{"id":18661,"date":"2024-10-08T22:29:40","date_gmt":"2024-10-08T22:29:40","guid":{"rendered":"https:\/\/www.directimpactsolutions.com\/etape-de-configuration-des-serveurs\/"},"modified":"2024-10-08T22:29:41","modified_gmt":"2024-10-08T22:29:41","slug":"etape-de-configuration-des-serveurs","status":"publish","type":"page","link":"https:\/\/www.directimpactsolutions.com\/fr\/etape-de-configuration-des-serveurs\/","title":{"rendered":"\u00c9tape de configuration des serveurs"},"content":{"rendered":"
<\/path><\/svg><\/div>
<\/div>\n\n

Configuration du serveur pour une solution Zero Trust<\/h2>\n\n

\u00c9tapes de la configuration des serveurs dans une solution de confiance z\u00e9ro<\/p>\n\n

<\/div><\/div><\/div>
<\/div>

Voici les \u00e9tapes permettant de configurer la solution Zero trust<\/p>

Serveur Boundary chez AWS<\/h2>

1. D\u00e9ployer une instance Ubuntu Server 24.04 LTS en vous r\u00e9f\u00e9rant \u00e0 ce qui est conseill\u00e9 chez Hashicorp<\/a>. <\/p>

Dans l\u2019exemple suivant nous allons d\u00e9ploy\u00e9 une instance m6i.large qui r\u00e9pond \u00e0 un type de d\u00e9ploiement de petite taille. Si vous d\u00e9ployer sur Azure ou GCP, les types d\u2019instances conseill\u00e9es sont \u00e9galement mentionn\u00e9es dans le lien. <\/p>

\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>

<\/p>

2. Make sure that the security group associated with the instance has ports 80 (http), 443 (https), 8200 (Vault) and 9202 (Boundary Worker) open for all IPs, as well as 9201 and 9203 (Remote Boundary Worker) at your office IP address, and of course that you have SSH access to the instance from your workstation only.<\/p>

\"\"<\/figure>

<\/p>

3. Assigner un IP statique (adresse IP Elastic chez AWS) et cr\u00e9er une entr\u00e9e DNS chez votre registraire pour utiliser un nom de domaine pour vous connecter \u00e0 l\u2019instance.<\/p>

\"\"<\/figure>

<\/p>

4. Connectez-vous \u00e0 l\u2019instance via SSH une fois l\u2019instance d\u00e9ploy\u00e9e pour d\u00e9marrer l\u2019installation des logiciels.<\/p>

