PROJET DE SYNTHÈSE V 2.5 TSGERI AFPA MARSEILLE ST-JEROME AUTHENTIFICATION

Dimension: px
Commencer à balayer dès la page:

Download "PROJET DE SYNTHÈSE V 2.5 TSGERI AFPA MARSEILLE ST-JEROME AUTHENTIFICATION"

Transcription

1 TSGERI AFPA MARSEILLE ST-JEROME AUTHENTIFICATION

2 ÉMETTEUR Auteur Objet du document Destinataires Chérif SADI ETUDE DE SYNTHESE Oscar LOGGER MISE A JOUR DU DOCUME NT Version Auteur Description de la modification Date 1.0 Chérif SADI CREATION 05/09/ Chérif SADI MODIFICATION 12/09/ Chérif SADI MODIFICATION 15/09/ Chérif SADI MODIFICATION 26/09/ Chérif SADI MODIFICATION 03/10/ Chérif SADI MODIFICATION 18/10/ Chérif SADI MODIFICATION 09/11/ Chérif SADI MODIFICATION 28/11/11 RESUME Analyse du marché et descriptif des technologies et des différentes méthodes et techniques d authentification. OBJECTIF DU DOCUMENT Description d un mécanisme d authentification via une plateforme de test. DOCUMENT DE REFERENCE Ce document est une compilation des différentes informations disponibles sur le Web dont les sources sont mentionnées dans la bibliographie et les travaux cités en fin de ce document. 2/49

3 PREAMBULE Le projet de synthèse est ainsi l occasion de mettre en œuvre les connaissances acquises antérieurement pour mettre en œuvre par simulation un ensemble ou sous-ensemble d un système. Ce projet a été réalisé dans le cadre d une synthèse de «L authentification» qui a pour but la finalisation de la certification TSGERI. Je tiens à remercier dans un premier temps, toute l équipe pédagogique de L AFPA de Marseille St- Jérôme et les intervenants professionnels qui sont responsables de la formation TSGERI, pour avoir assuré la partie théorique de celle-ci. Je tiens également à remercier Monsieur Oscar LOGGER, en qualité de formateur principal pour l aide et pour m avoir donné le cap et les conseils concernant les missions évoquées dans ce rapport, qu il m a apporté lors des différents suivis tout au long de ma certification professionnelle. 3/49

4 SOMMAIRE 1. L authentification La définition et les facteurs L authentification forte L authentification unique Les mécanismes Les mots de passe statiques Les mots de passe à usage unique La cryptographie à clé publique Le jeton de contrôle Les failles et attaques liée à l authentification Faiblesses du login/mot de passe Le Sniffing Ip Spoofing Le déni de service (DDoS) L'attaque Man-In-The-Middle Les protocoles AAA SSL/TLS X PAP CHAP MS-CHAP EAP EAP-TTLS / PEAP EAP-TLS EAP-MD LEAP Etude de l'existant Les solutions existante du marché La technologie biométrique La carte à puce Digipass La carte à puce audio La technologie RSA SecurID Les serveurs d application RADIUS DIAMETER TACACS KERBEROS Les services d annuaires NIS NIS DNS LDAP ACTIVE DIRECTORY Description du besoin Remote Authentication Dial-In User /49

5 Principe de fonctionnement Lightweight Directory Access Protocol Principe de fonctionnement Mise en place du projet Pré-requis Installation des services Installation du service d annuaire Installation du service radius Installation du service samba Installation de phpldapadmin Installation des librairies ldap Configuration des fichiers Schéma samba et radius Smb.conf Mot passe LDAP vers SAMBA Smbldap-tools Smbldap_bind.conf Smbldap.conf Peupler son arbre Test du serveur radius Clients.conf Modules/ldap Site-enabled/default Site-enabled/inter-tunnel Redémarrage des services L analyse des étapes d authentification Test de l utilisateur par défaut dans la base radius Test d un utilisateur dans l annuaire ldap Access-Accept Analyse de l acceptation Access-Reject Analyse du refus Conclusion Bibliographie Travaux cités Annexes Terminologie Acronymes Glossaire Définitions ILLUSTRATIONS Figure 1 : Protocole CHAP Figure 2 : Protocole LEAP Figure 4 : Architecture globale du serveur radius Figure 5 : Protocole du serveur radius Figure 6 : Historique X.500 et LDAP Figure 7 : Exemple d'organisation de type «information tree» /49

6 INTRODUCTION La sécurisation des systèmes d'information est une tâche dont la complexité ne cesse de croître, car tout cela est due à l'augmentation du nombre d'applications et a la mondialisation qui nous impose le besoin d'ouverture vers l'extérieur. L'authentification des utilisateurs est a l heure actuelle une nécessité, qu'ils accèdent depuis l'intérieur ou l'extérieur de leur entreprise. Dans le premier chapitre, nous citerons d'abord les techniques et méthodes d'authentification existantes. Puis dans le deuxième chapitre, nous détaillerons le mode de fonctionnement d un service d authentification et d annuaire qui seront nécessaire pour le développement du projet. Dans le troisième chapitre, nous détaillerons la mise en place, les phases de test et les critiques du mécanisme d authentification qui sera mis en place. 6/49

7 1. L AUTHENTIFICATION Elle est l'un des services fondamentaux dans le domaine de la sécurité informatique. C'est un processus critique sur un réseau, car l accès aux ressources est basé sur l identification La définition et les facteurs L'authentification est la procédure qui consiste à vérifier l'identité d'une personne ou d un équipement. Les facteurs d authentification sont multiples : Ce que l on est (empreints digitaux, la biométrie) Ce que l on possède (carte à puce) Ce que l on sait (mot de passe, login) Ce que l on sait faire (signature manuscrite) 1.2. L authentification forte Une procédure d'identification qui requiert l utilisation de deux facteurs d'authentification L authentification unique Une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (Web, mail, etc.) Les mécanismes La fiabilité des mécanismes d authentification dépend de la technologie qu on utilise. Ce sous chapitre décrit les principales techniques utilisées : L e s m o t s d e p a s s e s t a t i q u e s L authentification par mot de passe classique est le mécanisme le plus utilise à l heure actuelle. Elle par une procédure de connexion durant laquelle on fournit son login-mot de passe. Le noyau récupère ces informations et regarde dans sa base de donnes si la personne est bien enregistrée et si le mot de passe qui a été tapé est valide. S il est correct, l authentification est réussie et l accès au système est valide L e s m o t s d e p a s s e à u s a g e u n i q u e Un mot de passe n'est valable une seule fois. Ils permettent de combler certaines lacunes de sécurité associées aux mots de passe classique. Car si un intrus potentiel parvient à enregistrer un mot de passe qui était déjà utilisé pour se connecter à un service ou pour effectuer une opération, il ne sera pas en mesure de l'utiliser car il ne sera plus valide. En revanche, ils ne peuvent pas être mémorisés par les êtres humains, par conséquent, ils nécessitent des technologies complémentaires afin de s'en servir. 7/49

