Authentification sous Linux avec Kerberos

Dimension: px
Commencer à balayer dès la page:

Download "Authentification sous Linux avec Kerberos"

Transcription

1 Authentification sous Linux avec Kerberos 1 de 25

2 Table des matières 1 la sécurité sous Linux par défaut Les utilisateurs du système Le fichier /etc/passwd Le fichier /etc/shadow Les groupes du système Les commandes de gestion des utilisateurs Création d'un utilisateur : Suppression d'un utilisateur: Modification du mot de passe: Commande des permissions: La notion de propriétaire La notion de permission La cryptographie Le chiffrement par clés symétriques Le chiffrement par clés asymétriques Les certificats Kerberos Présentation: Historique: Avantages: Inconvénients: Conclusion Terminologie de kerberos: Principe de fonctionnement: Installer et configurer un serveur Kerberos 5: Installation du serveur Kerberos : Configurer un client Kerberos La sécurité:...18 Annexe:...19 Bulletin de sécurité:...19 Installation de Kerberos:...19 Serveur:...19 Client:...20 Lancement des services:...21 Commande USERADD...22 FICHIERS:...24 Sources: de 25

3 1 la sécurité sous Linux par défaut. Les systèmes Linux furent conçus pour être multi-utilisateurs. Toute la conception du système est axée autour de cette notion. L'accès à chaque élément du système est contrôlé en fonction de l'utilisateur qui en fait la demande. Dans un premier temps nous allons voir comment gérer les comptes utilisateurs ainsi que la mise en place des permissions sur les fichiers. 1.1 Les utilisateurs du système Pour le système un utilisateur n'est pas obligatoirement une personne physique. Il peut détenir des fichiers, exécuter des programmes ou encore déclencher des fonctions systèmes. Un utilisateur possède un login lui permettant de démarrer une session. A ce login est associé un mot de passe personnel. Pour accéder aux ressources du système, l'utilisateur doit entrer le couple login/mot de passe. Ce processus est l'authentification du système. En plus de ce couple, chaque utilisateur est référencé sur le système par un UID (Identifiant Utilisateur Unique) qui est une valeur numérique permettant : d'obtenir une hiérarchie parmi les utilisateurs et d'être facilement référencé dans les informations d'un objet du système de fichiers Le fichier /etc/passwd Ce fichier contient les informations relatives à tous les utilisateurs du système; Par défaut il est le seul qui les liste et qui les définit. La syntaxe de ce fichier est des plus simples, chaque ligne concerne un utilisateur et les différents champs sont séparés par des «:» Exemple: login:password:uid:gid:infos utilisateurs:répertoire personnel:shell Pat:x:500:500:Patrick:/home/Pat:/bin/bash Descriptif des champs : login : identifiant password : mot de passe Le mot de passe peut apparaître sous différentes formes!! le compte est désactivé x ou! le mot de passe est conservé dans un fichier shadow champ vide pas de mot de passe UID : il s'agit de l'identifiant unique de l'utilisateur. Le ROOT possède l'uid 0 3 de 25

4 Les UID inférieur à 100 doivent être réservés au compte système. GID : identifiant du groupe principal de l'utilisateur Infos utilisateurs : des infos sur l'utilisateur; Chaque info doit être séparé par des virgules. Répertoire personnel : répertoire ou sont stockés les fichiers appartenant à l'utilisateur. En général de la forme /home/login Shell: le shell qui sera lancé après l'authentification Le fichier /etc/shadow Le fichier /etc/passwd est accessible en lecture par tout le monde. En effet, certaines commandes utilisent la liste des utilisateurs ou encore la correspondance login/uid. La présence du mot de passe dans /etc/passwd même crypté pose un problème de sécurité puisque tous les utilisateurs possèdent un accès en lecture sur ce fichier. Pour remédier à ce problème, les mots de passe sont stockés dans un fichier différent que seul l'administrateur peut lire. En fonction des différentes distributions, l'utilisation du fichier shadow peut ne pas être activée. Pour activer cette dernière, il suffit d'utiliser la commande <pwconv>. Exemple : Pat:$1$g8s9ptfE$/rvJFuZj23tf/pibTaf02.:13860:0:99999:7::: Les groupes du système Sur les systèmes Linux, les groupes permettent de classer les utilisateurs. De la même manière que pour ceux ci, les informations concernant les groupes du système sont stockées dans un fichier /etc/group. Les informations relatives aux groupes présents sur le système sont répertoriées dans ce fichier et respectent une syntaxe comme celle de /etc/passwd : Exemple: adm:x:500:pat adm : nom du groupe x contient le caractère x (ou*) car n'est plus utilisé par les versions actuelles de Linux. 500 : le GID, c'est l'identifiant unique du groupe sous la forme d'une valeur numérique Pat : utilisateur du groupe. 4 de 25

