PROJET DE SYNTHÈSE V 2.5 TSGERI AFPA MARSEILLE ST-JEROME AUTHENTIFICATION
|
|
- Jean-Paul Lesage
- il y a 8 ans
- Total affichages :
Transcription
1 TSGERI AFPA MARSEILLE ST-JEROME AUTHENTIFICATION
2 ÉMETTEUR Auteur Objet du document Destinataires Chérif SADI ETUDE DE SYNTHESE Oscar LOGGER MISE A JOUR DU DOCUME NT Version Auteur Description de la modification Date 1.0 Chérif SADI CREATION 05/09/ Chérif SADI MODIFICATION 12/09/ Chérif SADI MODIFICATION 15/09/ Chérif SADI MODIFICATION 26/09/ Chérif SADI MODIFICATION 03/10/ Chérif SADI MODIFICATION 18/10/ Chérif SADI MODIFICATION 09/11/ Chérif SADI MODIFICATION 28/11/11 RESUME Analyse du marché et descriptif des technologies et des différentes méthodes et techniques d authentification. OBJECTIF DU DOCUMENT Description d un mécanisme d authentification via une plateforme de test. DOCUMENT DE REFERENCE Ce document est une compilation des différentes informations disponibles sur le Web dont les sources sont mentionnées dans la bibliographie et les travaux cités en fin de ce document. 2/49
3 PREAMBULE Le projet de synthèse est ainsi l occasion de mettre en œuvre les connaissances acquises antérieurement pour mettre en œuvre par simulation un ensemble ou sous-ensemble d un système. Ce projet a été réalisé dans le cadre d une synthèse de «L authentification» qui a pour but la finalisation de la certification TSGERI. Je tiens à remercier dans un premier temps, toute l équipe pédagogique de L AFPA de Marseille St- Jérôme et les intervenants professionnels qui sont responsables de la formation TSGERI, pour avoir assuré la partie théorique de celle-ci. Je tiens également à remercier Monsieur Oscar LOGGER, en qualité de formateur principal pour l aide et pour m avoir donné le cap et les conseils concernant les missions évoquées dans ce rapport, qu il m a apporté lors des différents suivis tout au long de ma certification professionnelle. 3/49
4 SOMMAIRE 1. L authentification La définition et les facteurs L authentification forte L authentification unique Les mécanismes Les mots de passe statiques Les mots de passe à usage unique La cryptographie à clé publique Le jeton de contrôle Les failles et attaques liée à l authentification Faiblesses du login/mot de passe Le Sniffing Ip Spoofing Le déni de service (DDoS) L'attaque Man-In-The-Middle Les protocoles AAA SSL/TLS X PAP CHAP MS-CHAP EAP EAP-TTLS / PEAP EAP-TLS EAP-MD LEAP Etude de l'existant Les solutions existante du marché La technologie biométrique La carte à puce Digipass La carte à puce audio La technologie RSA SecurID Les serveurs d application RADIUS DIAMETER TACACS KERBEROS Les services d annuaires NIS NIS DNS LDAP ACTIVE DIRECTORY Description du besoin Remote Authentication Dial-In User /49
5 Principe de fonctionnement Lightweight Directory Access Protocol Principe de fonctionnement Mise en place du projet Pré-requis Installation des services Installation du service d annuaire Installation du service radius Installation du service samba Installation de phpldapadmin Installation des librairies ldap Configuration des fichiers Schéma samba et radius Smb.conf Mot passe LDAP vers SAMBA Smbldap-tools Smbldap_bind.conf Smbldap.conf Peupler son arbre Test du serveur radius Clients.conf Modules/ldap Site-enabled/default Site-enabled/inter-tunnel Redémarrage des services L analyse des étapes d authentification Test de l utilisateur par défaut dans la base radius Test d un utilisateur dans l annuaire ldap Access-Accept Analyse de l acceptation Access-Reject Analyse du refus Conclusion Bibliographie Travaux cités Annexes Terminologie Acronymes Glossaire Définitions ILLUSTRATIONS Figure 1 : Protocole CHAP Figure 2 : Protocole LEAP Figure 4 : Architecture globale du serveur radius Figure 5 : Protocole du serveur radius Figure 6 : Historique X.500 et LDAP Figure 7 : Exemple d'organisation de type «information tree» /49
6 INTRODUCTION La sécurisation des systèmes d'information est une tâche dont la complexité ne cesse de croître, car tout cela est due à l'augmentation du nombre d'applications et a la mondialisation qui nous impose le besoin d'ouverture vers l'extérieur. L'authentification des utilisateurs est a l heure actuelle une nécessité, qu'ils accèdent depuis l'intérieur ou l'extérieur de leur entreprise. Dans le premier chapitre, nous citerons d'abord les techniques et méthodes d'authentification existantes. Puis dans le deuxième chapitre, nous détaillerons le mode de fonctionnement d un service d authentification et d annuaire qui seront nécessaire pour le développement du projet. Dans le troisième chapitre, nous détaillerons la mise en place, les phases de test et les critiques du mécanisme d authentification qui sera mis en place. 6/49
7 1. L AUTHENTIFICATION Elle est l'un des services fondamentaux dans le domaine de la sécurité informatique. C'est un processus critique sur un réseau, car l accès aux ressources est basé sur l identification La définition et les facteurs L'authentification est la procédure qui consiste à vérifier l'identité d'une personne ou d un équipement. Les facteurs d authentification sont multiples : Ce que l on est (empreints digitaux, la biométrie) Ce que l on possède (carte à puce) Ce que l on sait (mot de passe, login) Ce que l on sait faire (signature manuscrite) 1.2. L authentification forte Une procédure d'identification qui requiert l utilisation de deux facteurs d'authentification L authentification unique Une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (Web, mail, etc.) Les mécanismes La fiabilité des mécanismes d authentification dépend de la technologie qu on utilise. Ce sous chapitre décrit les principales techniques utilisées : L e s m o t s d e p a s s e s t a t i q u e s L authentification par mot de passe classique est le mécanisme le plus utilise à l heure actuelle. Elle par une procédure de connexion durant laquelle on fournit son login-mot de passe. Le noyau récupère ces informations et regarde dans sa base de donnes si la personne est bien enregistrée et si le mot de passe qui a été tapé est valide. S il est correct, l authentification est réussie et l accès au système est valide L e s m o t s d e p a s s e à u s a g e u n i q u e Un mot de passe n'est valable une seule fois. Ils permettent de combler certaines lacunes de sécurité associées aux mots de passe classique. Car si un intrus potentiel parvient à enregistrer un mot de passe qui était déjà utilisé pour se connecter à un service ou pour effectuer une opération, il ne sera pas en mesure de l'utiliser car il ne sera plus valide. En revanche, ils ne peuvent pas être mémorisés par les êtres humains, par conséquent, ils nécessitent des technologies complémentaires afin de s'en servir. 7/49
