Mise en place d'un intranet et d'un extranet sur la même machine

**guigui69** · 12/02/2010, 11h32

Bonjour à tous,

Au sein de mon entreprise nous disposons actuellement d'un serveur web nous servant pour 3-4 applications web que j'ai développé. (gestion prix de revient, logiciel réclamation, rupture, ged).

nous voudrions rajouter un extranet pour une société à nous.

Je voudrait savoir si il y est risqué de mettre sur le même serveur la partie intranet et la partie extranet?

Et comment bien le configurer?

Notre environnement actuel:

- Serveur sous Debian lenny (apache2, mysql,php, ftp)
- On accède au site intranet en tapant (http://intranet)
- J'ai configurer notre DNS local avec l'alias intranet vers IP du serveur web.

Dans le cas de l'ajout de l'extranet, nous allons faire l'acquisition d'un serveur.

Comment configurer le serveur pour mettre en place la partie intranet et extranet.

Dit moi si la démarche suivante est la bonne:

1- Mise en place de deux répertoire distinct.

Avec ca est-il préférable que je créer deux utilisateurs linux (ex:intranet et extranet), puis que je face pointer apache sur chaque compte utilisateur.

Ou bien je reste par defaut avec /www d'apache et je sépare en deux parties.

2- Mise en place d'un accès mysql pour chaque partie.

Je met en place sur mysql un compte extranet et intranet et il n'auront accès qu'a leur partie respective.

3- Configuration du ftp pour chaque site.

4- Configure les virtuel host

C'est dans le fichier virtuel host que je configure sur quel site l'utilisateur doit arriver en fonction de l'adresse web taper dans le navigateur.
(http://julien-pauli.developpez.com/t...apache/vhosts/)
Est-ce je compris?

5- Configuration du dns extérieur:

l'adresse extérieur serait la suivant:
http://extranet.masociete.com

Je devrait donc indiquer la société qui gere notre nom de domaine notre adresse IP fixe et router les ports du routeur vers le serveur web interne.

Ma démarche vous parait-elle correcte?

Guigui69

**_Mac_** · 14/02/2010, 13h41

Comprends pas tout : vous allez utiliser 2 machines mais tout faire tourner sur le même Apache, donc la même machine. Quel est l'intérêt de cette seconde machine ?

Par principe, je n'aime pas l'idée de faire tourner un intranet (par définition accessible depuis le réseau local seulement) et un extranet (par définition accessible depuis Internet) sur la même machine tout simplement par ce que la machine est accessible depuis le net et peut potentiellement exposer ainsi des données critiques. Si on est obligé de faire ça, il faut blinder au maximum la sécurité sur le serveur. A minima avec un serveur intermédiaire en DMZ pour ne pas que le serveur qui contient les données (extranet ou intranet) soit accessible en direct depuis le net. Il faut donc au moins 2 pare-feux :

Internet ==> Pare-feu ==> intermédiaire en DMZ ==> Pare-feu ==> serveur final

De par cette structure, le serveur final étant en zone privée, il peut ensuite être accessible en direct depuis l'intranet (même si idéalement il faut également une DMZ en interne pour renforcer au maximum la sécurité). Ne pas avoir cette architecture c'est prendre des risques, même si on se dit que l'accès Internet c'est que pour de l'extranet connu que d'une population restreinte : c'est se cacher derrière son petit doigt que de croire que le fait qu'un site ne soit pas connu va de facto limiter les tentatives de piratages.

**guigui69** · 15/02/2010, 10h08

Pardon je me suis peut etre mal exprimée.

Actuellement nous avons un intranet sur un PC-serveur (debian).

Dans mon entreprise nous allons avoir besoin d'un extranet, pour cela nous allons acquérir un serveur.

Et je voulait savoir, si d'un point de vue sécurité nous pouvions mettre intranet et extranet sur le même serveur en mettant en place des vhost( il y aurait plus qu'un seul serveur).

A travers ta réponse, je vais mettre en place sur ce serveur uniquement la partie extranet rendant accessible uniquement le port80 depuis internet (utilisation: 10 personnes maximun et non simultanée).
Le schéma que tu as décrit est celui que je voudrait mettre en place, mais d'un point de vue coût c'est impossible pour mon entreprise.