5 1.2 Les commandes de gestion des utilisateurs Création d'un utilisateur : Des commandes permettent de gérer facilement les utilisateurs : Pour la création d'un utilisateur : il existe la commande <useradd>. Supposons que nous voulions créer un utilisateur stagiaire1 avec pour shell /bin/bash, pour répertoire personnel /home/stagiaire1, pour groupe stagiaire et dev. La commande permettant de créer cet utilisateur sera : ~]$ <useradd -c ''stagiaire1'' -G stagiaire,dev -s /bin/bash stagiaire1> Afin d'alléger la commande, il existe des valeurs par défaut pour les paramètres essentiels de la création d'un utilisateur. La commande useradd -D montre toutes les options par défaut Suppression d'un utilisateur: La commande <userdel> permet de supprimer un utilisateur : ~]$ <userdel [-r] login> Cette commande va supprimer du fichier /etc/passwd l'entrée correspondant à l'utilisateur désigné. L'option -r permet d'effacer le répertoire personnel de l'utilisateur Modification du mot de passe: Une fois l'utilisateur créé, ce dernier ne peut se connecter au système tant qu'un mot de passe ne lui a pas été attribué. La commande <passwd> permet de changer le mot de passe d'un utilisateur. La syntaxe de cette commande est la suivante : passwd [option] [login] Il est à noter que si l'argument login n'est pas préciser, la modification s'appliquera à l'utilisateur en cours. 1.3 Commande des permissions: Pour finir cette partie concernant la sécurité de Linux par défaut, il semble important d'évoquer la gestion des permissions. Deux notions sont importantes, celle de propriétaire et celle de permission La notion de propriétaire Puisque tout est fichier sous Linux et qu'il s'agit d'un système multi-utilisateur, il est important de cloisonner certaines parties du système afin que tous les utilisateurs n'aient pas accès à toutes les ressources présentes sur l'ordinateur. 5 de 25

6 Pour cela différentes permissions sont attachées à chaque fichier. Ce principe de cloisonnement des données passe par un principe de propriété. On distingue trois types de relations par rapport à la propriété d'un fichier avec chacune des droits différents : Le propriétaire : c'est souvent le créateur du fichier Le groupe; cela englobe tous les utilisateurs appartenant à ce groupe. Par défaut, il s'agit du groupe principal du propriétaire. Les autres : tous les autres utilisateurs du système La notion de permission A cette notion de propriétaire s'ajoute celle des permissions attribuées aux différents types de propriétaires. Il existe trois types de droits : Lecture: représentée par la lettre R, elle donne l'autorisation de lire un fichier. Ecriture: représentée par la lettre W, elle autorise la modification du fichier. Exécution: représentée par la lettre X, elle donne le droit d'exécuter un fichier. Ces 3 types de droit sont attribués séparément à 3 types d'utilisateurs : user :représentée par la lettre U, c'est le propriétaire du fichier ou du dossier. group : représentée par la lettre G, c'est le groupe propriétaire du fichier ou du dossier other: représentée par la lettre O, ce sont tous les autres utilisateurs du système. Avec la commande <ls -l> nous pouvons visualiser ces droits d'accès: drwxr-xr-x 2 patrick patrick :50 Nasm -rw-r--r-- 1 patrick patrick :09 nouveau fichier -rwxrwxrwx 1 patrick patrick :09 nouveau fichier2 Le champ -rw-r r-- de la ligne n 2 ci-dessus montre que les droits de «nouveau fichier» sont: lecture et écriture pour les utilisateurs et lecture pour les Groupes et Autres soit en nombre 644. Le champ -rwxrwxrwx de la ligne n 3 montre que les droits de «nouveau fichier2» sont: Lecture, écriture et exécution pour les trois triades Utilisateurs(User), Groupes(Group) et Autres(Other) soit en nombre de 25

7 2 La cryptographie Avant de décrire Kerberos, nous allons évoquer la confidentialité. En effet la confidentialité des données est devenue une préoccupation majeure pour l'administrateur système. Les 3 grands principes du cryptage sont les suivants : 1. La sécurité repose sur le secret de la clé et non pas sur la longueur de l'algorithme. 2. Le déchiffrement de la clé est sinon impossible du moins réclamant de nombreux moyens et du temps donc beaucoup trop coûteux. 3. Trouver la clé à partir des informations en clair et du chiffre doit être impossible. Le protocole SSL permet de décrire les méthodes pour sécuriser les échanges qui se résument à 3 possibilités : 1. le chiffrement par clés symétriques. 2. le chiffrement par clés asymétriques. 3. le chiffrement par certificats. 2.1 Le chiffrement par clés symétriques Ce chiffrement également appelé chiffrement à clé privé ou secrète. Il consiste à utiliser la même clé pour le chiffrement que pour le déchiffrement. Le principal inconvénient de ce système est l'échange de la clé. En effet, le chiffrage repose sur la même clé d'encryptage et de décryptage. Il y a donc un échange de clé. Or si quelqu'un intercepte la clé, il sera capable de décrypter le message. 7 de 25