Installation de Boundary Controller et Worker sur l\u2019instance AWS<\/h2>

5. Le contr\u00f4leur Boundary requiert Postgres SQL il faut donc d\u00e9buter par son installation<\/p>

sudo apt install postgresql postgresql-contrib\nsudo systemctl start postgresql.service\nsudo systemctl enable postgresql.service<\/code><\/pre>
6. Il faut par la suite cr\u00e9er une base de donn\u00e9es boundary et un utilisateur pour s\u2019y connecter. Depuis la version 15 de Postgres il faut \u00e9galement ajouter une permission suppl\u00e9mentaire pour pouvoir cr\u00e9er des tables dans la base de donn\u00e9es nouvellement cr\u00e9\u00e9e. <\/p>
sudo -i -u postgres\npsql\ncreate database boundarydb;\ncreate user boundary with password 'password';\ngrant all privileges on database boundarydb to boundary;\n\\c boundarydb;\nGRANT ALL ON SCHEMA public TO boundary;\nexit\nexit<\/code><\/pre>
7. Nous pouvons maintenant passer \u00e0 l’\u00e9tape d\u2019installation de Boundary. Voici la proc\u00e9dure pour Ubuntu mais Boundary est \u00e9galement disponible pour macOS, Windows et plusieurs variantes de Linux. <\/p>
wget -O- https:\/\/apt.releases.hashicorp.com\/gpg | sudo gpg --dearmor -o \/usr\/share\/keyrings\/hashicorp-archive-keyring.gpg\necho \"deb [signed-by=\/usr\/share\/keyrings\/hashicorp-archive-keyring.gpg] https:\/\/apt.releases.hashicorp.com $(lsb_release -cs) main\" | sudo tee \/etc\/apt\/sources.list.d\/hashicorp.list\nsudo apt update && sudo apt install boundary<\/code><\/pre>
8. Il faut par la suite cr\u00e9er un fichier controller.hcl dans le dossier de Boundary.<\/p>
sudo vi \/etc\/boundary.d\/controller.hcl<\/code><\/pre>
9. Et lui ins\u00e9rer les informations n\u00e9cessaires. Voici un exemple de fichier, il faut au minimum ajuster la section url de la base de donn\u00e9es si vous avez utilisez un autre utilisateur ou mot de passe que ceux mentionn\u00e9 plus haut ainsi que le nom de domaine ou adresse IP public de votre serveur Boundary dans la section public_cluster_addr.  <\/p>
# Disable memory lock: https:\/\/www.man7.org\/linux\/man-pages\/man2\/mlock.2.html\ndisable_mlock = true\n\n# Controller configuration block\ncontroller {\n  # This name attr must be unique across all controller instances if running in HA mode\n  name = \"controller-1\"\n  public_cluster_addr=\"boundary.yourdomain.com\"\n  description = \"First controller\"\n\n  # After receiving a shutdown signal, Boundary will wait 10s before initiating the shutdown process.\n  graceful_shutdown_wait_duration = \"10s\"\n\n  # Database URL for postgres. This can be a direct \"postgres:\/\/\"\n  # URL, or it can be \"file:\/\/\" to read the contents of a file to\n  # supply the url, or \"env:\/\/\" to name an environment variable\n  # that contains the URL.\n  database {\n      url = \"postgresql:\/\/boundary:password@127.0.0.1:5432\/boundarydb\"\n  }\n}\n\n# API listener configuration block\nlistener \"tcp\" {\n  # Should be the address of the NIC that the controller server will be reached on\n  address = \"0.0.0.0\"\n  # The purpose of this listener block\n  purpose = \"api\"\n\n  tls_disable = true\n\n  # Uncomment to enable CORS for the Admin UI. Be sure to set the allowed origin(s)\n  # to appropriate values.\n  #cors_enabled = true\n  #cors_allowed_origins = [\"https:\/\/yourcorp.yourdomain.com\", \"serve:\/\/boundary\"]\n}\n\n# Data-plane listener configuration block (used for worker coordination)\nlistener \"tcp\" {\n  # Should be the IP of the NIC that the worker will connect on\n  address = \"0.0.0.0:9201\"\n  # The purpose of this listener\n  purpose = \"cluster\"\n}\n\nlistener \"tcp\" {\n  # Should be the address of the NIC where your external systems'\n  # (eg: Load-Balancer) will connect on.