8 L a c r y p t o g r a p h i e à c l é p u b l i q u e La cryptographie à clé publique fait intervenir deux sortes de clés, une clé publique publiée sur le réseau et une clé privée secrète. La clé privée sert pour le décryptage des données ainsi que pour le cryptage de quelques données afin de vérifier l intégrité. La clé publique sert pour le cryptage des données et pour la vérification de la signature. Les deux clés sont reliées par une équation mathématique (algorithme) complexe L e j e t o n d e c o n t r ô l e Les techniques par jeton de contrôle ou token sont des systèmes d authentification forte qui nécessitent généralement l emploi d une carte spéciale appelée smart-card ou token-card, bien que certains systèmes existent sous forme logicielle pour réduire le coût de déploiement. Il y a deux techniques de vérification connue: La challenge-réponse et la synchronisation Les failles et attaques liée à l authentification Dans cette partie, nous nous intéresserons aux faiblesses l'authentification par login-mdp classique. Ensuite, une présentation de quelques attaques utilisant ces failles F a i b l e s s e s d u l o g i n / m o t d e p a s s e L authentification par login/mot de passe est devenue obsolète pour plusieurs raisons : Le disque dur où il est stocké peut faire l'objet d'attaques et nombreux sont les moyens de retrouver les mots de passe stockés celui-ci est accessible. Un mot de passe choisi par l'utilisateur est souvent simple à retenir. Il peut donc être attaqué par un dictionnaire. Il est possible d'intercepter un mot de passe au moment où l'utilisateur le tape sur son clavier. Souvent les mots de passe sont transférés en clair sur le réseau. Un mot de passe a une durée de vie généralement longue (plusieurs semaines au minimum). Même si le mot de passe est correctement choisi pour être dur à trouver, il reste attaquable par la méthode de force brute. Il existe un grand nombre d attaques qui utilisent les failles au moment de l'authentification et qui permettent à une personne le pouvoir usurper l identité et de détourner des ressources, de les falsifier ou de les supprimer. Certaines requièrent plus de compétences que d autres L e S n i f f i n g Le renifleur ou l analyseur de protocole est un logiciel qui peut lire au passage les données transitant par le biais d'un réseau local non-switch(é). Il permet une consultation aisée des données non-chiffrées et peut ainsi servir à intercepter des mots de passe qui transitent en clair ou toute autre information non-chiffrée. 8/49
9 Ip S p o o f i n g L'usurpation d'adresse IP est une technique utilisée en informatique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet. Le but peut être de masquer sa propre identité lors d'une attaque d'un serveur, ou d'usurper en quelque sorte l'identité d'un autre équipement du réseau pour bénéficier des services auquel il a accès L e d é n i d e s e r v i c e ( D D o S ) Une attaque par déni de service est une attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de : L inondation d un réseau afin d'empêcher son fonctionnement. La perturbation des connexions entre deux machines, empêchant l'accès à un service particulier. L obstruction d'accès à un service à une personne en particulier. L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet L ' a t t a q u e M a n - In- T h e - M i d d l e L'attaque de l'homme du milieu est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. L'attaque «homme du milieu» est particulièrement applicable dans le protocole original d'échange de clés Diffie-Hellman, quand il est utilisé sans authentification Les protocoles Les mécanismes d authentification décrits dans cette partie ont tout d abord été des protocoles de couche de la liaison de données puisqu ils ont été initialement utilisés par le protocole PPP qui permet l ouverture de session sur le réseau RTC. Ils sont également utilisés dans la couche réseau grâce aux évolutions de PPP : PPPoA (over ATM) et PPPoE (over Ethernet) qui sont principalement utilisés pour ouvrir des connexions ADSL. Cependant, ces mécanismes sont les briques de nombreux serveurs et applications d authentification comme Radius AAA AAA correspond à un protocole qui réalise trois fonctions : l'authentification, l'autorisation, et la traçabilité (en Anglais : Authentication, Autorisation, Accounting). 9/49
10 Il correspond a un modèle de sécurité implémenté dans certains routeurs Cisco mais que l'on peut également utiliser sur toute machine qui peut servir de NAS (Network Authentification System).Ils requièrent une identification d'une personne ou d un équipement avant d accorder des droits d accès S S L / T L S Transport Layer Security, anciennement nommé Secure Sockets Layer, est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape. Il a été renommé en Transport Layer Security par l'ietf suite au rachat du brevet de Netscape par l'ietf en X 802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par l'ieee. Il permet de contrôler l'accès aux équipements d'infrastructures réseau (et par ce biais, de relayer les informations liées aux dispositifs d'identification) PA P Password Authentication Protocol est un protocole d'authentification pour PPP. Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquent non sécurisé. L avantage de PAP est qu'il est extrêmement simple à implémenter, lui permettant d'être utilisé dans des systèmes embarqués très légers. Sur des systèmes de taille raisonnable on préférera sans doute le protocole CHAP C H A P Challenge Handshake Authentication Protocol est un protocole d'authentification pour PPP à base de challenge, ce qui le rend bien plus sûr que son pendant PAP. L'objectif de CHAP est que le pair s'authentifie auprès d'un authentificateur sans échange de mot de passe en clair sur le réseau et sans que l'échange puisse être rejoué par un tiers à l'écoute. La contrainte est que chaque partie partage un «secret» (mot de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette contrainte. Figure 1 : Protocole CHAP 10/49