8

9 3 Kerberos 3.1 Présentation: Kerberos est un protocole d authentification réseau créé au Massachusetts Institute of Technology (MIT) en Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs. Il utilise une cryptographie à clés symétriques. Kerberos est un protocole d authentification réseau. Il utilise une horloge pour : Limiter l usage des clés dans le temps. Détecter les attaques par rejeu. Il utilise DES : Le Data Encryption Standard (DES) est une méthode de chiffrement. Suppose un tiers de confiance. Kerberos ne fournit pas d autorisation mais uniquement de l authentification. Kerberos ne fait pas de chiffrement de données Historique: Kerberos 4, première version utilisable Kerberos 5, RFC 4120, juillet 2005 (RFC 1510, septembre 1993) Kerberos 5 est utilisé dans : UNIX : Linux, BSD, etc. Mac OS X (10.2 et suivants) GSS-API, SASL (NFSv4, AFS, LDAP, OpenSSH) Apache Samba PAM 9 de 25

10 MySQL Microsoft Windows (2000 et suivant), Avantages: La plupart des systèmes de réseau conventionnels utilisent des procédures d'authentification par mot de passe. Un utilisateur doit s'authentifier auprès d'un serveur réseau précis en fournissant son nom d'utilisateur et son mot de passe. L'authentification pour de nombreux services s'effectue de façon non-cryptée. Pour qu'une telle procédure soit sécurisée, il est essentiel d'une part que le réseau soit inaccessible aux utilisateurs externes et d'autre part, que tous les ordinateurs et utilisateurs sur le réseau soient dignes de confiance. Il suffit à tout pirate obtenant l'accès au réseau d'utiliser un simple analyseur de paquets (sniffer) pour intercepter des noms d'utilisateurs et des mots de passe envoyés en texte clair. Le principe de base de Kerberos est d'éviter la transmission de mots de passe non-cryptés à travers le réseau. Lorsque Kerberos est utilisé correctement, il élimine de façon efficace la menace des sniffers de paquets Inconvénients: Kerberos permet d'éliminer une menace commune pour la sécurité, mais plusieurs raisons font qu'il peut se révéler difficile à implémenter : La migration de mots de passe utilisateur d'une base de données de mots de passe Linux standard, comme /etc/passwd ou /etc/shadow, vers une base de données de mots de passe Kerberos peut être relativement longue car il n'existe aucun mécanisme automatique permettant d'effectuer cette tâche. Kerberos n'est que partiellement compatible avec le système PAM ('Pluggable Authentification Module', module d'authentification enfichable) utilisé par la plupart des serveurs exécutant Red Hat Linux. Kerberos suppose que tout utilisateur est digne de confiance. Son but principal est d'empêcher que des mots de passe en texte clair ne soient envoyés sur le réseau. Toutefois, si quelqu'un d'autre que l'utilisateur normal a physiquement accès à l'hôte qui émet les tickets utilisés pour l'authentification «appelé centre de distribution de clés (ou KDC de l'anglais Key Distribution Center)» tout le système d'authentification Kerberos est menacé d'être compromis. Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin de faire les appels appropriés dans les bibliothèques Kerberos. Les applications modifiées de la sorte sont considérées comme étant kerberisées. Pour certaines applications, ceux-ci peut exiger un effort de programmation trop important. Avec une solution Kerberos, c'est tout ou rien. Une fois que Kerberos est utilisé sur le réseau, tout mot de passe non crypté transmis à un service non kerberisé risque d'être intercepté. Dans de telles circonstances, le système ne tirera aucun avantage de l'utilisation de Kerberos. Afin de sécuriser votre réseau avec Kerberos, vous devez soit utiliser des versions kerberisées de toutes les applications client/serveur qui envoient des mots de passe en texte clair, soit n'utiliser absolument aucune application client/serveur. 10 de 25

11 3.1.4 Conclusion On utilisera Kerberos car: L'authentification est sécurisée (cryptographie). Il n'y a pas de transmission du mot de passe. 3.2 Terminologie de kerberos: Comme tout système, Kerberos dispose de sa propre terminologie. Ciphertext: Données cryptées. Client: Entité sur le réseau (utilisateur, hôte ou application) pouvant recevoir un ticket de Kerberos. Cache de certificat d'identité ou fichier ticket: Fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un environnement permettant d'utiliser d'autres types de cache (par exemple, une mémoire partagée), mais les fichiers sont mieux pris en charge. Hache crypté: Hachage unidirectionnel utilisé pour l'authentification des utilisateurs. Plus sûr que le texte clair, mais relativement facile à décoder pour un pirate expérimenté. Hachage: Un nombre créé à partir de texte et utilisé pour garantir que des données transmises n'ont pas été manipulées de manière malveillante. Clé: Bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée. KDC (Key Distribution Center ou centre de distribution de clés): Service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le serveur d'émission de tickets ou TGS (de l'anglais Ticket-granting Server). C'est une base de données des clients, des serveurs et des clés associées. Il est responsable de la maintenance des clés maîtres et de la mise à disposition des tickets Kerberos. L Authentication Service (AS) donne au client une clé de session et un Ticket Granting Ticket TGT. Il distribue les clés de session et les tickets pour les services via le Ticket Granting Service TGS. Table clé ou keytab: Fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab). 11 de 25