\n  address = \"0.0.0.0:9203\"\n  # The purpose of this listener block\n  purpose = \"ops\"\n\n  tls_disable = true\n}\n\n# Root KMS configuration block: this is the root key for Boundary\n# Use a production KMS such as AWS KMS in production installs\nkms \"aead\" {\n  purpose = \"root\"\n  aead_type = \"aes-gcm\"\n  key = \"XXXXXXXXXXXXXXXXXXXXXXXXXXXXX\"\n  key_id = \"global_root\"\n}\n\n# Worker authorization KMS\n# Use a production KMS such as AWS KMS for production installs\n# This key is the same key used in the worker configuration\nkms \"aead\" {\n  purpose = \"worker-auth\"\n  aead_type = \"aes-gcm\"\n  key = \"XXXXXXXXXXXXXXXXXXXXXXXXXXXXX\"\n  key_id = \"global_worker-auth\"\n}\n\n# Recovery KMS block: configures the recovery key for Boundary\n# Use a production KMS such as AWS KMS for production installs\nkms \"aead\" {\n  purpose = \"recovery\"\n  aead_type = \"aes-gcm\"\n  key = \"XXXXXXXXXXXXXXXXXXXXXXXXXXXX\"\n  key_id = \"global_recovery\"\n}<\/code><\/pre>
10. Comme nous allons \u00e9galement utiliser ce serveur comme Worker, il faut \u00e9galement cr\u00e9er un fichier worker ou modifier le fichier existant.<\/p>
sudo vi \/etc\/boundary.d\/worker.hcl<\/code><\/pre>
11. Assurez-vous que les informations suivantes sont correctement configur\u00e9. Il faut s\u2019assurer d\u2019entrer le DNS que vous avez cr\u00e9\u00e9 plut\u00f4t dans la section public_addr et mettre des informations dans la section tags qui permettront de diff\u00e9rencier les diff\u00e9rents workers. <\/p>
# # Note that this is an example systemd file and is not intended to be functional as-is.\n# # Full configuration options can be found at https:\/\/www.boundaryproject.io\/docs\/configuration\/worker\n\n listener \"tcp\" {\n     purpose = \"proxy\"\n     tls_disable = true\n     address = \"0.0.0.0\"\n }\n\nworker {\n#   # Name attr must be unique across workers\n   name = \"worker-aws\"\n#   description = \"A default worker created demonstration\"\n\n#   # Workers must be able to reach controllers on :9201\n   controllers = [\n     \"127.0.0.1\",\n#     \"10.0.0.2\",\n#     \"10.0.0.3\",\n   ]\n\n   public_addr = \"worker-aws.yourdomain.com\"\n\n   tags {\n     type   = [\"prod\", \"aws\"]\n     region = [\"ca-central-1\"]\n   }\n }\n\n# # must be same key as used on controller config# \n kms \"aead\" {\n     purpose = \"worker-auth\"\n     aead_type = \"aes-gcm\"\n     key = \"XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\"\n     key_id = \"global_worker-auth\"\n }<\/code><\/pre>
12. La premi\u00e8re fois que nous d\u00e9marrons le contr\u00f4leur, il faut initialiser la base de donn\u00e9es. Ceci va cr\u00e9er un compte qui permet d\u2019acc\u00e9der \u00e0 l\u2019interface web. Entrer la commande suivante et assurez-vous de prendre en note les informations qui s\u2019afficheront.  <\/p>
sudo boundary database init -config \/etc\/boundary.d\/controller.hcl<\/code><\/pre>
13. Maintenant il faut d\u00e9marrer le contr\u00f4leur et le worker. Si nous voulons nous assurer de ne pas avoir \u00e0 les relancer \u00e0 chaque red\u00e9marrage du serveur, il est possible de cr\u00e9er des services. Voici la proc\u00e9dure pour cr\u00e9er le contr\u00f4leur.  <\/p>
sudo vi \/etc\/systemd\/system\/boundarycontroller.service<\/code><\/pre>