8 L a c r y p t o g r a p h i e à c l é p u b l i q u e La cryptographie à clé publique fait intervenir deux sortes de clés, une clé publique publiée sur le réseau et une clé privée secrète. La clé privée sert pour le décryptage des données ainsi que pour le cryptage de quelques données afin de vérifier l intégrité. La clé publique sert pour le cryptage des données et pour la vérification de la signature. Les deux clés sont reliées par une équation mathématique (algorithme) complexe L e j e t o n d e c o n t r ô l e Les techniques par jeton de contrôle ou token sont des systèmes d authentification forte qui nécessitent généralement l emploi d une carte spéciale appelée smart-card ou token-card, bien que certains systèmes existent sous forme logicielle pour réduire le coût de déploiement. Il y a deux techniques de vérification connue: La challenge-réponse et la synchronisation Les failles et attaques liée à l authentification Dans cette partie, nous nous intéresserons aux faiblesses l'authentification par login-mdp classique. Ensuite, une présentation de quelques attaques utilisant ces failles F a i b l e s s e s d u l o g i n / m o t d e p a s s e L authentification par login/mot de passe est devenue obsolète pour plusieurs raisons : Le disque dur où il est stocké peut faire l'objet d'attaques et nombreux sont les moyens de retrouver les mots de passe stockés celui-ci est accessible. Un mot de passe choisi par l'utilisateur est souvent simple à retenir. Il peut donc être attaqué par un dictionnaire. Il est possible d'intercepter un mot de passe au moment où l'utilisateur le tape sur son clavier. Souvent les mots de passe sont transférés en clair sur le réseau. Un mot de passe a une durée de vie généralement longue (plusieurs semaines au minimum). Même si le mot de passe est correctement choisi pour être dur à trouver, il reste attaquable par la méthode de force brute. Il existe un grand nombre d attaques qui utilisent les failles au moment de l'authentification et qui permettent à une personne le pouvoir usurper l identité et de détourner des ressources, de les falsifier ou de les supprimer. Certaines requièrent plus de compétences que d autres L e S n i f f i n g Le renifleur ou l analyseur de protocole est un logiciel qui peut lire au passage les données transitant par le biais d'un réseau local non-switch(é). Il permet une consultation aisée des données non-chiffrées et peut ainsi servir à intercepter des mots de passe qui transitent en clair ou toute autre information non-chiffrée. 8/49

9 Ip S p o o f i n g L'usurpation d'adresse IP est une technique utilisée en informatique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet. Le but peut être de masquer sa propre identité lors d'une attaque d'un serveur, ou d'usurper en quelque sorte l'identité d'un autre équipement du réseau pour bénéficier des services auquel il a accès L e d é n i d e s e r v i c e ( D D o S ) Une attaque par déni de service est une attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de : L inondation d un réseau afin d'empêcher son fonctionnement. La perturbation des connexions entre deux machines, empêchant l'accès à un service particulier. L obstruction d'accès à un service à une personne en particulier. L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet L ' a t t a q u e M a n - In- T h e - M i d d l e L'attaque de l'homme du milieu est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. L'attaque «homme du milieu» est particulièrement applicable dans le protocole original d'échange de clés Diffie-Hellman, quand il est utilisé sans authentification Les protocoles Les mécanismes d authentification décrits dans cette partie ont tout d abord été des protocoles de couche de la liaison de données puisqu ils ont été initialement utilisés par le protocole PPP qui permet l ouverture de session sur le réseau RTC. Ils sont également utilisés dans la couche réseau grâce aux évolutions de PPP : PPPoA (over ATM) et PPPoE (over Ethernet) qui sont principalement utilisés pour ouvrir des connexions ADSL. Cependant, ces mécanismes sont les briques de nombreux serveurs et applications d authentification comme Radius AAA AAA correspond à un protocole qui réalise trois fonctions : l'authentification, l'autorisation, et la traçabilité (en Anglais : Authentication, Autorisation, Accounting). 9/49

10 Il correspond a un modèle de sécurité implémenté dans certains routeurs Cisco mais que l'on peut également utiliser sur toute machine qui peut servir de NAS (Network Authentification System).Ils requièrent une identification d'une personne ou d un équipement avant d accorder des droits d accès S S L / T L S Transport Layer Security, anciennement nommé Secure Sockets Layer, est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape. Il a été renommé en Transport Layer Security par l'ietf suite au rachat du brevet de Netscape par l'ietf en X 802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par l'ieee. Il permet de contrôler l'accès aux équipements d'infrastructures réseau (et par ce biais, de relayer les informations liées aux dispositifs d'identification) PA P Password Authentication Protocol est un protocole d'authentification pour PPP. Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquent non sécurisé. L avantage de PAP est qu'il est extrêmement simple à implémenter, lui permettant d'être utilisé dans des systèmes embarqués très légers. Sur des systèmes de taille raisonnable on préférera sans doute le protocole CHAP C H A P Challenge Handshake Authentication Protocol est un protocole d'authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. L'objectif de CHAP est que le pair s'authentifie auprès d'un authentificateur sans échange de mot de passe en clair sur le réseau et sans que l'échange puisse être rejoué par un tiers à l'écoute. La contrainte est que chaque partie partage un «secret» (mot de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette contrainte. Figure 1 : Protocole CHAP 10/49

11 MS- C H A P MS-CHAP est la version Microsoft du protocole. Ce protocole existe en deux versions : MS-CHAPv1 et MS- CHAPv E A P Extensible Authentication Protocol est un mécanisme d'identification universel, fréquemment utilisé dans les réseaux sans fil (ex : Wifi) et les liaisons point à point (PPP) E A P - T T L S / P E A P EAP-Tunneled Transport Layer Security, a été Co-développé par Funk Software et par certicom. C est également un standard ouvert IETF. Il est supporté sur de nombreuses plates-formes, et offre un très bon niveau de sécurité. Il utilise des certificats X-509 uniquement sur le serveur d'identification. Le certificat est optionnel du côté client. Le défaut de EAP-TTLS par rapport à PEAP est de ne pas être présent nativement sur les systèmes Microsoft et Cisco. En revanche, il est légèrement plus sécurisé que LEAP car il ne diffuse pas le nom de l'utilisateur en clair E A P - T L S EAP-TLS est un Standard ouvert IETF. On le retrouve implanté chez de nombreux fabricants de matériel sans fil. C est le seul protocole EAP qui doit obligatoirement être implanté sur un matériel pour pouvoir porter le logo WPA ou WPA2.Il offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le certificat client. Bien que le protocole EAP-TLS fournisse une excellente sécurité, l'obligation de disposer d'un certificat client est peut-être son talon d'achille. En effet, lorsque l'on dispose d'un grand parc de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés. TLS est considéré comme le successeur du standard SSL. Il utilise une Infrastructure à clés publiques pour sécuriser les communications d'identification entre les clients et le serveur radius E A P - M D 5 EAP-MD5 est un autre standard ouvert IETF, mais il offre un niveau de sécurité faible. 11/49

