10.166.x.x.

Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
0
Salut à toi,
Alors je m'occupe moi même de l'informatique dans mon établissement.

Les réponses sont très expertes pour un problème très simple.
Je réponds : OUI TU PEUX.

Tout se passera derrière la DMZ, le SEUL endroit où les réseaux pédago et admin se croisent.

Donc, tu branches un PC derrière la DMZ (attention les branchements en RJ45 doivent se faire sur la DMZ à des endroits précis... par chez moi, j'ai deux prises où mon PC sera visible de l'internet, et deux prises où mon pc sera invisible de l'internet)
Pour configurer l'accès à internet de ton PC rapproche toi des services académiques (il faut fixer une adresse IP, un gateway et un masque, et les adresses DNS doivent être réglos).

Ton PC ainsi configuré sera accessible du réseau péda avec une certaine adresse IP, et avec une autre adresse IP du réseau administratif.
0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié par kelux le 3/06/2016 à 09:50
Exposer des ressources dans une DMZ, c'est très dangereux , surtout lorsqu'il s'agit d'une zone tampon publique ...
Ce n'est absolument pas à préconiser.
0
Nous n'avons pas la main sur la configuration, mais pas du tout! On nous dit : "voici le parefeu (physique, pas logiciel) : voici deux ports RJ45 pour qui peuvent être atteint en interne par les deux réseaux mais pas d'accès de l'extérieur, voici deux ports RJ45 qui peuvent être atteint en interne par les deux réseaux ET un accès de l'extérieur. C'est ça qu'on appelle la DMZ."

Maintenant, si j'ai pigé vite fait le fonctionnement d'une DMZ, c'est un réseau accessible par deux sous réseaux, sans pour autant pouvoir atteindre lui même ces deux sous réseaux. Ainsi les sous réseaux restent intègres.

Moi, ces ordinateurs derrière la DMZ (donc à la croisée des deux réseaux pédago et admin), j'en ai besoin spécifiquement pour des logiciels en réseau (genre pronote, edt, ....)
0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié par kelux le 3/06/2016 à 14:13
Maintenant, si j'ai pigé vite fait le fonctionnement d'une DMZ, c'est un réseau accessible par deux sous réseaux, sans pour autant pouvoir atteindre lui même ces deux sous réseaux. Ainsi les sous réseaux restent intègres.

Non, pas tout à fait.

Une DMZ est une zone publique qui expose des ressources sur un réseau externe. (et plus couramment expose des services pour Internet).

On évite donc d'y exposer des données privées la dessus.
0
kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
2 oct. 2015 à 13:18
Hello,

Il faudrait dans un premier temps se tourner vers le conseil départemental pour leur demander validation sur la mise en place de ce type de serveur sur les deux réseaux.

Si vous n'avez pas cette validation, vous risquez de prendre "une cartouche".
(c'est comme dans n'importe quelle boîte, tout changement d'architecture doit être soumis pour approbation, sécu et autre...)
Si c'est refusé, relancez la balle chez eux en exprimant le besoin et en leur demandant une solution.

-

Le schéma confirme mes hypothèses, vous allez galérer pour la gestion des droits.
Disons qu'on mette le serveur dans le domaine pdc.local ; on ne pourra mettre que des droits pour les groupes de pdc.local (et utilisateurs - je ne préconise pas de mettre des droits sur des utilisateurs, mais sur des groupes de domaine local -> Cf modèle AGDLP de Microsoft).

On ne pourra pas mettre des autorisations pour une population identifiée dans le domaine pedago.local

Lorsque les personnes coté pedago vont accéder au serveur NAS, que va t il se passer ? Ils vont avoir une belle fenêtre d'authentification, leur demandant un compte pour s'identifier (et il leur faudra un compte coté pdc.local)

Pour permettre de gérer des droits avec les utilisateurs des deux domaines, il faut une relation d'approbation.


Est ce que vous voyez la problématique que vous allez rencontrer ?

-1