12 Kinit: La commande kinit permet à un principal qui est déjà connecté d'obtenir et de mettre en cache le ticket d'émission de tickets initial ou TGT (pour Ticket-granting Ticket). Principal: trinôme <nom, instance, domaine> nom : nom d utilisateur ou du service instance : qualifie le primary (rôle/groupe) domaine d authentification Le principal est le nom unique de l'utilisateur ou du service pouvant effectuer une authentification à l'aide de Kerberos. Un nom de principal a le format Pour un utilisateur ordinaire, le root correspond à l'id de connexion. L'instance est facultative. Si le principal a une instance, il est séparé de la variable root par une barre oblique en avant ("/"). Une chaîne vide ("") est considérée comme une instance valide (qui diffère de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les éléments principaux d'une zone (realm) ont leur propre clé dérivée de leur mot de passe ou définie de façon aléatoire pour les services. Realm: Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs (appelés également KDC) et un nombre potentiel très élevé de clients. Service: Programme accessible via le réseau. Ticket: Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. Service d'émission de tickets (TGS pour Ticket Granting Service): Serveur émettant les tickets pour un service souhaité que l'utilisateur doit ensuite employer pour accéder au service en question. Le TGS fonctionne en général sur le même hôte que le KDC. Ticket d'émission de tickets (TGT pour Ticket-granting Ticket): Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC. ticket donné par l AS (Authentication Service), expire à une date et à une heure déterminées. Mot de passe non-crypté: Un mot de passe en texte clair, lisible par quiconque. 3.4 Principe de fonctionnement: Sur un réseau classique employant des mots de passe pour authentifier les utilisateurs, lorsqu'un utilisateur demande un service réseau nécessitant une authentification, il lui est demandé son Login et son mot de passe. Ceux-ci sont transmis sous forme de hache chiffré réseau ou pire en texte clair. Aussi toute personne interceptant des paquets sur le réseau peut potentiellement trouver le nom d'utilisateur et son mot de passe. Kerberos utilise un cryptage symétrique et un programme externe digne de confiance connu sous le nom de Centre de distribution de tickets (KDC Key Distribution Center) afin d'authentifier les utilisateurs sur un réseau. Une fois l'authentification auprès du KDC effectuée, Kerberos renvoie à 12 de 25

13 l'ordinateur de l'utilisateur un ticket spécifique à cette session sur l'ordinateur de l'utilisateur. Ainsi tout service kerberisé peut rechercher ce ticket plutôt que de demander à l'utilisateur de s'authentifier à l'aide du couple Login / mot de passe. 1. Lorsqu'un utilisateur faisant partie d'un réseau "kerberisé" souhaite s'authentifier, il renvoie une demande au KDC (AS-REQ ou TGT). Lors de cette demande, il va entrer son mot de passe, qui va être transformé, puis utilisé comme clé de chiffrement pour la demande d'authentification. A aucun moment le mot de passe ou une représentation du mot de passe ne transitera sur le réseau. En fait son principal est envoyé au KDC. Cette demande peut être émise par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut être émise par le programme kinit une fois l'utilisateur connecté. 2. Le KDC reçoit alors cette demande. Il est le seul à connaître le mot de passe de l'utilisateur. Grâce à ce mot de passe, il va pouvoir déchiffrer la demande d'authentification. Si le déchiffrement a réussi, c'est que l'utilisateur a chiffré sa demande avec le bon mot de passe. Il vient donc de prouver son identité. Le KDC renvoie alors une réponse positive (AS- REP), après vérification du principal dans sa base de données, comprenant une clé de session, un TGT, le crypte à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier. Il servira alors à valider tous les échanges entre l'utilisateur et le KDC. Si le déchiffrement échoue, le KDC renvoie une erreur (KRB-ERROR). Le programme de connexion ou le programme kinit présent sur l'ordinateur client décrypte ensuite le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). La clé de l'utilisateur est utilisée seulement sur l'ordinateur client et n'est pas envoyée sur le réseau. 13 de 25