11 MS- C H A P MS-CHAP est la version Microsoft du protocole. Ce protocole existe en deux versions : MS-CHAPv1 et MS- CHAPv E A P Extensible Authentication Protocol est un mécanisme d'identification universel, fréquemment utilisé dans les réseaux sans fil (ex : Wifi) et les liaisons point à point (PPP) E A P - T T L S / P E A P EAP-Tunneled Transport Layer Security, a été Co-développé par Funk Software et par certicom. C est également un standard ouvert IETF. Il est supporté sur de nombreuses plates-formes, et offre un très bon niveau de sécurité. Il utilise des certificats X-509 uniquement sur le serveur d'identification. Le certificat est optionnel du côté client. Le défaut de EAP-TTLS par rapport à PEAP est de ne pas être présent nativement sur les systèmes Microsoft et Cisco. En revanche, il est légèrement plus sécurisé que LEAP car il ne diffuse pas le nom de l'utilisateur en clair E A P - T L S EAP-TLS est un Standard ouvert IETF. On le retrouve implanté chez de nombreux fabricants de matériel sans fil. C est le seul protocole EAP qui doit obligatoirement être implanté sur un matériel pour pouvoir porter le logo WPA ou WPA2.Il offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le certificat client. Bien que le protocole EAP-TLS fournisse une excellente sécurité, l'obligation de disposer d'un certificat client est peut-être son talon d'achille. En effet, lorsque l'on dispose d'un grand parc de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés. TLS est considéré comme le successeur du standard SSL. Il utilise une Infrastructure à clés publiques pour sécuriser les communications d'identification entre les clients et le serveur radius E A P - M D 5 EAP-MD5 est un autre standard ouvert IETF, mais il offre un niveau de sécurité faible. 11/49
12 La fonction de hachage MD5 utilisée est vulnérable aux attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques L E A P Lightweight Extensible Authentication Protocol est une implémentation propriétaire du protocole EAP conçu par Cisco Systems. La société a fait beaucoup d'efforts pour promouvoir ce protocole. Il a permis à d'autres fabricants de réaliser des produits «LEAP Compatible» au travers du programme CCE (Cisco Certified Extensions). Ce protocole n'est pas présent nativement sous Windows. Figure 2 : Protocole LEAP Il était connu pour être vulnérable aux attaques par dictionnaire comme EAP-MD5. Mais il ne l'est plus depuis la version ASLEAP (2003) de Joshua Wright. Cisco continue de soutenir que LEAP est une solution sécurisée si l'on utilise des mots de passe suffisamment complexes. Mais tout le monde sait bien que dans la réalité les mots de passe complexes sont rarement utilisés. De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas ce type de fragilité car ils créent un tunnel TLS pour sécuriser l'identification. De plus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur des points d'accès de marque Cisco ou non. 12/49
13 2. ETUDE DE L'EXISTANT 2.1. Les solutions existante du marché L a t e c h n o l o g i e b i o m é t r i q u e Elle est la science qui permet d'identifier de manière automatique une personne en se basant sur ses caractéristiques physiologiques ou comportementales. En effet, chaque personne est unique de ce fait, chacun possède sa propre caractéristique biométrique, et elle rend cette technologie assez stable. Généralement, on distingue deux catégories de méthodes d'authentification biométrique, les méthodes basées sur les caractéristiques physiques telles que le visage, la voix et ADN, et celles basées sur les caractéristiques comportementales comme la signature, la manière de marcher ou de taper sur un clavier L a c a r t e à p u c e D i g i p a s s Le Digipass est un produit de sécurité de VASCO Data Security International, fournissant une authentification forte des utilisateurs et des signatures numériques via des jetons de sécurité réalisées par les utilisateurs de petites ou de logiciels sur les téléphones mobiles, appareils portables ou des PC. Il est compatible avec plus de 50 fournisseurs internationaux pour une variété de e-commerce, e-banking, e-réseautage et applications e- gouvernement. Elle utilise le serveur temps et l authentification à deux facteurs et peut être utilisé pour signer des transactions électroniques. Il a été inventé en 1989 par un belge Mr Dominique COLARD L a c a r t e à p u c e a u d i o La société Audio Smart Card développe une offre matérielle et logicielle permettant de répondre efficacement à tous les besoins d'authentification distants sur l'ordinateur et le téléphone. Elle propose une carte à puce audio s appliquant aussi bien à l économie, à l e banking, au call center, au transport, à la santé, aux ressources humaines, aux services télécom, etc. Basée sur le principe du mot de passe dynamique car elle utilise comme support d authentification une carte à puce audio qui fonctionne en liaison avec le serveur d authentification Secure Sound Pro Server L a t e c h n o l o g i e R S A S e c u r I D SecurID est un système de token, ou authentifieur, produit par la société RSA Security et destiné à proposer une authentification forte à son utilisateur. La majorité des tokens SecurID affichent un code à 6 chiffres changeant généralement toutes les minutes. L'utilisateur ajoute un Pin Code PIN personnel au TokenCode lu sur l'authentifieur SecurID. Le tout est appelé un PassCode (soit PassCode = PIN Code + TokenCode). Par ailleurs, le Token expire au bout d'un certain temps (3 à 5 ans selon les modèles).ce système de Token, de type OTP, est utilisé pour les applications Web (par exemple le ebanking) et les technologies de type VPN (IPSEC, SSL), SSH, Citrix. 13/49
14 2.2. Les serveurs d application Voici une présentation des principaux serveurs : R A D I U S Remote Authentication Dial-In User Service est un protocole de type client-serveur qui a pour rôle d authentifier les requêtes qui lui parviennent d un poste client. Il existe plusieurs solutions de serveur radius qu elles soient commerciales ou open source : ACS (Cisco sous Windows). Aegis (sous Linux). IAS (sous Windows). Open Radius (Open source). Free Radius (Open source, BSD, Windows) D I A M E T E R Diameter est un protocole d'authentification, il est successeur du protocole radius T A C A C S Terminal Access Controller Access-Control System (TACACS) est un protocole d'authentification distante utilisé pour communiquer avec un serveur d'authentification, généralement utilisé dans des réseaux Unix. TACACS permet à un serveur d'accès distant de communiquer avec un serveur d'authentification dans l'objectif de déterminer si l'utilisateur a le droit d'accéder au réseau K E R B E R O S Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbère, gardien des Enfers (Κέρϐερος). Kerberos a d'abord été mis en œuvre sur des systèmes Unix Les services d annuaires Un annuaire va permettre de centraliser les données des utilisateurs et des services afin de rendre plus simple l administration. Un annuaire peut être associé à un système de stockage de données permettant de rendre accessible un ensemble d'informations à tous les utilisateurs de ce système. Voici un exemple: Carnet d'adresses. 14/49