14. Entrer les informations suivantes dans le fichier :<\/p>
[Unit]\nDescription=Boundary Controller\n\n[Service]\nType=simple\nUser=root\nExecStart=\/usr\/bin\/boundary server -config=\/etc\/boundary.d\/controller.hcl\nRestart=always\n\n[Install]\nWantedBy=multi-user.target<\/code><\/pre>
15. Il faut en cr\u00e9er un second pour le worker.<\/p>
sudo vi \/etc\/systemd\/system\/boundaryworker.service<\/code><\/pre>
16. Entrer les informations suivantes dans le fichier :<\/p>
[Unit]\nDescription=Boundary Worker\n\n[Service]\nType=simple\nUser=root\nExecStart=\/usr\/bin\/boundary server -config=\/etc\/boundary.d\/worker.hcl\nRestart=always\n\n[Install]\nWantedBy=multi-user.target<\/code><\/pre>
17. Ensuite il reste \u00e0 les d\u00e9marrer et \u00e0 les activer au red\u00e9marrage.<\/p>
sudo systemctl start boundarycontroller\nsudo systemctl status boundarycontroller\nsudo systemctl enable boundarycontroller\nsudo systemctl start boundaryworker\nsudo systemctl status boundaryworker\nsudo systemctl enable boundaryworker<\/code><\/pre>
18. Boundary utilise son propre port mais si nous voulons s\u00e9curiser la connexion \u00e0 l’aide d\u2019un certificat SSL, il est possible de d\u00e9ployer un serveur web devant. Pour ce faire nous allons ici utiliser Apache combin\u00e9 \u00e0 Certbot<\/a> pour g\u00e9n\u00e9rer un certificat SSL gratuit, mais il serait \u00e9galement possible d\u2019utiliser Nginx<\/a> avec un certificat achet\u00e9 \u00e9galement. <\/p>
sudo apt install apache2
sudo a2enmod proxy_http
sudo apt install certbot python3-certbot-apache<\/code><\/pre>
19. Une fois Apache install\u00e9 il faut modifier le fichier de configuration par d\u00e9faut ou en cr\u00e9er un nouveau avant de pouvoir installer le certificat SSL et le connecter \u00e0 Boundary.<\/p>
sudo vi \/etc\/apache2\/sites-enabled\/000-default.conf<\/code><\/pre>
20. Assurez-vous de modifier la section ServerName en fonction de votre nom de domaine et de remplacer\/d\u00e9sactiver la section DocumentRoot par les valeurs Proxy<\/p>
<VirtualHost *:80>\n        # The ServerName directive sets the request scheme, hostname and port that\n        # the server uses to identify itself. This is used when creating\n        # redirection URLs. In the context of virtual hosts, the ServerName\n        # specifies what hostname must appear in the request's Host: header to\n        # match this virtual host. For the default virtual host (this file) this\n        # value is not decisive as it is used as a last resort host regardless.\n        # However, you must set it for any further virtual host explicitly.\n        #ServerName www.example.com\nProxyPreserveHost On\nProxyRequests Off\nServerName boundary.yourdomain.com\nProxyPass \/ http:\/\/localhost:9200\/\nProxyPassReverse \/ http:\/\/localhost:9200\/\n#       ServerAdmin webmaster@localhost\n#       DocumentRoot \/var\/www\/html\n\n        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,\n        # error, crit, alert, emerg.\n        # It is also possible to configure the loglevel for particular\n        # modules, e.g.\n        #LogLevel info ssl:warn\n\n        ErrorLog ${APACHE_LOG_DIR}\/error.log\n        CustomLog ${APACHE_LOG_DIR}\/access.log combined\n        \n        # For most configuration files from conf-available\/, which are\n        # enabled or disabled at a global level, it is possible to\n        # include a line for only one particular virtual host. For example the\n        # following line enables the CGI configuration for this host only\n        # after it has been globally disabled with \"a2disconf\".\n        #Include conf-available\/serve-cgi-bin.conf\n<\/VirtualHost>\n\n# vim: syntax=apache ts=4 sw=4 sts=4 sr noet<\/code><\/pre>