14 Une fois authentifié, l'utilisateur emploiera sa clé de session pour communiquer avec le KDC et demander des tickets, tickets qui serviront de preuve auprès des services sur les quels l'utilisateur souhaite s'authentifier. 3. Les tickets ou le TGT, est établi pour expirer après un certain laps de temps, est stocké dans le cache de certificats d'identité de l'ordinateur client. Un délai d'expiration est défini de manière à ce qu'un TGT compromis ne puisse être utilisé par un pirate que pendant une courte durée. Une fois que le TGT est émis, l'utilisateur "n'a pas à redonner son mot de passe" au KDC tant que le TGT n'a pas expiré ou tant qu'il ne se déconnecte pas. Chaque fois que l'utilisateur doit accéder à un service réseau, le logiciel client utilise le TGT pour demander au serveur d'émission de tickets (TGS) un nouveau ticket pour ce service spécifique. Le ticket pour le service souhaité est alors émis et utilisé pour authentifier l'utilisateur auprès de ce service de façon transparente. 4 Installer et configurer un serveur Kerberos 5: On commencera par installer le serveur. 4.1 Installation du serveur Kerberos : 1. Etant donné que certains aspects de Kerberos reposent sur le DNS (Domain Name System), le service DNS doit être installé et parfaitement configuré. Assurez-vous de la synchronisation de l'horloge entre le serveur Kerberos et ses différents clients. Si les horloges du serveur et du client diffèrent de plus de cinq minutes (ce chiffre par défaut est configurable dans Kerberos 5), les clients ne pourront pas s'authentifier sur le serveur. Cette synchronisation de l'horloge est nécessaire pour empêcher un agresseur d'utiliser un ancien authentificateur pour se déguiser en un utilisateur valide. Vous devez configurer un réseau client/serveur compatible NTP (protocole de synchronisation de réseau) comme par exemple, ntpd. Consultez usr/share/doc/ntp p2/index.html pour Fedora. 2. Installez les paquetages krb5-libs, krb5-server et krb5-workstation sur la machine sur laquelle tournera votre KDC. Cette machine doit être sécurisée si possible; elle ne devrait pas exécuter de services autres que le KDC. Si vous souhaitez utiliser un utilitaire d'interface utilisateur graphique GUI pour gérer Kerberos, vous devez également installer le paquetage gnome-kerberos. Celui-ci contient krb5, un outil GUI pour gérer les tickets, et gkadmin, un outil GUI pour gérer les zones de Kerberos. 3. Editez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/ kdc.conf afin de refléter votre nom de zone et les configurations domaine à zone. Une simple zone peut être construite en remplaçant les instances de EXEMPLE.COM et 14 de 25

15 exemple.com avec votre nom de domaine. Assurez-vous de bien garder les noms en majuscules et minuscules dans le format approprié et en changeant le KDC de kerberos.exemple.com par le nom de votre serveur Kerberos. Par convention, tous les noms de zones sont en majuscules et tous les noms d'hôtes DNS ainsi que les noms de domaines en minuscules. Le fichier krb5.conf contient la configuration générale de Kerberos. Le kdc.conf indique ou se situe la base de donnée des comptes utilisateurs. 4. Créez la base de données à l'aide de l'utilitaire kdb5_util à partir de l'invite shell: /usr/kerberos/sbin/kdb5_util create -s La commande create crée la base de données (dans /usr/local/var/krb5kdc) qui sera utilisée pour stocker les clés de votre zone Kerberos. Le commutateur -s force la création d'un fichier stash dans lequel est stocké la clé du serveur maître. S'il n'existe aucun fichier stash à partir duquel lire la clé, le serveur Kerberos (krb5kdc) demandera à l'utilisateur le mot de passe du serveur maître (qui peut être utilisé pour régénérer la clé) à chaque fois qu'il sera lancé. Exemple: ~]$ su -c '/usr/kerberos/sbin/kdb5_util create -s' Mot de passe : Loading random data Initializing database '/var/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: Re-enter KDC database master key to verify: 5. Editez le fichier /var/kerberos/krb5kdc/kadm5.acl. Ce fichier est utilisé par kadmind afin de déterminer quels éléments principaux ont accès à la base de données de Kerberos et de définir leur niveau d'accès. Une seule ligne suffira à la plupart des organisations : La plupart des utilisateurs seront représentés dans la base de données par un seul élément principal (avec une instance NULL, ou vide, telle que Avec cette configuration, les utilisateurs ayant un second élément principal avec comme instance admin (par exemple, pourront exercer un pouvoir total sur la base de données Kerberos de la zone. Une fois kadmind lancé sur le serveur, n'importe quel utilisateur pourra accéder à ses 15 de 25