15 Annuaire téléphonique. Serveur DNS... Sur un système informatique, les données ne sont pas organisées de manière relationnelle comme sur les SGBD classiques (MySQL, PgSQL, SQL Server,...) mais de manière hiérarchique. Si on souhaite faire une comparaison entre les services d'annuaire et les SGBD classiques, on peut établir que : La consultation des données est plus rapide pour l'annuaire par rapport aux SGBD classiques. La duplication des données est facilitée. Le stockage des données peut être réalisé dans un plus faible espace. Les avantages des services d'annuaire sont leur rapidité pour accéder aux informations, les mécanismes de sécurité pouvant être mis en œuvre, la centralisation des informations et les possibilités de redondance de l'information. Voici une présentation des principaux serveurs : N I S Network Information Service (NIS) nommé aussi Yellow Pages est un protocole client-serveur développé par Sun permettant la centralisation d'informations sur un réseau UNIX N I S + Il est l évolution de NIS plus sécurisée et mieux adaptée aux gros réseaux, il est développé par Sun D N S Domain Name System est un service permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine. À la demande de Jon Postel, Paul Mockapetris inventa le «DNS» en 1983 et en écrivit la première implémentation L D A P Lightweight Directory Access Protocol est à l'origine un protocole permettant l'interrogation et la modification des services d'annuaire A C T I V E D I R E C T O R Y Active Directory est la mise en œuvre par Microsoft des services d'annuaire pour les systèmes d'exploitation Windows. L'objectif principal d'active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. 15/49
16 3. DESCRIPTION DU BESOIN Pour les besoins de notre étude, nous avons de décider de mettre en place un banc de test pour une analyse détailler un mécanisme d authentification. Mais avant toute chose, nous allons expliquer le principe de fonctionnement des solutions que nous allons utiliser Remote Authentication Dial -In User P r i n c i p e d e f o n c t i o n n e m e n t C est un protocole d authentification standard Client/serveur qui permet de centraliser les données d authentification : Les politiques d autorisation et de droits d accès, traçabilité. Ce processus doit être relié à une source d informations, qui est souvent un annuaire LDAP. Auparavant, les noms et les mots de passe des utilisateurs devaient être dupliqués sur chaque serveur pouvant être accédé à distance (par un modem RTC par exemple). L arrivé de ce serveur a permit aux F.A.I d authentifier les utilisateurs distants connectés, à partir d une seule base utilisateurs. Ce protocole avait particulièrement un sens avant l ADSL illimité, car il permettait de mesurer le temps précis de connexion des abonnés et facturer en conséquence. L identification sur les sites Web peut aussi être gérée par RADIUS. Apache est sans doute le client RADIUS le plus répandu (le module «mod_auth_radius» permet à un serveur Apache de valider une authentification en interrogeant un serveur Radius). Aujourd hui, ce protocole est aussi souvent utilisé pour les connexions à Internet sans fil (WLAN - avec le protocole 802.1X qui assure l'identification par port pour l'accès à un réseau). Figure 3 : Architecture globale du serveur radius On le retrouve aussi bien au sein de la téléphonie sur IP comme outil de gestion des connexions, autour du protocole SIP notamment. Dans ce cas, l'annuaire SIP chargé de l'authentification communique avec le serveur Radius en utilisant ce protocole. Son fonctionnement est simple : 16/49
17 Figure 4 : Protocole du serveur radius L utilisateur (le supplicant) se connecte (via PPP ou Telnet) à un client (Network Access Server), qui est en général une passerelle/proxy. Le client demande à l utilisateur son nom et son mot de passe, et il les communique de manière sécurisée à un serveur RADIUS relié à une base de données ou à un annuaire LDAP. En fonction de la zone d accès demandée et des droits de l utilisateur, le serveur peut exiger des informations supplémentaires pour l authentification. La réponse CHALLENGE permet d éviter de transmettre le mot de passe. Le client envoie alors une autre requête répondant au Challenge pour s'authentifier. Si l identification réussie, le serveur répond par un ACCEPT (REJECT dans le cas contraire). Le serveur envoie enfin les autorisations de l utilisateur. Il pourra par la suite bloquer une connexion en cours et assurer une journalisation des accès. Les limitations du protocole : Il a été conçu au départ pour des identifications sur des liaisons lentes et peu sûres. Le choix du protocole UDP (port 1812) conduit à des échanges laborieux basés sur des temporisations de réémission et des échanges d accusé de réception. Sécurité relative reposant sur le secret partagé. Certaines implémentations clientes limitent en plus sa taille. Chiffrement de l attribut User-Password par une fonction de hachage MD5, plutôt réservé pour des opérations de signature. Le rejeu des réponses du serveur est possible. Pas de mécanisme d'identification du serveur. Il est ainsi possible de se faire passer pour un serveur et de récolter les noms et mots de passe des utilisateurs. 17/49
18 Les normes qui complètent le protocole RADIUS sont les protocoles d authentification PAP, CHAP ou EAP Lightweight Directory Access Protocol P r i n c i p e d e f o n c t i o n n e m e n t Il est actuellement en version 3 et il est normalisé par l IETF. Il s agit d un protocole d interrogation d annuaire. On dit qu il est allégé, par comparaison à la norme X500, son ancêtre, dont la mise en œuvre était très lourde. Figure 5 : Historique X.500 et LDAP LDAP au cœur du système d information car Il regroupe les données d une entité au même endroit. On dit que c est un annuaire fédérateur. C est un standard incontournable par ce que la plupart des applications récentes s appuient dessus : les outils de messageries, les actifs du réseau (proxy, firewall ), les progiciels de gestion, les réseaux intranets, etc. Une majorité de logiciel utilisent LDAP pour l authentification. Figure 6 : Exemple d'organisation de type «information tree» 18/49