21. Maintenant il reste \u00e0 relancer apache et g\u00e9n\u00e9rer le certificat SSL<\/p>
sudo systemctl restart apache2\nsudo certbot --apache<\/code><\/pre>
22. Une fois que vous aurez r\u00e9pondu aux diff\u00e9rentes questions, vous devriez avoir un certificat SSL de g\u00e9n\u00e9r\u00e9.<\/p>
23. Il est maintenant le temps de valider que votre installation de Boundary est fonctionnel avant de passer \u00e0 la prochaine \u00e9tape. Connectez-vous \u00e0 l\u2019aide de votre browser internet au nom de domaine que vous avez utiliser pour g\u00e9n\u00e9rer le certificat SSL. Si l\u2019installation du certificat SSL s\u2019est compl\u00e9t\u00e9 correctement, vous devriez maintenant avoir acc\u00e8s \u00e0 la page de Boundary qui vous demande de vous identifier.  <\/p>
\"\"<\/figure>
<\/p>
24. Connectez-vous \u00e0 l\u2019aide du compte admin qui a \u00e9t\u00e9 cr\u00e9\u00e9 lors de l’\u00e9tape de l\u2019initiation de la base de donn\u00e9es.<\/p>
25. Lors de la cr\u00e9ation de la base de donn\u00e9es, Boundary a cr\u00e9\u00e9 par d\u00e9faut une organisation. Vous pourrez la supprimer et en cr\u00e9er une nouvelle plus tard. Pour l\u2019instant assurez-vous que votre worker est bien connect\u00e9 en cliquant sur la section \u201cWorkers\u201d  <\/p>
\"\"<\/figure>
<\/p>
Installation de Boundary Worker sur une machine virtuelle Hyper-V<\/h2>
Nous allons ici consid\u00e9rer que vous avez d\u00e9j\u00e0 un serveur physique sous Windows serveur 2019 ex\u00e9cutant le r\u00f4le Hyper-V. Ce serveur est configur\u00e9 \u00e0 l\u2019interne du r\u00e9seau de votre entreprise. Il serait possible de faire le m\u00eame d\u00e9ploiement avec un autre hyperviseur peu importe qu\u2019il soit de type 1 ou de type 2 en autant qu\u2019il soit sur un r\u00e9seau diff\u00e9rent de celui de votre contr\u00f4leur Boundary.  <\/p>
1. R\u00e9cup\u00e9rer le fichier d\u2019installation d\u2019Ubuntu Serveur<\/a> 24.04 LTS si vous ne l\u2019avez pas d\u00e9j\u00e0 sur votre serveur physique<\/p>
2. Cr\u00e9er une nouvelle machine virtuelle avec au minimum un processeur ayant 2 coeurs, 8 Go de m\u00e9moire et 50Go d\u2019espace disque.<\/p>
3. D\u00e9marrer la machine virtuelle et suivez les \u00e9tapes pour installer Ubuntu Server. Assurez-vous d\u2019activer l\u2019installation d\u2019OpenSSH Server durant l\u2019installation et id\u00e9alement de lui assigner une adresse IP statique ou d\u2019effectuer une r\u00e9servation sur votre serveur DHCP. <\/p>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
\"\"<\/figure>
<\/p>
4. Connectez-vous en SSH \u00e0 votre machine virtuelle une fois qu\u2019elle est red\u00e9marr\u00e9e.<\/p>
5. Installer Boundary en suivant les \u00e9tapes suivantes :<\/p>
wget -O- https:\/\/apt.releases.hashicorp.com\/gpg | sudo gpg --dearmor -o \/usr\/share\/keyrings\/hashicorp-archive-keyring.gpg\necho \"deb [signed-by=\/usr\/share\/keyrings\/hashicorp-archive-keyring.gpg] https:\/\/apt.releases.hashicorp.com $(lsb_release -cs) main\" | sudo tee \/etc\/apt\/sources.list.d\/hashicorp.list\nsudo apt update && sudo apt install boundary<\/code><\/pre>
6. Cr\u00e9er un fichier worker<\/p>
sudo vi \/etc\/boundary.d\/worker.hcl<\/code><\/pre>