16 services en exécutant kadmin ou gkadmin sur tous les clients ou serveurs de la zone. Toutefois, les utilisateurs non spécifiés dans le fichier kadm5.acl ne pourront en aucun cas modifier la base de données ; le seul changement qu'il leur sera possible d'effectuer sera celui de leurs propres mots de passe. Tapez la commande kadmin.local suivante au terminal KDC afin de créer le premier élément principal : /usr/kerberos/sbin/kadmin.local -q "addprinc nom-d'utilisateur/admin" Exemple: ~]$ su -c '/usr/kerberos/sbin/kadmin.local -q "addprinc Patrick/admin"' Mot de passe : Authenticating as principal with password. WARNING: no policy specified for defaulting to no policy Enter password for principal Re-enter password for principal Principal created. 6. Lancez Kerberos à l'aide des commandes suivantes : /sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start 7. Ajoutez des éléments principaux pour vos utilisateurs à l'aide de la commande addprinc avec kadmin ou à l'aide de l'option de menu Principal => Add dans gkadmin. kadmin et kadmin.local, sur le KDC maître, sont des interfaces de ligne de commande pour le système d'administration de Kerberos. En tant que telles, de nombreuses commandes sont disponibles après le lancement du programme kadmin. 8. Vérifiez que votre serveur émettra bien des tickets. Tout d'abord, exécutez kinit afin d'obtenir un ticket et de le stocker dans un fichier cache de certificats d'identité. Utilisez ensuite klist afin de visualiser la liste des certificats d'identité dans votre cache et utilisez kdestroy pour détruire le cache ainsi que les certificats qu'il contient. Remarque Par défaut, kinit tente de vous authentifier en utilisant le nom d'utilisateur de connexion du compte utilisé lorsque vous vous êtes connecté pour la première fois à votre système (pas au serveur Kerberos). Si le nom d'utilisateur de ce système ne correspond pas à un élément principal dans votre base de données Kerberos, un message d'erreur s'affichera. Le cas échéant, indiquez simplement à kinit le nom de votre élément principal en tant 16 de 25

17 qu'argument sur la ligne de commande (kinit élément principal). Nous allons passer à la configuration des clients Kerberos. 4.2 Configurer un client Kerberos 5 Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions "kerbérisées" de rsh et rlogin nécessiteront également des changements au niveau de la configuration. 1. Assurez-vous que la synchronisation de l'heure est effective entre le client Kerberos et le KDC. Le DNS doit aussi fonctionner correctement sur le client Kerberos avant d'installer les programmes de ce client. 2. Installez les paquetages krb5-libs et krb5-workstation sur tous les clients de votre zone. Vous devez fournir votre propre version de /etc/krb5.conf pour les stations de travail de vos clients ; cela peut généralement être le même krb5.conf que celui utilisé par le KDC. 3. Avant qu'une station de travail donnée de votre zone puisse permettre aux utilisateurs de se connecter à l'aide des commandes rsh et rlogin "kerbérisées", le paquetage xinetd devra y être installé et l'élément principal de l'hôte propre à la station devra être présent dans la base de données Kerberos. Les programmes de serveur kshd et klogind auront également besoin d'un accès aux clés pour l'élément principal de leur service. A l'aide de kadmin, ajoutez un élément principal d'hôte pour la station de travail. L'instance sera dans ce cas le nom d'hôte de la station. Parce que vous n'aurez jamais besoin de taper à nouveau le mot de passe pour cet élément principal, vous ne voudrez probablement pas perdre de temps à chercher un bon mot de passe. Vous pouvez utiliser l'option -randkey de la commande addprinc de kadmin afin de créer l'élément principal et de lui attribuer une clé aléatoire : addprinc -randkey host/blah.exemple.com Maintenant que vous avez créé l'élément principal, vous pouvez extraire les clés de la station de travail en exécutant kadmin sur la station de travail elle-même et utiliser la commande ktadd dans kadmin : ktadd -k /etc/krb5.keytab host/blah.exemple.com Afin d'utiliser les versions "kerbérisées" de rsh et de rlogin, vous devez activer klogin, 17 de 25

18 eklogin et kshell. 4. D'autres services de réseau "kerbérisés" devront être lancés. Pour utiliser la commande telnet kerbérisée, vous devez activer krb5-telnet. Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root de ftp, l'instance étant configurée au nom d'hôte du serveur FTP. Activez ensuite gssftp. Le serveur IMAP inclus dans le paquetage imap utilisera l'authentification GSS-API à l'aide de Kerberos 5 s'il parvient à trouver la clé appropriée dans /etc/krb5.keytab. Le root de l'élément principal doit être imap. Le gserveur CVS utilise un élément principal avec un root de cvs et est en dehors de cela identique à un pserver. 5 La sécurité: Parce qu'un système est caractérisé par le niveau de sécurité de son maillon le plus faible, de la même façon qu'une chaîne, la sécurité doit être abordée dans un contexte global: La sensibilisation des utilisateurs aux problèmes de sécurité. La sécurité logique, c'est à dire la sécurité au niveau des données. La sécurité des télécommunications. La sécurité des applications. La sécurité physique (sécurité matérielle). On veillera aux mises à jour de sécurité du système d'exploitation ainsi que des applications. Par exemple vous pouvez constater ci-dessous un avis de sécurité sur Kerberos. Alors pensez à maintenir vos systèmes à jour de 25