19 LDAP est une base donnée hiérarchique et non pas relationnelle comme les SGBD. On peut ainsi représenter son contenu sous forme d arbre. L annuaire est conçu pour référencer toutes sortes d informations : Informations sur des personnes, sur des applications, sur un parc informatique Le concept de l annuaire, c est de maintenir de façon cohérente et contrôlée une grande quantité de données et d optimiser la consultation en lecture au dépend de l écriture. Les accès concurrents sont gérés et la quantité de donnée pouvant être stockée est quasi illimité. La contrepartie est que les mises doivent être ponctuelles et les enregistrements peu volumineux : On utilise des chaînes de caractère courtes et on limite le nombre de fichiers binaires (certificats, photos ). LDAP propose donc des mécanismes pour gérer l authentification. Plusieurs méthodes sont possibles en fonction du niveau de sécurité désiré : La connexion anonyme est généralement limitée à la consultation de parties restreintes de l annuaire. L authentification par login/mot de passe. L authentification par login/mot de passe avec hachage de ce dernier. L authentification par login/mot de passe avec un tunnel TLS entre le client et l application et entre l application et l annuaire. L authentification par certificat X509. Authentification plus élaborée grâces aux API SASL (Simple Authentification and Security Layer). Cette API permet d intégrer facilement des mécanismes d authentification forte comme Kerberos, Radius, ou des systèmes de mot de passe à usage unique comme OTP. Il est aussi possible de sécuriser les échanges entre l annuaire LDAP et les clients par LDAP sur TLS ou LDAPS. Le principal avantage du serveur est la normalisation de l'authentification. Il est très facile de programmer un module d'authentification reposant sur le serveur à partir d'un langage possédant une API de type LDAP. C'est l'opération Bind qui permet d'authentifier un utilisateur. Aujourd hui, de plus en plus d'applications Web possèdent un module d'authentification prenant en charge le protocole LDAP. Les applications peuvent ainsi déléguer l étape d authentification à l annuaire LDAP qui met en œuvre l une des méthodes précédentes. Par exemple sur les systèmes GNU/Linux récents, les fichiers Password et shadow sont de plus en plus remplacés par des appels à LDAP. Les données peuvent être accédées par le module PAM. PAM est un mécanisme qui permet justement de déléguer les fonctionnalités d authentification, sans rien recompiler. Il peut être paramétré en fonction de l application (base de compte NTLM pour les anciennes versions de Windows, base de compte Unix ou autre) et en fonction du mode d accès à l application (Intranet, Extranet, Web). Le module de connexion de PAM fournit l interface avec les annuaires (ou les fichiers). C est cette couche qui validera que l identifiant et le mot de passe sont valides et retournera une réponse aux applications. 19/49
20 4. MISE EN PLACE DU PROJ ET 4.1. Pré-requis Pour les besoins du projet, nous allons utiliser une machine virtuelle (VMware Player) ou éventuellement un pc classique pour installer un système d exploitation Unix open-source (Ubuntu 11.10).Tous les services sera dans la même machine pour faciliter la phase de test Installation des services I n s t a l l a t i o n d u s e r v i c e d a n n u a i r e Entrer la commande suivante pour installer le service d annuaire: apt-get install slapd ldap-utils ldapvi Une fois l'application installé, l'ensemble des fichiers se trouvent dans : «/etc/ldap». Une fois l installation du serveur effectuée, arrêtez le service en faisant : /etc/init.d/slapd stop I n s t a l l a t i o n d u s e r v i c e r a d i u s Entrer la commande suivante pour installer le service d authentification: apt-get install freeradius freeradius-ldap Une fois l'application installé, l'ensemble des fichiers se trouvent dans : «/etc/freeradius». Une fois l installation du serveur effectuée, arrêtez le service en faisant : /etc/init.d/freeradius stop I n s t a l l a t i o n d u s e r v i c e s a m b a Entrer la commande suivante pour installer le service d authentification: apt-get install samba-doc samba smbclient smbfs smbldap-tools Une fois l'application installé, l'ensemble des fichiers se trouvent dans : «/etc/samba». Une fois l installation du serveur effectuée, arrêtez le service en faisant : /etc/init.d/smbd stop I n s t a l l a t i o n d e p h p l d a p a d m i n Entrer la commande suivante pour installer l interface d administration de l annuaire: apt-get install phpldapadmin I n s t a l l a t i o n d e s l i b r a i r i e s l d a p Nous allons maintenant installer et configurer la librairie qui permet d utiliser l annuaire (libnss-ldap) et la librairie qui permet de s authentifier sous unix (libpam-ldap) apt-get install libnss-ldap libpam-ldap 20/49
Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA
Nom : Prénom : Classe et groupe : 1P 3 SEN TRI Télécom & Réseaux Linux Ubuntu Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA 04/11/2010 TP 1. Objectif : Configurer un serveur SAMBA sous Linux
Plus en détailLe protocole RADIUS Remote Authentication Dial-In User Service
Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours
Plus en détailInstallatIon et configuration d une Infrastructure réseau sans-fil. Avec. Interface de gestion utilisateurs
ET InstallatIon et configuration d une Infrastructure réseau sans-fil Avec Interface de gestion utilisateurs Quentin MARACHE, Pierre-Damien WEBER, Jean-Baptiste FIRMIN 1 Tables des matières Préambule...
Plus en détailTP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS
TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS I LA MISSION Votre entreprise cherche maintenant à réduire le coût des licences. Elle vous confie la mission qui consiste à tester différents
Plus en détailJournée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS
Journée Josy/PLUME Outils logiciels libres utiles à tout ASR SAMBA Maurice Libes Centre d'océanologie de Marseille UMS 2196 CNRS Plan - Présentation de Samba Contexte d'utilisation Laboratoire Objectifs,
Plus en détailI. Présentation du serveur Samba
Introduction D un point de vue général, un contrôleur de domaine est grand chef sur un réseau. C'est le serveur auquel tous les clients se réfèrent pour les authentifications d'utilisateurs, de machines,...