**_Mac_** · 15/02/2010, 10h50

Je suis d'accord que l'archi idéale a un coût. Je dis juste que cette configuration est idéale car il y a une séparation physique des sites, donc tu limites beaucoup les risques (mais tu ne les annules pas).

Mais clairement tu peux faire tourner les 2 sites sur la même machine et le même serveur Apache. Techniquement, les virtual hosts vont aider à la configuration et à la sécurité, mais il va surtout falloir faire attention à plusieurs choses :

Autant que possible, activez des ports > 1024 dans Apache (et donc faire du port forwarding au niveau des routeurs) de manière à ce qu'Apache ne soit pas démarré avec l'utilisateur root. Comme ça, au niveau OS, c'est un utilisateur banalisé et dédié qui lance et exécute Apache.

Dans vos VH, configurer des document root distincts pour chaque site (intranet et extranet) n'étant surtout pas de simples sous-répertoires du document root par défaut. L'idée est de définir dans chaque VH un DocumentRoot qui est configuré par un <Directory> :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# VH extranet
<VirtualHost ...>
    DocumentRoot /titi/toto
    <Directory /titi/toto>
        ...
    </Directory>
</VirtualHost>
 
# VH intranet
<VirtualHost ...>
    DocumentRoot /tata/tutu
    <Directory /tata/tutu>
        ...
    </Directory>
</VirtualHost>

J'insiste : /titi/toto et /tata/tutu ne sont pas des sous-répertoires du document root par défaut. Pourquoi ? Parce qu'il y a toujours moyen d'accéder au document root par défaut d'Apache (par exemple en faisant simplement http://IP_su_serveur/ si vous configurez des VH nommés), et dans ce cas, l'intranet et l'extranet sont directement accessibles en tant que sous-répertoire de ce document root par défaut (http://IP_du_serveur/intranet/ par exemple).

Si possible, ayez deux cartes réseau sur le serveur : une carte qui sert pour les accès depuis Internet, donc l'extranet, et une qui ne sert que pour les accès internes, donc l'intranet. Ensuite, vous faites du VH par IP (et pas nommé), comme ça on ne peut accéder à l'intranet que depuis le réseau interne et l'extranet depuis le réseau Internet.
Bien sûr, faire attention au code de l'appli extranet pour faire en sorte au maximum qu'on ne puisse pas utiliser cette appli pour aller lire ou écrire des fichiers en dehors du document root attribué à cette appli. Mais c'est une recommandation de sécurité générale non liée à l'hébergement d'un intranet et d'un extranet sur le même serveur.
Si possible, voyez s'il est possible d'utiliser un module du type suexec ou suphp (mais cela a des contraintes) pour renforcer ce dernier point : à chaque site (intranet et extranet) est associé un utilisateur qui est le seul propriétaire du document root de l'application et donc le seul à pouvoir exécuter et lire les fichiers de ce répertoire.

**guigui69** · 26/02/2010, 12h40

Merci pour ton aide.

J'attend la machine (pas encore commandé).

je bosse sur mes pages intranet et j'aurai besoin d'un conseil.

Le site sera diviser en 2 partie: la partie admin et la partie client.

A travers ces 2 parties il y aura des document (word excel pdf) ajouter par les admin et utiliser par les clients.

Comment placer cette espace de fichier accessible au 2 parties?

Merci

guigui69

**_Mac_** · 26/02/2010, 14h28

La plus simple, je pense, c'est de placer ces fichiers dans un répertoire en dehors du document root des deux sites (notons-le /toto) et de déclarer un alias sur ce répertoire dans les deux sites pour le rendre accessible :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Alias /mesdocs "/toto"

comme ça, dans le(s) site(s) où tu as mis l'alias, http://site.com/mesdocs renverra sur le répertoire où se trouvent les documents.

**guigui69** · 11/03/2010, 16h45

merci,

j'ai une question , car la mise en place de ces documents sont fait à travers un forumulaire html/php.

Hors avec un alias php ne voit pas le dossier. Comment faire?

guigui69

**_Mac_** · 11/03/2010, 17h58

Si si, PHP voit le dossier car PHP a accès au système de fichiers du serveur donc à /toto (/mesdocs, c'est juste une URL, c'est pas là dessus qu'on fait un move_uploaded_file). S'il ne peut pas écrire dans le répertoire /toto c'est que l'utilisateur Apache (en fait, celui qui fait tourner le script PHP) n'y a pas accès. Dans ce cas, il faut faire les chmod et chown qui vont bien pour que l'utilisateur Apache puisse écrire dans ce répertoire /toto.