19 Annexe: Les manipulations ont été réalisées avec la distribution Fedora. Bulletin de sécurité: - Kerberos : Versions affectées : Kerberos 5 versions à Criticité: Non Critique Moyennement Critique Critique Très Critique Impact: Exécution des commandes arbitraires, Déni de service, par un attaquant distant. Brève Description: Ces vulnérabilités sont dues à des erreurs : - Une erreur de gestion des requêtes RPC. L'exploitation de cette faille pourrait permettre à un attaquant d'exécuter du code arbitraire avec les privilèges "root" ou de créer un déni de service du démon "kadmind". - Une erreur de gestion de l'espace mémoire. L'exploitation de cette faille pourrait permettre à un attaquant local ayant les privilèges "modify policy" d'exécuter du code arbitraire avec les privilèges "root" ou de créer un déni de service du démon "kadmind". Pour plus de détails : Solution : Appliquer le correctif de MIT pour Kerberos 5 : Référence CVE CVE CVE RéférenceCERT-TCC: CERT-TCC/Vuln Installation de Kerberos: Serveur: ~]$ su -c 'yum install krb5-server' Mot de passe : Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package krb5-server.i386 0: fc7 set to be updated 19 de 25

20 --> Finished Dependency Resolution Dependencies Resolved ======================================================================= ====== Package Arch Version Repository Size ======================================================================= ====== Installing: krb5-server i fc7 updates 896 k Transaction Summary ======================================================================= ====== Install 1 Package(s) Update 0 Package(s) Remove 0 Package(s) Total download size: 896 k Is this ok [y/n]: y Downloading Packages: (1/1): krb5-server % ========================= 896 kb 00:01 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Installing: krb5-server ######################### [1/1] Installed: krb5-server.i386 0: fc7 Complete! ~]$ Client: ~]$ su -c 'yum install krb5-workstation' Mot de passe : Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package krb5-workstation.i386 0: fc7 set to be updated --> Finished Dependency Resolution Dependencies Resolved ======================================================================= ====== Package Arch Version Repository Size 20 de 25

Mécanisme d authentifications : Kerberos

Mécanisme d authentifications : Kerberos Mécanisme d authentifications : Kerberos Responsables du TP : O. Allovon, D. Fossier, F. Gratta, B. Sauvajon Base : Système linux et Windows 2000 en salle TP B120 Accès Internet Accès administrateur Stations

Plus en détail

Utilisateurs et Groupe

Utilisateurs et Groupe 1 Gestion des utilisateurs Unix 1.1 Super-utilisateur Utilisateurs et Groupe Linux est un système multiutilisateurs (plusieurs utilisateurs peuvent travailler sur la même machine) et sécurisé. Chaque utilisateur,

Plus en détail

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base... Système d'exploitation Sommaire Introduction...3 Objectif...3 Manipulations...3 Gestion des utilisateurs et des groupes...4 Introduction...4 Les fichiers de base...4 Quelques commandes d'administration...5

Plus en détail

TD séance n 8 Utilisateurs et Groupes sous Unix et Windows

TD séance n 8 Utilisateurs et Groupes sous Unix et Windows 1 Gestion des utilisateurs Unix 1.1 Super-utilisateur Linux est un système multiutilisateurs (plusieurs utilisateurs peuvent travailler sur la même machine) et sécurisé. Chaque utilisateur, pour travailler,

Plus en détail

AUTHENTIFICATION MANAGEMENT

AUTHENTIFICATION MANAGEMENT AUTHENTIFICATION MANAGEMENT MANEL KAWEM (RT4) TAYEB BEN ACHOUR (RT3) SAMAR JAMEL (RT4) AMINE CHERIF (RT3) DORRA BOUGHZALA (RT3) YASSINE DAMMAK (RT4) ABIR AKERMI (RT3) Table des matières I. Présentation

Plus en détail

Kerberos en environnement ISP UNIX/Win2K/Cisco

Kerberos en environnement ISP UNIX/Win2K/Cisco Kerberos en environnement ISP UNIX/Win2K/Cisco > Nicolas FISCHBACH nico@securite.org - http://www.securite.org/nico/ > Sébastien LACOSTE-SERIS kaneda@securite.org - http://www.securite.org/kaneda/ version

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 LES COMMANDES DISTANTES (R-COMMANDES)... 2 1.1 Introduction... 2 1.2 Installation... 2 1.2.1 Installation du client... 2 1.2.2 Installation du service rsh... 2 1.2.3 Activer les services...

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Kerberos: Linux, Windows et le SSO

Kerberos: Linux, Windows et le SSO Kerberos: Linux, Windows et le SSO Emmanuel.Blindauer @ urs.u-strasbg.fr IUT Robert Schuman Département Informatique JRES 2005 Introduction Problématique Kerberos Windows 2000 Linux et PAM Intégration

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Noms : Rabenjamina Solohaja et Tharic Faris Groupe : 5 Date : 21/11/2014 Objectifs du TP - Installation

Plus en détail

Nom : Prénom : Groupe :

Nom : Prénom : Groupe : Nom : Prénom : Groupe : TP : utilisation de ssh 1 Travail préliminaire. Pour ce TP vous devrez utiliser les comptes root/tpreseau et tpreseau/disket. Restaurez votre machine en chargeant le système marqué

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 GESTION DES UTILISATEURS... 2 1.1 Introduction... 2 1.2 Types de comptes... 2 1.3 Création d'un compte utilisateur... 2 1.4 Changer les option par défaut de useradd... 6 1.5 Pour visualiser