7. Au lieu de le connecter \u00e0 127.0.0.1, il faudra le connecter \u00e0 l\u2019adresse de votre contr\u00f4leur AWS que vous avez cr\u00e9\u00e9 pr\u00e9c\u00e9demment. Il faut \u00e9galement s\u2019assurer d\u2019entrer le DNS que vous avez cr\u00e9\u00e9 plut\u00f4t dans la section public_addr et mettre des informations dans la section tags qui permettront de diff\u00e9rencier les diff\u00e9rents workers. <\/p>
# # Note that this is an example systemd file and is not intended to be functional as-is.\n# # Full configuration options can be found at https:\/\/www.boundaryproject.io\/docs\/configuration\/worker\n\n listener \"tcp\" {\n     purpose = \"proxy\"\n     tls_disable = true\n     address = \"0.0.0.0\"\n }\n\nworker {\n#   # Name attr must be unique across workers\n   name = \"worker-mainoffice\"\n#   description = \"A default worker created demonstration\"\n\n#   # Workers must be able to reach controllers on :9201\n   controllers = [\n     \"X.X.X.X:9201\",\n#     \"10.0.0.2\",\n#     \"10.0.0.3\",\n   ]\n\n   public_addr = \"worker-mainoffice.yourdomain.com\"\n\n   tags {\n     type   = [\"prod\", \"mainoffice\"]\n#     region = [\"ca-central-1\"]\n   }\n }\n\n# # must be same key as used on controller config# \n kms \"aead\" {\n     purpose = \"worker-auth\"\n     aead_type = \"aes-gcm\"\n     key = \"XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\"\n     key_id = \"global_worker-auth\"\n }<\/code><\/pre>
8. Si nous voulons nous assurer de ne pas avoir \u00e0 le relancer \u00e0 chaque red\u00e9marrage du serveur, il est possible de cr\u00e9er un service.<\/p>
sudo vi \/etc\/systemd\/system\/boundaryworker.service<\/code><\/pre>
9. Entrer les informations suivantes dans le fichier :<\/p>
[Unit]\nDescription=Boundary Worker\n\n[Service]\nType=simple\nUser=root\nExecStart=\/usr\/bin\/boundary server -config=\/etc\/boundary.d\/worker.hcl\nRestart=always\n\n[Install]\nWantedBy=multi-user.target<\/code><\/pre>
10. Ensuite il reste \u00e0 le d\u00e9marrer et \u00e0 l\u2019activer :<\/p>
sudo systemctl start boundaryworker\nsudo systemctl status boundaryworker\nsudo systemctl enable boundaryworker<\/code><\/pre>
11. Il reste maintenant \u00e0 vous assurez que le 9202 est rediriger vers votre Worker Boundary dans votre routeur<\/p>
12. Une fois que ce sera fait vous serez en mesure de l\u2019utiliser via le serveur principal de Boundary. Si vous retourner dans l\u2019interface web du serveur Boundary, vous devriez maintenant voir 2 workers s\u2019afficher dans la liste <\/p>
\"\"<\/figure>
<\/p>
13. Vous pouvez d\u00e9ployer autant de worker que vous avez besoin en fonction du nombre de r\u00e9seau interne que vous avez besoin de vous connecter. Si vous avez des serveurs avec diff\u00e9rents fournisseurs cloud ou plusieurs bureaux physiques dans lesquelles vous avez des serveurs \u00e0 g\u00e9rer, vous pouvez d\u00e9ployer un worker \u00e0 chacun de ces endroits et le connecter au contr\u00f4leur principal. <\/p>
\"\"<\/figure>
<\/p>
Installation de Vault<\/h2>
1. Si vous d\u00e9ployer Vault sur une instance qui a d\u00e9j\u00e0 Boundary d\u2019install\u00e9, vous pouvez simplement utiliser la commande suivante en SSH pour l\u2019installer :<\/p>
sudo apt install vault<\/code><\/pre>
    <\/ol>
    2. Si par contre vous pr\u00e9f\u00e9rez d\u00e9ployer Vault sur une instance s\u00e9par\u00e9e, vous pouvez d\u00e9ployer une instance Ubuntu 24.04 Server LTS en vous r\u00e9f\u00e9rant \u00e0 ce qui est recommand\u00e9 chez Hashicorp<\/a>. Par la suite vous aurez simplement \u00e0 suivre les \u00e9tapes suivantes pour l\u2019installer : <\/p>
