Quel est l’environnement technologique du progiciel ?

Le progiciel repose sur une architecture client / serveur full web.

Voici les informations pour dimensionner la configuration matérielle du serveur hébergeant le progiciel AGATT :

  • Virtualisation du serveur avec le logiciel VMWARE ou HYPERV
  • Espace disque : 100 GB ou plus (250 GB recommandés)
  • RAM : 8 GB ou plus
  • 8 vCPUs, 4 vCPUs si le nombre d’utilisateurs est restreint
  • OS : distribution Linux type DEBIAN v12+ (Compatible Ubuntu Linux)
  • Chaque serveur hébergera fichiers + base de données
  • Apache 2.4+
  • PHP 8.2 en mode Fast Process Manager (php-fpm)
  • Maria DB 10.11+

NB : Pretexx recommande de ne pas partitionner le disque. Si le disque est partitionné, la partition racine / doit avoir une taille au moins égale à 50GB, si /var est mis sur une partition séparée, sa taille doit être aussi supérieure à 50GB, si /home est sur une partition séparée, sa taille doit être supérieure à 50Go.

Nous recommandons d’utiliser deux environnements :

  • 1 serveur de test/formation
  • 1 serveur de production.
    Ces deux environnements peuvent être hébergés sur le même serveur
    ou sur deux serveurs distincts.

Exemple d’environnement de production du SDIS 89 :

  • CPU : 4 vCPU Intel(R) Xeon(R) Gold 6142 CPU @ 2.60GHz
  • Mémoire : 8 GB
  • HDD : 250 GB (sans partition)
  • OS : Debian 11

Exemple d’environnement de production du SDIS 22 :

  • 4vCPU VMWare Intel(R) Xeon(R) CPU E5-2667 v4 @ 3.20GHz
  • Mémoire : 4 GB
  • HDD : 100 GB (sans partition)
  • OS : Debian 10

NB : Dans certains départements avec un nombre important d’utilisateurs, le besoin de puissance de traitement de certaines tâches en base de données et la concomitance des accès en journée nécessitent 8cpu pour maintenir le confort des utilisateurs dans les interfaces interactives du progiciel.

Choix techniques pour l’installation et le paramétrage initial du serveur AGATT

Préalablement à l’installation et au paramétrage du serveur AGATT, une réunion technique détermine les points suivants avec le SDIS.
Après ce rendez-vous le SDIS communique à Pretexx un document récapitulatif de tous les paramètres nécessaires au paramétrage du serveur et de l’application AGATT.

Mode de connexion à l’application AGATT
Un choix est fait sur le type de connexion utilisée : LDAP, natif AGATT ou SSO.
Pour les modes LDAP et SSO, le SDIS fournit les paramètres de connexion utiles aux services d’authentification (URI, ports, versions utilisées, compte d’accès et comptes de test).

Pour LDAP, le SDIS fournira un compte de service permettant la consultation de l’annuaire pour l’identification des comptes agents ainsi qu’un deuxième compte de test, de type agent, pour les essais de connexion post-installation par Pretexx.
Lors d’une réunion de cadrage technique préalable, Pretexx indiquera précisément au SDIS les paramètres de configuration attendus.

Relais SMTP
Le serveur applicatif AGATT nécessite un relai SMTP interne au SDIS qui autorise le relais de messages email pour le serveur applicatif. Ce service relai SMTP doit permettre la distribution des notifications aux agent ainsi que l’envoi de notifications de supervision vers les adresses email du SDIS et vers les adresses *@pretexx.fr.

Les paramètres SMTP sont transmis à Pretexx avec une configuration testée opérationnelle (ip du serveur AGATT autorisée ou authentification à fournir ou paramétrage spécifique à utiliser [adresse expéditeur]...).

Accès Pretexx
Les modalités d’accès pour les interventions Pretexx depuis l’Internet sont précisées (moyens techniques à utiliser et procédure) :
- accès ssh direct depuis ips Pretexx (redirection de port)
- vpn compatible poste client Linux

NB : L’équipe Pretexx utilise un environnement de poste utilisateur Linux et dispose d’ipv4 sources fixes pour le filtrage d’accès.
Les connexions ssh Pretexx sortantes sont sécurisées par un bastion ssh.

Sauvegardes
Le SDIS établit un ou des mécanismes de sauvegardes du serveur applicatif et indique le cadencement envisagé pour la sauvegarde locale des bases et la sauvegarde distante optionnelle. Dans ce dernier cas, le type de dépôt pour la sauvegarde externe optionnelle est indiqué avec les paramètres nécessaires à la connexion au dépôt de fichiers (ftp, scp...).