12 La fonction de hachage MD5 utilisée est vulnérable aux attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques L E A P Lightweight Extensible Authentication Protocol est une implémentation propriétaire du protocole EAP conçu par Cisco Systems. La société a fait beaucoup d'efforts pour promouvoir ce protocole. Il a permis à d'autres fabricants de réaliser des produits «LEAP Compatible» au travers du programme CCE (Cisco Certified Extensions). Ce protocole n'est pas présent nativement sous Windows. Figure 2 : Protocole LEAP Il était connu pour être vulnérable aux attaques par dictionnaire comme EAP-MD5. Mais il ne l'est plus depuis la version ASLEAP (2003) de Joshua Wright. Cisco continue de soutenir que LEAP est une solution sécurisée si l'on utilise des mots de passe suffisamment complexes. Mais tout le monde sait bien que dans la réalité les mots de passe complexes sont rarement utilisés. De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas ce type de fragilité car ils créent un tunnel TLS pour sécuriser l'identification. De plus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur des points d'accès de marque Cisco ou non. 12/49

13 2. ETUDE DE L'EXISTANT 2.1. Les solutions existante du marché L a t e c h n o l o g i e b i o m é t r i q u e Elle est la science qui permet d'identifier de manière automatique une personne en se basant sur ses caractéristiques physiologiques ou comportementales. En effet, chaque personne est unique de ce fait, chacun possède sa propre caractéristique biométrique, et elle rend cette technologie assez stable. Généralement, on distingue deux catégories de méthodes d'authentification biométrique, les méthodes basées sur les caractéristiques physiques telles que le visage, la voix et ADN, et celles basées sur les caractéristiques comportementales comme la signature, la manière de marcher ou de taper sur un clavier L a c a r t e à p u c e D i g i p a s s Le Digipass est un produit de sécurité de VASCO Data Security International, fournissant une authentification forte des utilisateurs et des signatures numériques via des jetons de sécurité réalisées par les utilisateurs de petites ou de logiciels sur les téléphones mobiles, appareils portables ou des PC. Il est compatible avec plus de 50 fournisseurs internationaux pour une variété de e-commerce, e-banking, e-réseautage et applications e- gouvernement. Elle utilise le serveur temps et l authentification à deux facteurs et peut être utilisé pour signer des transactions électroniques. Il a été inventé en 1989 par un belge Mr Dominique COLARD L a c a r t e à p u c e a u d i o La société Audio Smart Card développe une offre matérielle et logicielle permettant de répondre efficacement à tous les besoins d'authentification distants sur l'ordinateur et le téléphone. Elle propose une carte à puce audio s appliquant aussi bien à l économie, à l e banking, au call center, au transport, à la santé, aux ressources humaines, aux services télécom, etc. Basée sur le principe du mot de passe dynamique car elle utilise comme support d authentification une carte à puce audio qui fonctionne en liaison avec le serveur d authentification Secure Sound Pro Server L a t e c h n o l o g i e R S A S e c u r I D SecurID est un système de token, ou authentifieur, produit par la société RSA Security et destiné à proposer une authentification forte à son utilisateur. La majorité des tokens SecurID affichent un code à 6 chiffres changeant généralement toutes les minutes. L'utilisateur ajoute un Pin Code PIN personnel au TokenCode lu sur l'authentifieur SecurID. Le tout est appelé un PassCode (soit PassCode = PIN Code + TokenCode). Par ailleurs, le Token expire au bout d'un certain temps (3 à 5 ans selon les modèles).ce système de Token, de type OTP, est utilisé pour les applications Web (par exemple le ebanking) et les technologies de type VPN (IPSEC, SSL), SSH, Citrix. 13/49

14 2.2. Les serveurs d application Voici une présentation des principaux serveurs : R A D I U S Remote Authentication Dial-In User Service est un protocole de type client-serveur qui a pour rôle d authentifier les requêtes qui lui parviennent d un poste client. Il existe plusieurs solutions de serveur radius qu elles soient commerciales ou open source : ACS (Cisco sous Windows). Aegis (sous Linux). IAS (sous Windows). Open Radius (Open source). Free Radius (Open source, BSD, Windows) D I A M E T E R Diameter est un protocole d'authentification, il est successeur du protocole radius T A C A C S Terminal Access Controller Access-Control System (TACACS) est un protocole d'authentification distante utilisé pour communiquer avec un serveur d'authentification, généralement utilisé dans des réseaux Unix. TACACS permet à un serveur d'accès distant de communiquer avec un serveur d'authentification dans l'objectif de déterminer si l'utilisateur a le droit d'accéder au réseau K E R B E R O S Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbère, gardien des Enfers (Κέρϐερος). Kerberos a d'abord été mis en œuvre sur des systèmes Unix Les services d annuaires Un annuaire va permettre de centraliser les données des utilisateurs et des services afin de rendre plus simple l administration. Un annuaire peut être associé à un système de stockage de données permettant de rendre accessible un ensemble d'informations à tous les utilisateurs de ce système. Voici un exemple: Carnet d'adresses. 14/49

15 Annuaire téléphonique. Serveur DNS... Sur un système informatique, les données ne sont pas organisées de manière relationnelle comme sur les SGBD classiques (MySQL, PgSQL, SQL Server,...) mais de manière hiérarchique. Si on souhaite faire une comparaison entre les services d'annuaire et les SGBD classiques, on peut établir que : La consultation des données est plus rapide pour l'annuaire par rapport aux SGBD classiques. La duplication des données est facilitée. Le stockage des données peut être réalisé dans un plus faible espace. Les avantages des services d'annuaire sont leur rapidité pour accéder aux informations, les mécanismes de sécurité pouvant être mis en œuvre, la centralisation des informations et les possibilités de redondance de l'information. Voici une présentation des principaux serveurs : N I S Network Information Service (NIS) nommé aussi Yellow Pages est un protocole client-serveur développé par Sun permettant la centralisation d'informations sur un réseau UNIX N I S + Il est l évolution de NIS plus sécurisée et mieux adaptée aux gros réseaux, il est développé par Sun D N S Domain Name System est un service permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine. À la demande de Jon Postel, Paul Mockapetris inventa le «DNS» en 1983 et en écrivit la première implémentation L D A P Lightweight Directory Access Protocol est à l'origine un protocole permettant l'interrogation et la modification des services d'annuaire A C T I V E D I R E C T O R Y Active Directory est la mise en œuvre par Microsoft des services d'annuaire pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. 15/49

16 3. DESCRIPTION DU BESOIN Pour les besoins de notre étude, nous avons de décider de mettre en place un banc de test pour une analyse détailler un mécanisme d authentification. Mais avant toute chose, nous allons expliquer le principe de fonctionnement des solutions que nous allons utiliser Remote Authentication Dial -In User P r i n c i p e d e f o n c t i o n n e m e n t C est un protocole d authentification standard Client/serveur qui permet de centraliser les données d authentification : Les politiques d autorisation et de droits d accès, traçabilité. Ce processus doit être relié à une source d informations, qui est souvent un annuaire LDAP. Auparavant, les noms et les mots de passe des utilisateurs devaient être dupliqués sur chaque serveur pouvant être accédé à distance (par un modem RTC par exemple). L arrivé de ce serveur a permit aux F.A.I d authentifier les utilisateurs distants connectés, à partir d une seule base utilisateurs. Ce protocole avait particulièrement un sens avant l ADSL illimité, car il permettait de mesurer le temps précis de connexion des abonnés et facturer en conséquence. L identification sur les sites Web peut aussi être gérée par RADIUS. Apache est sans doute le client RADIUS le plus répandu (le module «mod_auth_radius» permet à un serveur Apache de valider une authentification en interrogeant un serveur Radius). Aujourd hui, ce protocole est aussi souvent utilisé pour les connexions à Internet sans fil (WLAN - avec le protocole 802.1X qui assure l'identification par port pour l'accès à un réseau). Figure 3 : Architecture globale du serveur radius On le retrouve aussi bien au sein de la téléphonie sur IP comme outil de gestion des connexions, autour du protocole SIP notamment. Dans ce cas, l'annuaire SIP chargé de l'authentification communique avec le serveur Radius en utilisant ce protocole. Son fonctionnement est simple : 16/49