Plus en détailRTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications
RTN / EC2LT Réseaux et Techniques Numériques Ecole Centrale des Logiciels Libres et de Télécommunications Mise en place d'un Contrôleur de Domaine dans un milieu hétérogène avec SAMBA couplé à LDAP Domaine
Plus en détail1. Présentation de WPA et 802.1X
Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition
Plus en détailProtocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos
Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation
Plus en détailInstallation du point d'accès Wi-Fi au réseau
Installation du point d'accès Wi-Fi au réseau Utilisez un câble Ethernet pour connecter le port Ethernet du point d'accès au port de la carte réseau situé sur le poste. Connectez l'adaptateur électrique
Plus en détailBut de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes
But de cette présentation Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Vous faire découvrir le modèle client-serveur et la création d un contrôleur de domaine sous Linux Ce sont des aspects
Plus en détailCRI-IUT 2005. Serveur d'authentification pour la sécurité des réseaux Wi-Fi
CRI-IUT 2005 freeradius Serveur d'authentification pour la sécurité des réseaux Wi-Fi 1 Plan Partie I Théorie Contexte: sécurité des réseaux Wi-Fi Différentes solutions de sécurisation 802.1x, EAP, RADIUS
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailOpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP
OpenLDAP, un outil d administration Réseau Une implémentation d OpenLDAP INRA de Rennes UMR-118 Amélioration des Plantes et Biotechnologies Végétales Présentation : Lightweight Directory Access Protocol
Plus en détailJeudis du libre, Samba ou comment donner le rythme aux stations Windows
Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Qui suis-je? Philip Richardson Sysadmin à Bruxelles Formation Formateur occasionnel Membre du BxLUG (http://www.bxlug.be) A été RHCE
Plus en détailINSTALLATION ET CONFIGURATION DE OPENLDAP
INSTALLATION ET CONFIGURATION DE OPENLDAP Ce document a pour intérêt de décrire les étapes de l installation et de la configuration de l outil OpenLDAP sous l OS FreeBSD 4.8 Installation et Configuration
Plus en détailAuthentification des utilisateurs avec OpenLDAP et Samba 3.0
Authentification des utilisateurs avec OpenLDAP et Samba 3.0 Ce tutoriel développe la mise en place d'un contrôleur de Domaine Principal (PDC) couplet avec un contrôleur de Domaine de Replication (BDC)
Plus en détailImprimantes et partage réseau sous Samba avec authentification Active Directory
Imprimantes et partage réseau sous Samba avec authentification Active Directory Sommaire 1- Pré requis Page 2 2- Configuration réseau Page 3 3- Installation de samba Page 4 à 5 4- Installation de kerberos
Plus en détailInstallation d'un serveur RADIUS
Installation d'un serveur RADIUS Par LoiselJP Le 22/05/2013 1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, de créer un serveur Radius. L installation ici proposée
Plus en détailL'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :
Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization
Plus en détailPARAMETRER SAMBA 2.2
PARAMETRER SAMBA 2.2 Configurations requises : Mandrake Linux 9.2 avec Samba 2.2.8 installé (poste avec une IP statique), nommé MDK92, connexion en tant que root. Postes clients Windows 2000 Pro / XP (avec
Plus en détailTable des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2
Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 1.2 Accès distant (dial-in)...2 1.3 VPN...3 1.4 Authentification...4 1.5 Configuration d un réseau privé virtuel (vpn)...6
Plus en détailLes Réseaux Privés Virtuels (VPN) Définition d'un VPN
Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent
Plus en détailAUTHENTIFICATION. 802.1x FREERADIUS. Objectifs
AUTHENTIFICATION 802.1x FREERADIUS Objectifs Configurer un serveur Radius (Remote Authentication Dial-In User Service) ainsi qu un switch Cisco qui fera office de point d accès entre le client et le serveur
Plus en détailLe protocole RADIUS. Objectifs. Ethernet Switch RADIUS RADIUS
2ème année 2008-2009 Le protocole RADIUS Décembre 2008 Objectifs Objectifs : Le but de cette séance est de montrer comment un protocole d authentification peut être utilisé afin de permettre ou interdire
Plus en détailConfiguration d'un annuaire LDAP
Le serveur Icewarp Configuration d'un annuaire LDAP Version 10.3 Juillet 2011 Icewarp France / DARNIS Informatique i Sommaire Configuration d'un annuaire LDAP 1 Introduction... 1 Qu'est-ce que LDAP?...
Plus en détailAuthentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG
Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail
Plus en détailLINUX REMPLAÇANT WINDOWS NT
189 Cette installation fonctionne chez moi à Veyre. Vous pouvez consulter et télécharger les fichiers à : http://perso.wanadoo.fr/gerard.blanchet/ veyre/ Mais c'est tout à fait adapté à un établissement
Plus en détailA. À propos des annuaires
Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques
Plus en détailSSH, le shell sécurisé
, le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,
Plus en détailJournées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB
Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots
Plus en détailLINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
Avant-propos A. Introduction 18 B. Les objectifs 18 C. Contenu du livre 19 Chapitre 1 Les annuaires X.500 et le protocole LDAP A. Généralités sur les annuaires 24 1. Définition des annuaires 24 2. Qu'est-ce
Plus en détailTunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.
Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers
Plus en détailTunnels et VPN. 22/01/2009 Formation Permanente Paris6 86
Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement
Plus en détailCouche application. La couche application est la plus élevée du modèle de référence.
Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application
Plus en détailLes Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05
Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution
Plus en détailConférence technique sur Samba (samedi 6 avril 2006)
Conférence technique sur Samba (samedi 6 avril 2006) Windows dansera la Samba... http://linux azur.org/wiki/wakka.php?wiki=samba Plan Historique de Samba Protocoles SMB/CIFS Installation Serveurs Samba
Plus en détailFormateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt
Client sur un domaine stage personnes ressources réseau en établissement janvier 2004 Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt Lycée de Villaroy 2 rue Eugène Viollet Le Duc BP31 78041
Plus en détailLe rôle Serveur NPS et Protection d accès réseau
Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS
Plus en détailFaites danser votre serveur avec Samba. Association LOLITA
Faites danser votre serveur avec Samba. Partagez des données et des imprimantes dans un réseau hétérogène. Association LOLITA Logiciels Libres à Tahiti & ses îles. Présentation de SAMBA. Présentation entièrement
Plus en détailLa double authentification dans SharePoint 2007
La double authentification dans SharePoint 2007 Authentification NT et Forms sur un même site Dans de nombreux cas on souhaite pouvoir ouvrir un accès sur son serveur SharePoint à des partenaires qui ne
Plus en détailTD3 - Radius et IEEE 802.1x
M2 ISIM SIC Pro (RS) 2012 2013 Mobilité R. Card &T.T. Dang Ngoc dntt@u-cergy.fr TD3 - Radius et IEEE 802.1x 1 RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service) repose principalement
Plus en détailProjet Semestre2-1SISR
Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test
Plus en détailUtiliser Améliorer Prêcher. Introduction à LDAP
Introduction à LDAP Introduction à LDAP Sommaire 2 Sommaire Historique rapide Les concepts LDAP et la gestion d identité Démonstration Autre ressources 2 Historique Historique Historique rapide 4 Historique
Plus en détailTUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur
TUTORIEL RADIUS Dans ce tutoriel nous allons voir, comment mettre en place une borne wifi avec un protocole RADIUS. Pour cela, vous aurez besoin : - d un serveur Windows 2012 - d un Active Directory -
Plus en détailPrésenté par : Ould Mohamed Lamine Ousmane Diouf
Sécurité des Réseaux Wi Fi Présenté par : Ould Mohamed Lamine Ousmane Diouf Table des matières Présentation du réseau Wi Fi Configuration d'un réseau Wi Fi Risques liés aux réseaux Wi Fi Règles de base
Plus en détailInstructions Mozilla Thunderbird Page 1
Instructions Mozilla Thunderbird Page 1 Instructions Mozilla Thunderbird Ce manuel est écrit pour les utilisateurs qui font déjà configurer un compte de courrier électronique dans Mozilla Thunderbird et
Plus en détailPervasive Network (Thus0 / Petrus homepage)
1 sur 14 25/12/2008 04:39 Pervasive Network (Thus0 / Petrus homepage) Aller au contenu Aller au menu Aller à la recherche Plan du site admin Installation de freeradius 2.0.4 + mysql sur une debian (testing)
Plus en détailContenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install
Albéric ALEXANDRE 1 Contenu 1. Introduction... 2 2. Prérequis... 2 3. Configuration du serveur... 2 a. Installation de Network Policy Server... 2 b. Configuration de Network Policy Server... 2 4. Configuration
Plus en détailOutils Logiciels Libres
LP ASRALL Outils Logiciels Libres LDAP, CMS et Haute Disponibilitée Auteurs : Rémi Jachniewicz, Julien Lacava, Gatien Gaspard, Romain Gegout, Benoit Henryon 17 mars 2009 Table des matières 1 Ldap 3 1.1
Plus en détailInstallation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall
Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall Titre Version Date Dernière page Identité du document Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall
Plus en détail1. Présentation du TP
LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONTROLEUR PRINCIPAL DE TP N 1 DOMAINE ACADÉMIE D ORLÉANS-TOURS OBJECTIFS : INSTALLER ACTIVE DIRECTORY CONFIGURER ACTIVE DIRECTORY : - CREER DES
Plus en détailINDUSTRIALISATION «802.1X» CONFIG : 802.1X PEAP MSCHAPV2
DATE DE DERNIERE MISE A JOUR : 09 SEPTEMBRE 2009 INDUSTRIALISATION «802.1X» CONFIG : 802.1X PEAP MSCHAPV2 PRONETIS RAPPORT TECHNIQUE Page : 1/27 SOCIETE PRONETIS SOMMAIRE 1. ITINERANCE INTERNE...3 1.1.
Plus en détailSingle Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO
Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction
Plus en détailGestion des identités
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailOcs Inventory et GLPI s appuie sur un serveur LAMP. Je vais donc commencer par installer les paquets nécessaires.
Installation & Configuration GPLPI / OCS Inventory NG Installer sur Debian 5 Lenny, Liaison Active Directory, Mise en place du couple OCS/GLPI Par : POMENTE Guillaume OCS Inventory et GLPI sont deux outils
Plus en détailConfiguration de l'accès distant
Configuration de l'accès distant L'accès distant permet aux utilisateurs de se connecter à votre réseau à partir d'un site distant. Les premières tâches à effectuer pour mettre en oeuvre un accès distant
Plus en détailHow To? Sécurité des réseaux sans fils
Retrouvez les meilleurs prix informatiques How To? Sécurité des réseaux sans fils Notre magasin Rue Albert 1er, 7 B-6810 Pin - Chiny Route Arlon - Florenville (/fax: 061/32.00.15 FORMATIONS Le MAGASIN
Plus en détailUbuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)
Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution
Plus en détail1 Configuration des Fichiers Hosts, Hostname, Resolv.conf
INSTALLATION ET CONFIGURATION ZIMBRA SUR DEBIAN 4.0 ETCH Zimbra est une solution Open Source d e-mail et de partage de calendrier destinée aux entreprises, aux prestataires de service, aux institutions
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailLDAP et carnet d'adresses mail
LDAP et carnet d'adresses mail I)Installation Open-LDAP v1 (Conf dans l'annuaire LDAP, cn=config) apt-get install slapd ldap-utils 1)Suppression de la base par défaut rm /etc/ldap/slapd.d/cn\=config/olcdatabase={1}hdb.ldif
Plus en détailCe document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Plus en détailCouplage openldap-samba
Couplage openldap-samba Groupe de travail SARI Animateur du groupe : Bernard MAIRE-AMIOT (CRTBT) Participants Françoise BERTHOUD (LPMMC) François BOUHET (MSH-ALPES) Guy BOURREL (TIMC) Xavier CHAUD (CRETA)
Plus en détailLAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ
LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais
Plus en détailHAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE
HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE Projet de semestre ITI soir 4ème année Résumé configuration OpenVpn sur pfsense 2.1 Etudiant :Tarek
Plus en détailWindows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.
2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation
Plus en détailInstallation du client Cisco VPN 5 (Windows)
Documentation pour tout utilisateur mise à jour le 17.03.2008, a été réalisée par Kurt Tornare Installation du client Cisco VPN 5 (Windows) Attention : la réexportation de ce logiciel cryptographique est
Plus en détailGestion des identités Christian-Pierre Belin
Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations
Plus en détailInstallation du client Cisco VPN 5 (Windows)
Documentation pour tout utilisateur mise à jour le 14.09.2010, a été réalisée par Kurt Tornare Installation du client Cisco VPN 5 (Windows) Attention : la réexportation de ce logiciel cryptographique est
Plus en détailInstallation du client Cisco VPN 5 (Windows)
Documentation pour tout utilisateur mise à jour le 20.06.2007, a été réalisée par Kurt Tornare Installation du client Cisco VPN 5 (Windows) Attention : la réexportation de ce logiciel cryptographique est
Plus en détailIntroduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...