**guigui69** · 16/03/2010, 11h36

Merci pour ce complement de reponse.

Voici le schéma de mon espace web:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
/
--/admin-intranet/
----------------------/css
----------------------/js
----------------------/ajax
----------------------/mes pages php
 
--/client-intranet
----------------------/css
----------------------/js
----------------------/ajax
----------------------/mes pages php
 
--/mes-doc/
-------------/pdf
-------------/img
etc...

j'ai créer vhost espace-client.xxxx.com avec un alias sur mes-doc et un vhost admin-espace.xxxx.com avec un alias mes-doc.

La manière que j'ai configurer depuis un formulaire php est que je pourrait supprimer le fichier pdf directement en /mes-doc/pdf/xxxx.pdf ou bien est ce que je devrait remonter tout l'arborescence pour retourner à la racine et rentrer dans le dossier /mes-doc/ ???

Merci

guigui69

**_Mac_** · 16/03/2010, 13h05

Aucune idée, il faut tester.

**guigui69** · 17/03/2010, 15h39

je pense pas car avec un script php j'ai indiqué le nom de l'alias et il ne voit rien.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
<?php
function parcours_arbo1($rep,$ssrep) {
 if( $dir = opendir($rep) ) {
   while( FALSE !== ($fich = readdir($dir)) ) {
     if ($fich != "." && $fich != "..") {
       $chemin = "$rep$fich";
       if (is_dir($chemin)) {
	     parcours_arbo1($chemin.'/', ($ssrep==''?$fich:$ssrep.'/'.$fich));
       }
	   else
	     echo ($ssrep==''?$fich:$ssrep.'/'.$fich)."<br>";
	   }
 	 }
  }
}
echo "Affichage d'un rép. avec parcours en PROFONDEUR d'abord";
$rep= "/test";
$arbo = parcours_arbo1($rep,'');
 
?>

par contre si j'indique le vrai du repertoire (en remontant dans l'arborescence)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$rep= "../test";

je voit le contenu du dossier.

**_Mac_** · 17/03/2010, 15h58

C'est logique : les commandes opendir et consorts de PHP travaillent avant tout sur le système de fichiers, pas les URL. Tu peux passer par des URL mais il faut que ce soient des URL absolues d'un certain type supporté : ftp://... par exemple. Tout ce qui commence par ., / ou autre chose que protocole_supporté:// passe par le file system. Cf. la doc PHP (ça sert toujours de la lire, la doc).

**guigui69** · 17/03/2010, 17h30

d'accord,

j'aurait besoin d'un conseil:

voici mon script upload en php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
function upload_fichier($dossier,$document)
{
if(!isset($dossier) && !isset($document)) {echo "nnnnnnnnnnnnnn";}
else
{
 
$fichier = basename($document['name']);
$taille_maxi = 10000000000000000000;
$taille = filesize($document['tmp_name']);
$extensions = array('.png', '.gif', '.jpg', '.jpeg', '.PNG', '.GIF', '.JPG', '.JPEG', '.pdf', '.PDF', '.doc', '.DOC', '.xls', '.XLS', '.zip', '.rar');
$extension = strrchr($document['name'], '.');
//Début des vérifications de sécurité...
if(!in_array($extension, $extensions)) //Si l'extension n'est pas dans le tableau
{
     $erreur = 'Vous devez uploader un fichier de type png, gif, jpg, jpeg, txt ou doc...';
}
if($taille>$taille_maxi)
{
     $erreur = 'Le fichier est trop gros...';
}
if(!isset($erreur)) //S'il n'y a pas d'erreur, on upload
{
     //On formate le nom du fichier ici...
     $fichier = strtr($fichier, 
          'ÀÁÂÃÄÅÇÈÉÊËÌÍÎÏÒÓÔÕÖÙÚÛÜÝàáâãäåçèéêëìíîïðòóôõöùúûüýÿ', 
          'AAAAAACEEEEIIIIOOOOOUUUUYaaaaaaceeeeiiiioooooouuuuyy');
     $fichier = preg_replace('/([^.a-z0-9]+)/i', '-', $fichier);
     if(move_uploaded_file($document['tmp_name'], $dossier . $fichier)) //Si la fonction renvoie TRUE, c'est que ça a fonctionné...
     {
	 chmod ("$dossier/$fichier", 0777);
         // echo 'Upload effectué avec succès !';
	 }
}
return array($dossier, $fichier);