17 Figure 4 : Protocole du serveur radius L utilisateur (le supplicant) se connecte (via PPP ou Telnet) à un client (Network Access Server), qui est en général une passerelle/proxy. Le client demande à l utilisateur son nom et son mot de passe, et il les communique de manière sécurisée à un serveur RADIUS relié à une base de données ou à un annuaire LDAP. En fonction de la zone d accès demandée et des droits de l utilisateur, le serveur peut exiger des informations supplémentaires pour l authentification. La réponse CHALLENGE permet d éviter de transmettre le mot de passe. Le client envoie alors une autre requête répondant au Challenge pour s'authentifier. Si l identification réussie, le serveur répond par un ACCEPT (REJECT dans le cas contraire). Le serveur envoie enfin les autorisations de l utilisateur. Il pourra par la suite bloquer une connexion en cours et assurer une journalisation des accès. Les limitations du protocole : Il a été conçu au départ pour des identifications sur des liaisons lentes et peu sûres. Le choix du protocole UDP (port 1812) conduit à des échanges laborieux basés sur des temporisations de réémission et des échanges d accusé de réception. Sécurité relative reposant sur le secret partagé. Certaines implémentations clientes limitent en plus sa taille. Chiffrement de l attribut User-Password par une fonction de hachage MD5, plutôt réservé pour des opérations de signature. Le rejeu des réponses du serveur est possible. Pas de mécanisme d'identification du serveur. Il est ainsi possible de se faire passer pour un serveur et de récolter les noms et mots de passe des utilisateurs. 17/49

18 Les normes qui complètent le protocole RADIUS sont les protocoles d authentification PAP, CHAP ou EAP Lightweight Directory Access Protocol P r i n c i p e d e f o n c t i o n n e m e n t Il est actuellement en version 3 et il est normalisé par l IETF. Il s agit d un protocole d interrogation d annuaire. On dit qu il est allégé, par comparaison à la norme X500, son ancêtre, dont la mise en œuvre était très lourde. Figure 5 : Historique X.500 et LDAP LDAP au cœur du système d information car Il regroupe les données d une entité au même endroit. On dit que c est un annuaire fédérateur. C est un standard incontournable par ce que la plupart des applications récentes s appuient dessus : les outils de messageries, les actifs du réseau (proxy, firewall ), les progiciels de gestion, les réseaux intranets, etc. Une majorité de logiciel utilisent LDAP pour l authentification. Figure 6 : Exemple d'organisation de type «information tree» 18/49

19 LDAP est une base donnée hiérarchique et non pas relationnelle comme les SGBD. On peut ainsi représenter son contenu sous forme d arbre. L annuaire est conçu pour référencer toutes sortes d informations : Informations sur des personnes, sur des applications, sur un parc informatique Le concept de l annuaire, c est de maintenir de façon cohérente et contrôlée une grande quantité de données et d optimiser la consultation en lecture au dépend de l écriture. Les accès concurrents sont gérés et la quantité de donnée pouvant être stockée est quasi illimité. La contrepartie est que les mises doivent être ponctuelles et les enregistrements peu volumineux : On utilise des chaînes de caractère courtes et on limite le nombre de fichiers binaires (certificats, photos ). LDAP propose donc des mécanismes pour gérer l authentification. Plusieurs méthodes sont possibles en fonction du niveau de sécurité désiré : La connexion anonyme est généralement limitée à la consultation de parties restreintes de l annuaire. L authentification par login/mot de passe. L authentification par login/mot de passe avec hachage de ce dernier. L authentification par login/mot de passe avec un tunnel TLS entre le client et l application et entre l application et l annuaire. L authentification par certificat X509. Authentification plus élaborée grâces aux API SASL (Simple Authentification and Security Layer). Cette API permet d intégrer facilement des mécanismes d authentification forte comme Kerberos, Radius, ou des systèmes de mot de passe à usage unique comme OTP. Il est aussi possible de sécuriser les échanges entre l annuaire LDAP et les clients par LDAP sur TLS ou LDAPS. Le principal avantage du serveur est la normalisation de l'authentification. Il est très facile de programmer un module d'authentification reposant sur le serveur à partir d'un langage possédant une API de type LDAP. C'est l'opération Bind qui permet d'authentifier un utilisateur. Aujourd hui, de plus en plus d'applications Web possèdent un module d'authentification prenant en charge le protocole LDAP. Les applications peuvent ainsi déléguer l étape d authentification à l annuaire LDAP qui met en œuvre l une des méthodes précédentes. Par exemple sur les systèmes GNU/Linux récents, les fichiers Password et shadow sont de plus en plus remplacés par des appels à LDAP. Les données peuvent être accédées par le module PAM. PAM est un mécanisme qui permet justement de déléguer les fonctionnalités d authentification, sans rien recompiler. Il peut être paramétré en fonction de l application (base de compte NTLM pour les anciennes versions de Windows, base de compte Unix ou autre) et en fonction du mode d accès à l application (Intranet, Extranet, Web). Le module de connexion de PAM fournit l interface avec les annuaires (ou les fichiers). C est cette couche qui validera que l identifiant et le mot de passe sont valides et retournera une réponse aux applications. 19/49

20 4. MISE EN PLACE DU PROJ ET 4.1. Pré-requis Pour les besoins du projet, nous allons utiliser une machine virtuelle (VMware Player) ou éventuellement un pc classique pour installer un système d exploitation Unix open-source (Ubuntu 11.10).Tous les services sera dans la même machine pour faciliter la phase de test Installation des services I n s t a l l a t i o n d u s e r v i c e d a n n u a i r e Entrer la commande suivante pour installer le service d annuaire: apt-get install slapd ldap-utils ldapvi Une fois l'application installé, l'ensemble des fichiers se trouvent dans : «/etc/ldap». Une fois l installation du serveur effectuée, arrêtez le service en faisant : /etc/init.d/slapd stop I n s t a l l a t i o n d u s e r v i c e r a d i u s Entrer la commande suivante pour installer le service d authentification: apt-get install freeradius freeradius-ldap Une fois l'application installé, l'ensemble des fichiers se trouvent dans : «/etc/freeradius». Une fois l installation du serveur effectuée, arrêtez le service en faisant : /etc/init.d/freeradius stop I n s t a l l a t i o n d u s e r v i c e s a m b a Entrer la commande suivante pour installer le service d authentification: apt-get install samba-doc samba smbclient smbfs smbldap-tools Une fois l'application installé, l'ensemble des fichiers se trouvent dans : «/etc/samba». Une fois l installation du serveur effectuée, arrêtez le service en faisant : /etc/init.d/smbd stop I n s t a l l a t i o n d e p h p l d a p a d m i n Entrer la commande suivante pour installer l interface d administration de l annuaire: apt-get install phpldapadmin I n s t a l l a t i o n d e s l i b r a i r i e s l d a p Nous allons maintenant installer et configurer la librairie qui permet d utiliser l annuaire (libnss-ldap) et la librairie qui permet de s authentifier sous unix (libpam-ldap) apt-get install libnss-ldap libpam-ldap 20/49

Mise en place d'un contrôleur de domaine Samba3 avec LDAP

Mise en place d'un contrôleur de domaine Samba3 avec LDAP Mise en place d'un contrôleur de domaine Samba3 avec LDAP Damien G. damstux@free.fr Document sous licence GPL Conseils: Utilisez tout le temps le même mot de passe Je joins certains fichiers de configuration:

Plus en détail

L étude des différentes possibilités pour définir des groupes de diffusion via l'annuaireldap.

