Welcome to OCS Inventory NG community support, where you can ask questions and receive answers from other members of the community.

Please ask questions only in English or French.

Release 2.12.3 available

The official documentation can be found on https://wiki.ocsinventory-ng.org. Read it before asking your question.

Categories

Séparer les rôles OCS sur plusieurs VMs [closed]

Bonjour,

Avant tout je souhaite remercier toute personne souhaitant m'aider ou m'éclairer.

Je me permet de poser la question car j'ai de grandes difficultés à trouver des informations sur le sujet.

J'arrive à installer un serveur OCS sur une machine ou sur deux machines (MARIADB et OCS). Dans les deux cas, le sous-réseau Utilisateurs a accès à l'interface d'administration en tapant l'adresse https://ocsinventory-ng/ocsreports dans la barre d'adresse. Je souhaite optimiser la sécurité en limitant l'accès à la console d'administration d'OCS au sous-réseau Admin afin que les utilisateurs n'ont pas accès à l'interface web d'administration.

Pour ce faire je souhaite séparer les rôles OCS sur trois machines virtuelles différentes pour limiter l'accès TCP 443 à mon sous-réseau Admin de la VM3 disposant de la console d'administration par iptables ou nftables.

VM1 : MARIADB
VM2 : OCS Communication server et OCS Deployment server
VM3 : OCS Administration console

Par contre, mon installation OCS échoue. Comment fait-on pour séparer les rôles OCS sur les VM2 et VM3 ? Est-ce possible ?

Merci.
closed with the note: j'ai utilisé la restriction d'adresse ip proposés par jacquesh merci
in OCS Inventory NG server for Unix by (580 points)
closed by
Share on
share on gp share on fb share on tw share on li

4 Answers

0 votes

Pour l'install séparée de 'Communication Server' et 'Administration Server', le fichier 'setup.sh' pose bien les 2 questions :

echo -n "Do you wish to setup Communication server on this computer ([y]/n)?"

echo -n "Do you wish to setup Administration Server (Web Administration Console) on this computer ([y]/n)?" (en fait en 2 lignes)

Donc cela peut se faire.
(Perso, je pense que la charge Administration étant irrégulière et peu forte, je ne séparerais pas.)
Toutefois, attention, c'est Administration Server qui stocke les packages (dans l'arborescence) et qui est présenté par /download. (on peut faire un montage nfs entre les 2 serveurs.)
Rien ne vous interdit de créer vos propres fichiers de conf Apache (je le fait). je le conseille
Ainsi vous pouvez avoir 
- 2 noms dns distincts (virtualhost) : un pour l'inventaire(ocsinv.xxxx.com), un pour l'administration (ocsadm.xxxx.com), 
- des url disponibles ou non : pour 'ocsinv', seule /ocsinventory, /download sont dispos, et inversement pour 'ocsadm', seule /ocsreports
- des restrictions d'adresses ip avec 'Allow from', 'Deny from'
Quelques pistes ...
by (20.1k points)
0 votes
Merci j'ai fait des restrictions d'adresses ip avec 'Allow from', 'Deny from'.
J'ai installé le paquet rewrite "sudo a2enmod rewrite".
Ajouter au fichier /etc/apache2/sites-enabled/000-default.conf
    RewriteEngine on
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R,L]
Les restrictions ne fonctionne plus dès que j'active la réécriture des URLs HTTP en HTTPS.

by (580 points)
0 votes
Virtualhost, Allow from/Deny from, c'est bien.

(J'ai même du reverse proxy et des virtualhost pour gérer le TLS 1.0 des agents 2.0.5 !)

Mais pourquoi rewrite ?

Le téléchargement de paquets de télé-déploiement nécessite HTTPS (pour le fichier 'info') et HTTP (pour les fragments du paquet) ...
by (20.1k points)
0 votes
C'est pour forcer le https en navigation web.

Si je tape http://ocsinventory-ng/ocsreports cela me bascule automatiquement en https://ocsinventory-ng/ocsreports
by (580 points)
 
Powered by Question2Answer
...