URL d’accès et nommage
Le SDIS aura réfléchi en amont de l’installation aux nommages qui permettront l’accès au serveur (nom interne du serveur) et aux applicatifs AGATT de production et de test.

Mêmes consignes pour l’environnement de test, le SDIS aura pensé au nommage pour l’accès depuis l’extérieur, qui peut éventuellement être différent.

Architecture réseau

Le SDIS détermine ensuite :
- si le serveur AGATT applicatif est installé ou non en interne (LAN du SDIS),
- si le serveur AGATT est installé ou non en DMZ.

Le SDIS indiquera si les accès des utilisateurs, tant pour les connexions internes que pour les éventuelles connexions externes, s’effectuent via un proxy ou un reverse proxy.

Publication de l’application AGATT sur Internet
L’architecture envisagée pour la publication du service AGATT sur l’extérieur peut être de type :
- “redirection one2one” (ip dédiée) ou “redirection de port”, mise en œuvre par le SDIS ou par un prestataire externe,
- un reverse-proxy installé et maintenu par Pretexx (option commerciale non comprise dans le marché).

Le service est obligatoirement sécurisé avec TLS (chiffrement).

Règles de filtrage et de routage
Ces règles doivent être mises en place sur des firewalls et autres équipements actifs intermédiaires au sein du SDIS pour permettre les liens des divers protocoles : SMTP, HTTP, HTTPS, SSH...

Le serveur AGATT doit notamment être en capacité :
- d’avoir un accès http+https+ftp vers l’extérieur pour les mises à jour et installations de logiciels,
- de communiquer avec les serveurs centraux Pretexx (ip fournies),
- de disposer d’un service de résolution DNS local (ou distant),
- de disposer d’un serveur de synchronisation en temps NTP (local ou distant),
- de disposer d’un service de relai SMTP (local ou distant),
- de joindre le service d’annuaire LDAP ou SSO (le cas échéant),
- de pousser des sauvegardes vers un dépôt du SDIS (le cas échéant).

Interfaces entrantes
Des fichiers sources CSV contenant les données à intégrer dans AGATT sont déposés sur le serveur AGATT par le protocole scp.
Les fichiers déposés pour les interfaces AGATT doivent avoir des droits adaptés pour que php puisse les supprimer (utilisation par exemple d’un pool php-fpm avec un utilisateur applicatif dédié).
Les processus traitant ces données remontent par email des notifications d’exécution ou d’erreur. Une adresse email vers des destinataires du SDIS doit être fournie pour recevoir ces notifications technico-fonctionnelles.

Sécurisation TLS/SSL
Pretexx préconise la sécurisation des accès http sur le serveur AGATT, y compris pour les connexions internes. Pour cela, un certificat TLS/X509 peut être installé sur le serveur Apache du serveur AGATT en plus du certificat TLS/X509 éventuellement installé sur un reverse proxy lorsque la publication sur Internet s’effectue par ce moyen. Le SDIS fournira alors un certificat TLS/X509 valide signé par une autorité publique ou une PKI interne.

Le SDIS fournira un pfx (pkcs12) complet contenant clef privée, certificat du SDIS et les certificats intermédiaires. Alternativement l’ensemble des éléments de certifications peuvent être transmis au format PEM.
Il est nécessaire de fournir tous les éléments de certificat :

  • la clef privée,
  • le certificat,
  • la chaîne de certification complète intermédiaire.

Synchronisation en temps NTP
Le serveur AGATT devra pouvoir se synchroniser en temps avec un serveur de temps local ou distant. Le SDIS indiquera les coordonnées du serveur à utiliser.

Adresses email

Le seveur AGATT envoie 4 types d’email vers ces destinataires :
- aux agents du sdis utilisateur agatt (adresses habituelles connues des agents)
- à un groupe d’administrateur fonctinnels (eg. agatt.fonctionnel@sdisXX.fr)
- à un groupe d’administrateurs techniques (eg. agatt.technique@sdisXX.fr)
- à une adresses de supervision du sdis (eg. supervision@sdisXX.fr)

Ces emails seront envoyés avec différentes adresses expéditeur :
- application de production (eg. agatt@sdisXX.fr)
- application de test/formation (eg. agatt-test@sdisXX.fr)
- système serveur, comptes administrateur et maintenance : (eg. srv-agatt@sdisXX.fr)

Avant le déploiement des configurations, il est nécessaire d’identifier ces adresses email destinataires et expéditeur qui seront utilisées par le serveur AGATT et prévoir leur configurations dans le SI du SDIS.