L étude des différentes possibilités pour définir des groupes de diffusion via l'annuaireldap. 1 / 21 SOMMAIRE 1. Sujet du projet... page 2 2. Définition de Ldap... page 3 3. Définition de Samba... page 4 4. Mise en œuvre du projet... page 5 5. Installation et configuration du serveur... page 7

Plus en détail

TP associé au cours OpenLDAP

TP associé au cours OpenLDAP TP associé au cours OpenLDAP M7 - Administration système serveurs Hervé Pierron Vialard Tous droits réservés 16/08/2012 1.1 Table des matières I - Sujet du TP 3 1. Pré-requis... 3 2. Installation d'openldap

Plus en détail

Installation de SAMBA :

Installation de SAMBA : Description : Installation d un serveur SAMBA pour station 98 et 2000 Auteur : Nicolas AGIUS Date : 03/2003 Notes : Exemples pris sur RedHat 7.3 Contexte : Serveur de fichiers et d authentification pour

Plus en détail

CONTROLEUR DE DOMAINE SAMBA

CONTROLEUR DE DOMAINE SAMBA CONTROLEUR DE DOMAINE SAMBA Nous allons voir à travers ce tutoriel, la mise en place d un contrôleur de domaine sous linux, SAMBA. Ce tutoriel a été testé sur une distribution Debian version 7.2 1. Introduction

Plus en détail

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA Nom : Prénom : Classe et groupe : 1P 3 SEN TRI Télécom & Réseaux Linux Ubuntu Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA 04/11/2010 TP 1. Objectif : Configurer un serveur SAMBA sous Linux

Plus en détail

SAMBA Protocole SaMBa

SAMBA Protocole SaMBa SAMBA Protocole SaMBa aptitude install samba Installation de Samba Le fichier "SMB.CONF" La configuration de samba se fait par un unique fichier : smb.conf dans /etc/samba. C est un fichier de type texte

Plus en détail

Contrôleur de domaine Samba

Contrôleur de domaine Samba Par Contrôleur de domaine Samba Nous allons voir ici, comment mettre en place un contrôleur de domaine principal sous linux, avec samba. 1. Introduction Le but de ce tutoriel est de : créer un contrôleur

Plus en détail

Sécurisation WIFI Serveur RADIUS & EAP-TLS (EAP-TTLS)

Sécurisation WIFI Serveur RADIUS & EAP-TLS (EAP-TTLS) Sécurisation WIFI Serveur RADIUS & EAP-TLS (EAP-TTLS) 1) Schéma de principe Authenticator Serveur d authentification 10.0.0.100/24 (optionnel) PC 10.0.0.200/24 Supplicant 10.0.0.10/24 2) Installation et

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS Journée Josy/PLUME Outils logiciels libres utiles à tout ASR SAMBA Maurice Libes Centre d'océanologie de Marseille UMS 2196 CNRS Plan - Présentation de Samba Contexte d'utilisation Laboratoire Objectifs,

Plus en détail

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : M326070463 ACTIVITE

Plus en détail

Le protocole RADIUS Remote Authentication Dial-In User Service

Le protocole RADIUS Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours

Plus en détail

I. Présentation du serveur Samba

I. Présentation du serveur Samba Introduction D un point de vue général, un contrôleur de domaine est grand chef sur un réseau. C'est le serveur auquel tous les clients se réfèrent pour les authentifications d'utilisateurs, de machines,...

Plus en détail

Installation du point d'accès Wi-Fi au réseau

Installation du point d'accès Wi-Fi au réseau Installation du point d'accès Wi-Fi au réseau Utilisez un câble Ethernet pour connecter le port Ethernet du point d'accès au port de la carte réseau situé sur le poste. Connectez l'adaptateur électrique

Plus en détail

TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS

TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS I LA MISSION Votre entreprise cherche maintenant à réduire le coût des licences. Elle vous confie la mission qui consiste à tester différents

Plus en détail

InstallatIon et configuration d une Infrastructure réseau sans-fil. Avec. Interface de gestion utilisateurs

InstallatIon et configuration d une Infrastructure réseau sans-fil. Avec. Interface de gestion utilisateurs ET InstallatIon et configuration d une Infrastructure réseau sans-fil Avec Interface de gestion utilisateurs Quentin MARACHE, Pierre-Damien WEBER, Jean-Baptiste FIRMIN 1 Tables des matières Préambule...

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY De NT à Windows Server Issus de la branche NT de Windows (après Windows 98) 2 familles de produits (Workstation,

Plus en détail

WIFI & Sécurité. Jean-Luc Damoiseaux IUT-Aix en Provence Dpt R&T

WIFI & Sécurité. Jean-Luc Damoiseaux IUT-Aix en Provence Dpt R&T WIFI & Sécurité Jean-Luc Damoiseaux IUT-Aix en Provence Dpt R&T Plan La sécurité dans le wifi Éléments de cryptographie Protocoles pour la sécurisation 2 Contraintes de sécurisation Authentification :

Plus en détail

Méthodes d authentification avec un serveur Radius

Méthodes d authentification avec un serveur Radius Méthodes d authentification avec un serveur Radius Serge Bordères (Centre d Etudes Nucléaires de Bordeaux-Gradignan) 20 mars 2007 Institut d Astrophysique de Paris Sommaire Radius, principes Radius et

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications RTN / EC2LT Réseaux et Techniques Numériques Ecole Centrale des Logiciels Libres et de Télécommunications Mise en place d'un Contrôleur de Domaine dans un milieu hétérogène avec SAMBA couplé à LDAP Domaine

Plus en détail

Service d'authentification - RADIUS

Service d'authentification - RADIUS Service d'authentification - RADIUS Master TIIR - 07/02/08 2005-12-31 Your Name Your Title Your Organization (Line #1) Your Organization (Line #2) 802.1X - Rappel Méthodes EAP RADIUS - AAA Installation

Plus en détail

Linux Party 28/01/2001 Samba version 2.0.7

Linux Party 28/01/2001 Samba version 2.0.7 1.Fonctionnement du protocole SMB...3 1.1.Qu est ce que SMB...3 1.2.L évolution du SMB...3 1.3.Clients et serveurs SMB disponibles...3 2.Utilisation du protocole SMB...4 2.1.La sécurité du SMB...4 2.2.Notions