    wget -O- https:\/\/apt.releases.hashicorp.com\/gpg | sudo gpg --dearmor -o \/usr\/share\/keyrings\/hashicorp-archive-keyring.gpg\necho \"deb [signed-by=\/usr\/share\/keyrings\/hashicorp-archive-keyring.gpg] https:\/\/apt.releases.hashicorp.com $(lsb_release -cs) main\" | sudo tee \/etc\/apt\/sources.list.d\/hashicorp.list\nsudo apt update && sudo apt install vault<\/code><\/pre>
    3. Nous allons par la suite modifier le fichier de configuration de Vault. Vault permet de conserver les informations de diff\u00e9rentes fa\u00e7on, dans l\u2019exemple suivant nous allons simplement les conserver dans des fichiers textes sur le disque. Si vous pensez d\u00e9ployer Vault en production il serait judicieux de penser utiliser une autre m\u00e9thode plus s\u00e9curitaire.   <\/p>
    sudo vi \/etc\/vault.d\/vault.hcl<\/code><\/pre>
    4. Modifier les informations dans le fichier afin de refl\u00e9ter l\u2019emplacement de votre certificat SSL ainsi que le nom de votre domaine<\/p>
    ui = true\nstorage \"file\" {\n  path = \"\/opt\/vault\/data\"\n}\nlistener \"tcp\" {\n  address       = \"0.0.0.0:8200\"\n  tls_cert_file = \"\/etc\/letsencrypt\/live\/UrlOfYourServer.com\/fullchain.pem\"\n  tls_key_file  = \"\/etc\/letsencrypt\/live\/UrlOfYourServer.com\/privkey.pem\"\n}\napi_addr = \"https:\/\/UrlOfYourServer.com:8200\"<\/code><\/pre>
    5. Par la suite nous pouvons cr\u00e9er un service<\/p>
    sudo vi \/etc\/systemd\/system\/vault.service<\/code><\/pre>
    6. Ajouter les informations suivantes dans le fichier<\/p>
    [Unit]\nDescription=Vault\n \n[Service]\nType=simple\nUser=root\nExecStart=\/usr\/bin\/vault server -config=\/etc\/vault.d\/vault.hcl\nRestart=always\n \n[Install]\nWantedBy=multi-user.target<\/code><\/pre>
    7. D\u00e9marrer, valider qu\u2019il d\u00e9marre correctement et activer le service<\/p>
    sudo systemctl start vault
    sudo systemctl status vault
    sudo systemctl enable vault<\/code><\/pre>
    8. Vous pouvez maintenant vous connecter \u00e0 la page web via le port 8200 en utilisant le dns li\u00e9 au certificat SSL que vous avez utilis\u00e9.<\/p>
    9. Lors de la premi\u00e8re connexion, il faudra entrer quelques informations. Entrer le chiffre 5 dans la section \u201cKey shares\u201d, 3 dans la section \u201cKey threshold\u201d et t\u00e9l\u00e9charger le fichier JSON qui sera cr\u00e9\u00e9 une fois que vous allez appuyer sur \u201cInitialize\u201d. Pour d\u00e9bloquer Vault apr\u00e8s chaque red\u00e9marrage du service il faudra entrer 3 de ces 5 cl\u00e9s g\u00e9n\u00e9r\u00e9es.  <\/p>
    \"\"<\/figure>
    <\/p>
    10. Entrer le token root que vous avez re\u00e7u dans le fichier JSON pour vous connecter une fois que vous aurez mis 3 des 5 cl\u00e9s pour d\u00e9bloquer Vault.<\/p>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    <\/p>
    11. L\u2019installation de Vault est compl\u00e9t\u00e9.<\/p>
    Installation d\u2019une machine virtuelle Windows Serveur 2019<\/h2>
    Nous allons ici consid\u00e9rer que vous avez d\u00e9j\u00e0 un serveur physique sous Windows serveur 2019 ex\u00e9cutant le r\u00f4le Hyper-V. Ce serveur est configur\u00e9 \u00e0 l\u2019interne du r\u00e9seau de votre entreprise et a d\u00e9j\u00e0 au minimum une machine virtuelle Windows Serveur qui est configur\u00e9 comme contr\u00f4leur de domaine. <\/p>
    1. Cr\u00e9er une machine virtuelle ex\u00e9cutant Windows serveur 2019. Vous pourriez \u00e9galement utiliser Windows 11 ou toute autre version de Windows que vous avez \u00e0 votre disposition. <\/p>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    <\/p>