le script upload est exécuté ici
=> "espace-admin/upload2.php"
et document uploader est déplacer ici
=> "espace-doc/doc_commun/"
Dans ma base j'enregistre le chemin et le nom du fichier, et l'adresse d'accès serait
=> "http://doc.xxxxxxx.com"

Comment mettre correctement mon script

merci

guigui69

**_Mac_** · 17/03/2010, 18h13

Ca veut dire quoi, "mettre correctement un script" ?

Personnellement, je n'enregistrerais jamais la partie "http://xxx.com" de l'URL des documents en base de données : c'est une information inutile car faire un <a href="/espace-doc/doc_commun/nom_du_fichier"> suffit, pas besoin de mettre http://...

**guigui69** · 18/03/2010, 14h45

non non ca je suis bien d'accord

mais je ne sais pas comment faire étant donné que au niveau du script pour déplacer le fichier concerner est du style $dossier.fichier ou par exemple dossier est égale à ../espace/doc_commun/pdf et fichier fichier.pdf
dans ma base cela va etre enregistrer comme ceci.

donc apres pour lui dire de aller sur http://doc.pointchaud.com/../espace/...df/fichier.pdf

**_Mac_** · 18/03/2010, 15h26

Je ne pense pas que ce soit super gênant d'avoir ce genre d'URL dans un href : Firefox m'affiche dans la barre d'état une URL "propre" sans ../. C'est plus gênant en revanche si tu affiches l'URL dans la page.

Peut-être en utilisant realpath et en supprimant la partie de gauche inutile si elle existe et en remplaçant les \ par des / si tu es sous Windows.

**guigui69** · 05/05/2010, 11h43

Bonjour à tous,

j'avance sur mon projet ( en local), et j'aurais une question.

donc j'ai :
espace-cb.xxxx.com
espace-admin.xxxx.com
espace-doc.xxxx.com

je voudrait savoir si il est possible de mettre une protection sur les fichiers (l'ensemble) qui sont stocker sur espace-doc.
j'entends par la que si un utilisateur tape dans son navigateur
http://espace-doc.xxx.com/fichier/fichier.pdf cela n'ouvre pas le document. (et qu'il soit rediriger vers espace-cb.xxxx.com)

Mais qu'il soit obliger d'être authentifier pour être autoriser à télécharger le fichier.

Je me souvient (enfin je croit) avoir deja vu ca sur un site web).

Merci

guigui69

**_Mac_** · 05/05/2010, 21h45

C'est faisable avec les cookies et un filtre côté espace-doc qui vérifie que l'authentification est bonne :

Tu configures PHP pour que les cookies de session soient sur le domaine .xxxx.com et plus sur espace-cb.xxxx.com. Honnêtement, je n'ai aucune idée de la façon de faire

sur espace-doc tu mets le .htaccess suivant à la racine :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
RewriteCond %{REQUEST_URI} !index\.php$
RewriteRule (.*) /index.php?url=$1 [L]

Toujours sur espace-doc, tu écris le fichier index.php suivant, toujours à la racine :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
session_start();
 
// On verifie l'utilisateur. Remplacer "login" par le nom d'une variable de session qui permet de verifier que l'utilisateur est authentifie.
if (isset($_SESSION["login"]) && isset($_GET["url"])) {
    include($_GET["url"]);
} else {
    // Pas authentifie, on redirige 
    header("Location: http://espace-cb.xxxx.com/...");
}
?>

L'affaire est dans le sac

Si tu ne sais pas ou ne peut pas changer le domaine du cookie PHP, c'est toujours possible mais c'est bien plus compliqué.

**guigui69** · 06/05/2010, 12h29

D'accord,

au niveau de mon site, la sécurité des sessions est avec $_SESSION uniquement pas de cookie. Est-il possible de réaliser ceci avec $_SESSION

Merci

guigui69