Plus en détail

Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée. 12 décembre 2010

Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée. 12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée 12 décembre 2010 Découvrir les services d annuaire Etudier les mécanismes LDAP Déployer un service LDAP Marc OLORY LDAP et les services d annuaire

Plus en détail

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation

Plus en détail

1. Présentation de WPA et 802.1X

1. Présentation de WPA et 802.1X Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition

Plus en détail

Sécurisation WIFI Serveur RADIUS & EAP-TLS / EAP-TTLS

Sécurisation WIFI Serveur RADIUS & EAP-TLS / EAP-TTLS Sécurisation WIFI Serveur RADIUS & EAP-TLS / EAP-TTLS 0) Préalable Il est nécessaire avant toutes choses de : 1. vous munir d un cd knoppix version 4.0 ; 2. démarrez sous window le PC qui servira de serveur

Plus en détail

MISE EN PLACE D UN SERVEUR D AUTHENTIFICATION FREERADIUS AVEC UNE BASE DE DONNEES MYSQL

MISE EN PLACE D UN SERVEUR D AUTHENTIFICATION FREERADIUS AVEC UNE BASE DE DONNEES MYSQL Institut Supérieur d Informatique 26 Avril 2014 MISE EN PLACE D UN SERVEUR D AUTHENTIFICATION FREERADIUS AVEC UNE BASE DE DONNEES MYSQL Réalisé et présenté par : Professeur encadreur : Gloria Gihanne Agnès

Plus en détail

SAMBA UBUNTU SERVER 12.04

SAMBA UBUNTU SERVER 12.04 SAMBA UBUNTU SERVER 12.04 Introduction Le serveur Samba est l'outil privilégié pour installer un réseau LAN (Local Area Network) fonctionnant avec le protocole SMB (Server Message Block). Il est donc possible

Plus en détail

1. Objectif. \ / (o o) +-----------------------oooo--(_)-----------------------------+

1. Objectif. \ / (o o) +-----------------------oooo--(_)-----------------------------+ \ / (o o) +-----------------------oooo--(_)-----------------------------+ Administration des services Linux (avec Debian) LDAP serveur et client sur debian Reseau-02 Admin des services fiche LDAP org.doc

Plus en détail

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP OpenLDAP, un outil d administration Réseau Une implémentation d OpenLDAP INRA de Rennes UMR-118 Amélioration des Plantes et Biotechnologies Végétales Présentation : Lightweight Directory Access Protocol

Plus en détail

Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet

Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet V3.0 Accès poste nomade par client VPN Page1/29 SUIVI DES VERSIONS Version Date Etat Nom du rédacteur Commentaire

Plus en détail

LDAP -sylvain. 1.1 Objectifs : 1.2 Installation. 1.3 Configuration du système

LDAP -sylvain. 1.1 Objectifs : 1.2 Installation. 1.3 Configuration du système LDAP -sylvain 1.1 Objectifs : Installer un annuaire LDAP sur un PC serveur GNU/Linux. Visiter les principaux fichiers de configuration utiles à LDAP. Utiliser l annuaire LDAP depuis un poste client GNU/Linux,

Plus en détail

AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP

AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP (source : ClientsHardyHeron et ScribeNG sur le wiki Eole) Généralités Il existe trois grandes familles de Linux : RedHat (dont Mandriva), Debian

Plus en détail

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes But de cette présentation Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Vous faire découvrir le modèle client-serveur et la création d un contrôleur de domaine sous Linux Ce sont des aspects

Plus en détail

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Qui suis-je? Philip Richardson Sysadmin à Bruxelles Formation Formateur occasionnel Membre du BxLUG (http://www.bxlug.be) A été RHCE

Plus en détail

Configuration d'un annuaire LDAP

Configuration d'un annuaire LDAP Le serveur Icewarp Configuration d'un annuaire LDAP Version 10.3 Juillet 2011 Icewarp France / DARNIS Informatique i Sommaire Configuration d'un annuaire LDAP 1 Introduction... 1 Qu'est-ce que LDAP?...

Plus en détail

CRI-IUT 2005. Serveur d'authentification pour la sécurité des réseaux Wi-Fi

CRI-IUT 2005. Serveur d'authentification pour la sécurité des réseaux Wi-Fi CRI-IUT 2005 freeradius Serveur d'authentification pour la sécurité des réseaux Wi-Fi 1 Plan Partie I Théorie Contexte: sécurité des réseaux Wi-Fi Différentes solutions de sécurisation 802.1x, EAP, RADIUS

Plus en détail

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 1.2 Accès distant (dial-in)...2 1.3 VPN...3 1.4 Authentification...4 1.5 Configuration d un réseau privé virtuel (vpn)...6

Plus en détail

INSTALLATION ET CONFIGURATION DE OPENLDAP

INSTALLATION ET CONFIGURATION DE OPENLDAP INSTALLATION ET CONFIGURATION DE OPENLDAP Ce document a pour intérêt de décrire les étapes de l installation et de la configuration de l outil OpenLDAP sous l OS FreeBSD 4.8 Installation et Configuration

Plus en détail

Nomadisme sécurisé pour la communauté enseignement supérieur-recherche. C. Claveleira Comité Réseau des Universités. Séminaire Aristote 11 juin 2009

Nomadisme sécurisé pour la communauté enseignement supérieur-recherche. C. Claveleira Comité Réseau des Universités. Séminaire Aristote 11 juin 2009 Nomadisme sécurisé pour la communauté enseignement supérieur-recherche C. Claveleira Comité Réseau des Universités Séminaire Aristote 11 juin 2009 Comité Réseau des Universités Petite structure universitaire

Plus en détail

TP : installation de services

TP : installation de services TP : installation de services Ce TP a été rédigé rapidement. Il ne donne certainement pas toutes les explications nécessaires à la compréhension des manipulations. Assurez vous de bien comprendre ce que

Plus en détail

Installation d'un serveur RADIUS

Installation d'un serveur RADIUS Installation d'un serveur RADIUS Par LoiselJP Le 22/05/2013 1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, de créer un serveur Radius. L installation ici proposée

Plus en détail

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS

Le protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS 2ème année 2008-2009 Le protocole RADIUS Décembre 2008 Objectifs Objectifs : Le but de cette séance est de montrer comment un protocole d authentification peut être utilisé afin de permettre ou interdire

Plus en détail

LO51. Administration de systèmes UNIX. Sujet : Installation d un annuaire LDAP avec Samba et NFS

LO51. Administration de systèmes UNIX. Sujet : Installation d un annuaire LDAP avec Samba et NFS Anthoni GUENOT Thomas AGNIEL Emeric MICHEL Paul PERROS GI04 LO51 Administration de systèmes UNIX Sujet : Installation d un annuaire LDAP avec Samba et NFS Reponsable de l UV : M. Galland Semestre : Printemps

Plus en détail

LDAP Linux. Mettre à jour le serveur (avec la commande apt-get update), après avoir mis à jour le fichier /etc/apt/sources.list

LDAP Linux. Mettre à jour le serveur (avec la commande apt-get update), après avoir mis à jour le fichier /etc/apt/sources.list LDAP Linux Installer une machine virtuelle debian sous VirtualBox. Utilisateur : root --- password : password I- Configuration du système Mettre à jour le serveur (avec la commande apt-get update), après

Plus en détail

Introduction à Samba sous Gnu/Linux #C22

Introduction à Samba sous Gnu/Linux #C22 Introduction à Samba sous Gnu/Linux #C22 by tontonfred - jeudi, mai 21, 2015 http://www.tontonfred.net/blog/?p=1364 Samba est un logiciel libre qui supporte le protocole CIFS (Common Internet File System),

Plus en détail

Conception Détaillée et Réalisation

Conception Détaillée et Réalisation Conception Détaillée et Réalisation GAUTIER Julien FONTAINE Victor MATHIEU Julien VINQUEUR Mickaël 1 Sommaire I VINQUEUR Mickaël... 3 A. Mise en place des VLANs... 3 B. Mise en oeuvre du lien TRUNK...