    2. Installer le syst\u00e8me d\u2019exploitation<\/p>
    \"\"<\/figure>
    \"\"<\/figure>
    <\/p>
    3. Assurez-vous de connecter la machine virtuelle \u00e0 votre domaine et d\u2019activer la connexion RDP<\/p>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    \"\"<\/figure>
    <\/p>
    4. La configuration de votre machine virtuelle est termin\u00e9e<\/p>
    Cr\u00e9ation d\u2019une instance Ubuntu serveur 24.04 LTS chez AWS<\/h2>
    1. D\u00e9ployer une instance Ubuntu Server 24.04 LTS chez AWS dans le m\u00eame subnet que celui de votre serveur Boundary ou dans un subnet que votre serveur Boundary est id\u00e9alement en mesure de se connecter via le r\u00e9seau interne d\u2019AWS et non via le r\u00e9seau public. Nous allons ici utiliser une instance t3a.medium mais si vous avez l\u2019intention de l\u2019utiliser comme serveur web ou autres, c\u2019est \u00e0 votre discr\u00e9tion d\u2019utiliser le type d\u2019instance qui vous convient. <\/p>
    \"\"<\/figure>
    \"\"<\/figure>
    <\/p>
    2. Assurez-vous d\u2019utiliser une r\u00e8gle de s\u00e9curit\u00e9 qui permet \u00e0 la fois \u00e0 votre poste de travail de se connecter en SSH \u00e0 cette instance et \u00e9galement \u00e0 l\u2019adresse IP interne de votre serveur Boundary.<\/p>
    3. Comme nous n’avons besoin que d’un acc\u00e8s SSH \u00e0 cette instance, la configuration est termin\u00e9e.<\/p>
      <\/ol>
        <\/ol>","protected":false},"excerpt":{"rendered":"
        Configuration du serveur pour une solution Zero Trust \u00c9tapes de la configuration des serveurs dans une solution de confiance z\u00e9ro Voici les \u00e9tapes permettant de configurer la solution Zero trust Serveur Boundary chez AWS 1. D\u00e9ployer une instance Ubuntu Server 24.04 LTS en vous r\u00e9f\u00e9rant \u00e0 ce qui est conseill\u00e9 chez Hashicorp. Dans l\u2019exemple suivant …<\/p>\n
          \u00c9tape de configuration des serveurs<\/span> Lire la suite >><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"disabled","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"","footnotes":""},"class_list":["post-18661","page","type-page","status-publish","hentry"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"woocommerce_thumbnail":false,"woocommerce_single":false,"woocommerce_gallery_thumbnail":false},"uagb_author_info":{"display_name":"Eleanor Fulton","author_link":"https:\/\/www.directimpactsolutions.com\/fr\/author\/eleanor-fulton\/"},"uagb_comment_info":0,"uagb_excerpt":"Configuration du serveur pour une solution Zero Trust \u00c9tapes de la configuration des serveurs dans une solution de confiance z\u00e9ro Voici les \u00e9tapes permettant de configurer la solution Zero trust Serveur Boundary chez AWS 1. D\u00e9ployer une instance Ubuntu Server 24.04 LTS en vous r\u00e9f\u00e9rant \u00e0 ce qui est conseill\u00e9 chez Hashicorp. Dans l\u2019exemple suivant\u2026","_links":{"self":[{"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/pages\/18661","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/comments?post=18661"}],"version-history":[{"count":1,"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/pages\/18661\/revisions"}],"predecessor-version":[{"id":18662,"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/pages\/18661\/revisions\/18662"}],"wp:attachment":[{"href":"https:\/\/www.directimpactsolutions.com\/fr\/wp-json\/wp\/v2\/media?parent=18661"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}