Système d'exploitation Sommaire Introduction...3 Objectif...3 Manipulations...3 Gestion des utilisateurs et des groupes...4 Introduction...4 Les fichiers de base...4 Quelques commandes d'administration...5
Plus en détailInstaller un domaine DNS
Installer un domaine DNS Olivier Hoarau (olivier.hoarau@funix.org) V1.2 du 3.12.00 1 Historique... 2 2 Préambule... 2 3 Présentation... 2 4 Installation et configuration... 3 5 Lancement automatique de
Plus en détailWEB page builder and server for SCADA applications usable from a WEB navigator
Générateur de pages WEB et serveur pour supervision accessible à partir d un navigateur WEB WEB page builder and server for SCADA applications usable from a WEB navigator opyright 2007 IRAI Manual Manuel
Plus en détailUE5A Administration Réseaux LP SIRI
UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés
Plus en détailInstallation d'un Contrôleur Principal de Domaine SAMBA 4
Installation d'un Contrôleur Principal de Domaine SAMBA 4 EIL Côte d'opale 2013 Pré-requis : uname -a Linux mars 3.2.0-4-686-pae #1 SMP Debian 3.2.39-2 i686 GNU/Linux apt-get install linux-headers-3.2.0-4-686-pae
Plus en détailServeur d impression CUPS
Serveur d impression CUPS I)Installation CUPS : adduser nomutilisateuradmin lpadmin apt-get install cups cp /etc/cups/cupsd.conf /etc/cups/cupsd.conf.original II)Configuration cups : nano /etc/cups/cupsd.conf
Plus en détailWIFI sécurisé en entreprise (sur un Active Directory 2008)
Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de
Plus en détailService Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél. +41 032 718 2000, hotline.sitel@unine.ch.
Terminal Server 1. Présentation Le terminal server est un service offert par les serveurs Windows 2000 ou par une version spéciale de windows NT 4.0 server, appelée Terminal Server. Un programme client
Plus en détailTransmission de données
Transmission de données Réseaux : VPN pour Windows 200x Objectifs. On se propose, dans ce TP, de mettre en uvre un réseau VPN afin que les collaborateurs de l entreprise Worldco puissent se connecter au
Plus en détailAuthentification hybride SALAH KHMIRI (RT3) AMAMOU NESRINE (RT3) JOUA RIADH (GL4) BOUTARAA AMIRA (RT3) SAMALI HADHEMI (RT3)
Authentification hybride SALAH KHMIRI (RT3) AMAMOU NESRINE (RT3) JOUA RIADH (GL4) BOUTARAA AMIRA (RT3) SAMALI HADHEMI (RT3) Table des matières 1. Presentation de l atelier... Erreur! Signet non défini.
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailLa citadelle électronique séminaire du 14 mars 2002
e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com
Plus en détailLes RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)
Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................
Plus en détailL annuaire et le Service DNS
L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.
Plus en détailInternet. Licence Pro R&S. TD 5 - Wifi / Radius. 1 Sur le réseau de distribution (DS) 1.1 Configuration des routeurs PC6
Département des Sciences Informatiques Licence Pro R&S 2009 2010 Chiffrement et authentification T.T. Dang Ngoc dntt@u-cergy.fr TD 5 - Wifi / Radius Vous déployerez la salle en IPv4 de la manière suivante
Plus en détailRestriction sur matériels d impression
Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP
Plus en détailModule 5.2 - Samba: Concepts et fonctionnement
Table des matières Installation de SAMBA...2 Démarrer le service Samba...3 Configuration de Samba: le fichier smb.conf...3 Exemples...15 Accès depuis un poste client Linux...18 Module 5.2 - Samba: Concepts
Plus en détailTable des matières. 1. Installation de VMware ESXI 4... 3. 1.1. Pré-requis... 3. 1.2. Installation... 3
Table des matières 1. Installation de VMware ESXI 4.... 3 1.1. Pré-requis... 3 1.2. Installation... 3 1.2.1. Panneau de configuration du serveur ESXI... 4 1.2.2. Configuration du mot de passe «Root»....
Plus en détailAnnuaire LDAP + Samba
Annuaire LDAP + Samba Ce document est de donner les bases nécessaires pour la création d'un annuaire LDAP qui sera utilisé pour l'authentification de comptes UNIX et Samba sur un serveur distant. L'objectif
Plus en détailAccès aux ressources informatiques de l ENSEEIHT à distance
Ecole Nationale Supérieure d Électrotechnique, d Électronique, d Informatique, d Hydraulique et des Télécommunications Accès aux ressources informatiques de l ENSEEIHT à distance Jean-François GINESTE,
Plus en détailSECURITE DES SYSTEMES DʼINFORMATION FREEIPA Projet de semestre ITI 3eme année Etudiant RAZAFIMAHATRATRA LAURE Professeur : Gérald LITZISTORF
SECURITE DES SYSTEMES DʼINFORMATION FREEIPA Projet de semestre ITI 3eme année Etudiant RAZAFIMAHATRATRA LAURE Professeur : Gérald LITZISTORF 1 Année académique 2013-2014 Projet de semestre SECURITE DES
Plus en détailAUTHENTIFICATION MANAGEMENT
AUTHENTIFICATION MANAGEMENT MANEL KAWEM (RT4) TAYEB BEN ACHOUR (RT3) SAMAR JAMEL (RT4) AMINE CHERIF (RT3) DORRA BOUGHZALA (RT3) YASSINE DAMMAK (RT4) ABIR AKERMI (RT3) Table des matières I. Présentation
Plus en détailMot de passe sécurisé, systèmes d'authentification S/Key et par jeton de contrôle, protocoles d'authentification pour PPP : PAP, CHAP et EAP
Mot de passe sécurisé, systèmes d'authentification S/Key et par jeton de contrôle, protocoles d'authentification pour PPP : PAP, CHAP et EAP Hicham RICHA Plan 1 Mots de passe sécurisés: a) Introduction
Plus en détailMettre en place un accès sécurisé à travers Internet
Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer
Plus en détail