Plus en détail

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

PARAMETRER SAMBA 2.2

PARAMETRER SAMBA 2.2 PARAMETRER SAMBA 2.2 Configurations requises : Mandrake Linux 9.2 avec Samba 2.2.8 installé (poste avec une IP statique), nommé MDK92, connexion en tant que root. Postes clients Windows 2000 Pro / XP (avec

Plus en détail

1 Installation du serveur LDAP et des utilitaires (Mandriva)

1 Installation du serveur LDAP et des utilitaires (Mandriva) TP Installation/Configuration d'un annuaire LDAP sur serveur GNU/Linux Nom : Prénom : Date : Numéro : Objectifs : Installer un annuaire LDAP sur un PC serveur GNU/Linux (Mandriva). Visiter les principaux

Plus en détail

2A-SI 5 Services et Applications 5.1 Annuaires LDAP

2A-SI 5 Services et Applications 5.1 Annuaires LDAP 2A-SI 5 Services et Applications 5.1 Annuaires LDAP Stéphane Vialle Stephane.Vialle@supelec.fr http://www.metz.supelec.fr/~vialle Support de cours élaboré avec l aide de l équipe pédagogique du cours de

Plus en détail

Université d Evry Val d Essonne

Université d Evry Val d Essonne Connexion VPN Guide de l utilisateur sous windows Page 1 sur 11 Introduction... 3 Installation et configuration sous Linux... 4 Installation du logiciel... 4 Configuration du Profile... 7 Etablissement

Plus en détail

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Imprimantes et partage réseau sous Samba avec authentification Active Directory Imprimantes et partage réseau sous Samba avec authentification Active Directory Sommaire 1- Pré requis Page 2 2- Configuration réseau Page 3 3- Installation de samba Page 4 à 5 4- Installation de kerberos

Plus en détail

Intégration de clients linux sur un serveur Sambaedu3

Intégration de clients linux sur un serveur Sambaedu3 Intégration de clients linux sur un serveur Sambaedu3 1_ Pré-requis : Les tests pour l'intégration de clients linux sur un serveur Sambaedu3 ont été fait sur : - Un client linux Debian Sarge version 3.1-r1

Plus en détail

Remplacement d'une Box Viadéis Services

Remplacement d'une Box Viadéis Services Référence : 12769 Version N : 3 Créé le : 17 Novembre 2015 Sommaire 1. Préambule... 3 1.1. Remplacement d une VM de type VMware... 3 1.2. Remplacement d une VM de type Hyper-V... 4 1.3. Remplacement d

Plus en détail

Configurez TokenCaching dans la CiscoSecure ACS UNIX

Configurez TokenCaching dans la CiscoSecure ACS UNIX Guide de conception et d'implémentation de la mise en cache de jetons (TokenCaching) Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configurez Diagramme

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Proxy Gemma. 1) Introduction. 2) Solution proposée

Proxy Gemma. 1) Introduction. 2) Solution proposée 1) Introduction Proxy Gemma Le LIMS Gemma repose sur une base de données 4D serveur 7.0.5 fonctionnant sur un serveur Windows 2000 server. Cette version de 4D est depuis longtemps dépassée, donc plus maintenue,

Plus en détail

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

Authentification des utilisateurs avec OpenLDAP et Samba 3.0 Authentification des utilisateurs avec OpenLDAP et Samba 3.0 Ce tutoriel développe la mise en place d'un contrôleur de Domaine Principal (PDC) couplet avec un contrôleur de Domaine de Replication (BDC)

Plus en détail

Debian (squeez) SAMBA PDC avec annuaire OpenLDAP

Debian (squeez) SAMBA PDC avec annuaire OpenLDAP - { Prog en vrac } Accueil Linux Rechercher 24 sep par senti Linux 37 commentaires Suite à l arrivée récente de Windows 7 pro dans mon entreprise, j ai voulu ajouté mes machines sur mon contrôleur de domaine

Plus en détail

Mise en place d'un serveur LDAP

Mise en place d'un serveur LDAP Mise en place d'un serveur LDAP Cet article présente la mise en place d'un serveur OpenLDAP ainsi que la configuration côté client. Nous présenterons également l'authentification des utilisateurs via pam_ldap.

Plus en détail

L'AAA, késako? Bruno Bonfils, , Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

L'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization

Plus en détail

AGR3r Administration et gestion des réseaux Samba

AGR3r Administration et gestion des réseaux Samba AGR3r Administration et gestion des réseaux Samba Pierre BETTENS pbettens(à)heb.be ESI - École Supérieure d Informatique 08/10/2010 Pierre BETTENS AGR3r Administration et gestion des réseaux Samba 1 /

Plus en détail

Utiliser Améliorer Prêcher. Introduction à LDAP

Utiliser Améliorer Prêcher. Introduction à LDAP Introduction à LDAP Introduction à LDAP Sommaire 2 Sommaire Historique rapide Les concepts LDAP et la gestion d identité Démonstration Autre ressources 2 Historique Historique Historique rapide 4 Historique

Plus en détail

AUTHENTIFICATION. 802.1x FREERADIUS. Objectifs

AUTHENTIFICATION. 802.1x FREERADIUS. Objectifs AUTHENTIFICATION 802.1x FREERADIUS Objectifs Configurer un serveur Radius (Remote Authentication Dial-In User Service) ainsi qu un switch Cisco qui fera office de point d accès entre le client et le serveur

Plus en détail

L iphone en entreprise Présentation de la sécurité

L iphone en entreprise Présentation de la sécurité L iphone en entreprise Présentation de la sécurité Avec iphone vous pourrez accéder de façon totalement sécurisée aux services de l entreprise tout en protégeant les données de l appareil. Vous profiterez

Plus en détail

LINUX REMPLAÇANT WINDOWS NT

LINUX REMPLAÇANT WINDOWS NT 189 Cette installation fonctionne chez moi à Veyre. Vous pouvez consulter et télécharger les fichiers à : http://perso.wanadoo.fr/gerard.blanchet/ veyre/ Mais c'est tout à fait adapté à un établissement

Plus en détail

Configurer SAMBA Server sur DREAM

Configurer SAMBA Server sur DREAM www.sandbox-team.be Par doume59249 Configurer SAMBA Server sur DREAM 1/5 Mise en place d un serveur SAMBA sur Dreambox Objectif : En installant un serveur SAMBA sur votre boîtier Dreambox, cela vous permet

Plus en détail

SAMBA. Claude Duvallet. Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX. Claude.Duvallet@gmail.

SAMBA. Claude Duvallet. Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX. Claude.Duvallet@gmail. Claude Duvallet Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX Claude.Duvallet@gmail.com Claude Duvallet 1/28 Plan de la présentation 1 Introduction

Plus en détail

Projet Semestre2-1SISR

Projet Semestre2-1SISR Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB

Journées MATHRICE Dijon-Besançon DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots

Plus en détail

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur TUTORIEL RADIUS Dans ce tutoriel nous allons voir, comment mettre en place une borne wifi avec un protocole RADIUS. Pour cela, vous aurez besoin : - d un serveur Windows 2012 - d un Active Directory -

Plus en détail

IPSec peut fonctionner selon deux modes, transport ou tunel.

IPSec peut fonctionner selon deux modes, transport ou tunel. Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente

Plus en détail

0.1 Réseau Windows / Linux : Samba

0.1 Réseau Windows / Linux : Samba 0.1 Réseau Windows / Linux : Samba 1 0.1 Réseau Windows / Linux : Samba Samba est une implémentation libre du protocole SMB (Server message Block) pour Unix. Le protocole SMB est le coeur de NetBIOS. Il

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

TD3 - Radius et IEEE 802.1x

TD3 - Radius et IEEE 802.1x M2 ISIM SIC Pro (RS) 2012 2013 Mobilité R. Card &T.T. Dang Ngoc dntt@u-cergy.fr TD3 - Radius et IEEE 802.1x 1 RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) repose principalement

Plus en détail

iphone en entreprise Guide de configuration pour les utilisateurs

iphone en entreprise Guide de configuration pour les utilisateurs iphone en entreprise Guide de configuration pour les utilisateurs iphone est prêt pour une utilisation en entreprise. Il gère Microsoft Exchange ActiveSync, ainsi que des services de base standards, le

Plus en détail

A. À propos des annuaires

A. À propos des annuaires Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques

Plus en détail

Connection au Serveur de Communications. Présentation et Installation de la Machine Cliente.

Connection au Serveur de Communications. Présentation et Installation de la Machine Cliente. Connection au Serveur de Communications Présentation et Installation de la Machine Cliente. Le Service D accès Distant. 1. Différentes connexions possibles : Les clients peuvent se connecter par le biais

Plus en détail

1. Présentation du TP

1. Présentation du TP LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONTROLEUR PRINCIPAL DE TP N 1 DOMAINE ACADÉMIE D ORLÉANS-TOURS OBJECTIFS : INSTALLER ACTIVE DIRECTORY CONFIGURER ACTIVE DIRECTORY : - CREER DES

Plus en détail

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Présenté par : Ould Mohamed Lamine Ousmane Diouf Sécurité des Réseaux Wi Fi Présenté par : Ould Mohamed Lamine Ousmane Diouf Table des matières Présentation du réseau Wi Fi Configuration d'un réseau Wi Fi Risques liés aux réseaux Wi Fi Règles de base

Plus en détail

Travaux Pratiques. Authentification réseau

Travaux Pratiques. Authentification réseau Travaux Pratiques Authentification réseau 1 SOMMAIRE 1 Configuration des commutateurs... 6 2 Préparation du serveur radius... 8 3 Configuration de radiusd.conf... 8 4 Authentification par adresse MAC avec

Plus en détail

Table des matières 18/12/2009 10:13:21

Table des matières 18/12/2009 10:13:21 V.P.N. sous Win XP Table des matières V.P.N. sous Win XP...1 Introduction aux Réseaux Privés Virtuels...1 Royaume : «realm»...3 Qui fait une demande de «realm»?...3 Quels sont les «realms» actifs?...3

Plus en détail

Outils Logiciels Libres

Outils Logiciels Libres LP ASRALL Outils Logiciels Libres LDAP, CMS et Haute Disponibilitée Auteurs : Rémi Jachniewicz, Julien Lacava, Gatien Gaspard, Romain Gegout, Benoit Henryon 17 mars 2009 Table des matières 1 Ldap 3 1.1

Plus en détail

SSH, le shell sécurisé

SSH, le shell sécurisé , le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,

Plus en détail

Ce document permet de mettre en œuvre un partage de fichier sous Samba d une manière un peu plus conviviale que d habitude.

Ce document permet de mettre en œuvre un partage de fichier sous Samba d une manière un peu plus conviviale que d habitude. 1. Introduction Contenu de cette section Ce document permet de mettre en œuvre un partage de fichier sous Samba d une manière un peu plus conviviale que d habitude. 1.1 Note de copyright Ce document est

Plus en détail

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install Albéric ALEXANDRE 1 Contenu 1. Introduction... 2 2. Prérequis... 2 3. Configuration du serveur... 2 a. Installation de Network Policy Server... 2 b. Configuration de Network Policy Server... 2 4. Configuration

Plus en détail

La double authentification dans SharePoint 2007

La double authentification dans SharePoint 2007 La double authentification dans SharePoint 2007 Authentification NT et Forms sur un même site Dans de nombreux cas on souhaite pouvoir ouvrir un accès sur son serveur SharePoint à des partenaires qui ne

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

TP Administration de système N 2

TP Administration de système N 2 TP Administration de système N 2 Noms Groupe Barème : Exercice 1: 4 points Exercice 2 : Si ils ne voient pas que c'est déjà fait 0,sinon 2, avec explications de ce que dit dmesg Exercice 3 : 6 points Exercice

Plus en détail

COMMUNICATION TECHNIQUE N TC0546 Ed. 01. OmniPCX Enterprise Nb de pages : 17 Date : 05-04-2004 URGENTE NON URGENTE TEMPORAIRE DEFINITIVE

COMMUNICATION TECHNIQUE N TC0546 Ed. 01. OmniPCX Enterprise Nb de pages : 17 Date : 05-04-2004 URGENTE NON URGENTE TEMPORAIRE DEFINITIVE COMMUNICATION TECHNIQUE N TC0546 Ed. 01 OmniPCX Enterprise Nb de pages : 17 Date : 05-04-2004 URGENTE NON URGENTE TEMPORAIRE DEFINITIVE OBJET : LIEN PPP VERS LE CALL SERVER À TRAVERS Veuillez trouver ci-après

Plus en détail

Ce document est GNU copyleft par Ewen PRIGENT eprigent@linux-france.org.

Ce document est GNU copyleft par Ewen PRIGENT eprigent@linux-france.org. Initiation à SAMBA 1. Introduction Contenu de cette section Ce document permet de montrer un exemple plus concret de P.D.C. avec personnalisation du voisinage réseau en fonction du groupe de l'utilisateur

Plus en détail

Installer et configurer le serveur de fichier et contrôleur de domaine basé sur samba 3

Installer et configurer le serveur de fichier et contrôleur de domaine basé sur samba 3 Installer et configurer le serveur de fichier et contrôleur de domaine basé sur samba 3 SOMMAIRE INTRODUCTION... 2 PRE-REQUIS... 2 ENVIRONNEMENT TECHNIQUE... 2 MIGRATION DE DONNEES ET DE CONFIGURATION...

Plus en détail