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Noms : BAUD - CARRETTE Groupe : TP3 Date : 11/01/12 Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Objectifs du TP - Installation et configuration d'un

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Simplifier l authentification avec Kerberos

Simplifier l authentification avec Kerberos Du mono-poste à la PME Normation Mardi 10 Juillet 2012 Qui suis-je? Administrateur réseaux et systèmes chez Tu fais quoi dans la vie? Gère l infrastructure informatique chez Normation Travaille sur l outil

Plus en détail

Client Linux en dual-boot

Client Linux en dual-boot T.P. n 4 Intégration Active Directory / NIS-NFS Etudiant Client Linux en dual-boot Composants UNIX Win2008 Groupe Nous allons dans ce TP tout d abord installer sur l espace libre du disque dur de la machine

Plus en détail

Base de connaissances

Base de connaissances Base de connaissances Page 1/14 Sommaire Administration du système... 3 Journalisation pour le débogage... 3 Intellipool Network Monitor requiert-il un serveur web externe?... 3 Comment sauvegarder la

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

TP 3 Linux : Utilisateurs et Groupes

TP 3 Linux : Utilisateurs et Groupes TP 3 Linux : Utilisateurs et Groupes 1- Comptes d'utilisateurs et de groupes Quand un utilisateur se connecte, il s'identifie en fournissant un nom de connexion (login) et un mot de passe (password). Si

Plus en détail

Chapitre 2 Accès aux partages depuis votre système d'exploitation

Chapitre 2 Accès aux partages depuis votre système d'exploitation Chapitre 2 Accès aux partages depuis votre système d'exploitation Ce chapitre présente des exemples d'accès à des partages sur le périphérique ReadyNAS Duo via différents systèmes d'exploitation. En cas

Plus en détail

Authentification unifiée Unix/Windows

Authentification unifiée Unix/Windows Rencontres Mathrice - Octobre 2008 Plan Contexte du laboratoire 1 Contexte du laboratoire 2 3 4 Le laboratoire Contexte du laboratoire Laboratoire de Mathématiques et Applications Unité mixte de recherche

Plus en détail

SCOoffice Mail Connector for Microsoft Outlook. Guide d'installation Outlook 2002

SCOoffice Mail Connector for Microsoft Outlook. Guide d'installation Outlook 2002 SCOoffice Mail Connector for Microsoft Outlook Guide d'installation Outlook 2002 Rév 1.1 4 décembre 2002 SCOoffice Mail Connector for Microsoft Outlook Guide d'installation - Outlook XP Introduction Ce

Plus en détail

Client Linux en dual-boot

Client Linux en dual-boot T.P. n 4 Intégration Active Directory / NIS-NFS Etudiant Client Linux en dual-boot Composants UNIX Win2008 Groupe Nous allons dans ce TP tout d abord installer sur l espace libre du disque dur de la machine

Plus en détail

Kerberos/AD/LDAP/Synchro

Kerberos/AD/LDAP/Synchro Kerberos/AD/LDAP/Synchro On suppose que openldap heimdal et perl sont installés. Accès entre les services Un compte «syncad» est défini dans le KDC. Il est configuré pour écrire dans le LDAP, via une auth

Plus en détail

Pré-requis. Objectifs. Page 164 Chapitre 5. LINUX - Préparation à la certification LPIC-2

Pré-requis. Objectifs. Page 164 Chapitre 5. LINUX - Préparation à la certification LPIC-2 Page 164 Chapitre 5 LINUX Pré-requis - et Préparation objectifs à la certification LPIC-2 Pré-requis Authentification des utilisateurs Les connaissances acquises lors de la certification LPI niveau 1,

Plus en détail

Avertissement. Nom du stagiaire : Modification et utilisation interdites sans l accord de l auteur de ce support.

Avertissement. Nom du stagiaire : Modification et utilisation interdites sans l accord de l auteur de ce support. Reproduction et utilisation interdites sans l accord de l auteur Support de formation Administration Windows 2000 Server Avertissement Ce support n est ni un manuel d utilisation (pour cela, consultez

Plus en détail

Table des matières. 2011 Hakim Benameurlaine 1

Table des matières. 2011 Hakim Benameurlaine 1 Table des matières 1 OpenSSH... 2 1.1 Introduction... 2 1.2 Installation... 2 1.3 Test de connexion... 2 1.4 Configuration du serveur ssh... 3 1.5 Contrôle du service ssh... 4 1.6 Log... 4 1.7 Client ssh...

Plus en détail

Configuration de pure-ftpd

Configuration de pure-ftpd Configuration de pure-ftpd 1. Présentation de pure-ftpd Pure-ftp est un serveur ftp performant, sûr (c'est qu'ils disent dans la doc.) et assez simple à configurer, mais tout est relatif. 2. Installation

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci Cours Cryptographie Jeudi 22 février 2012 M1 ISIC Authentification Gabriel Risterucci Cours Cryptographie - Authentification - Principes généraux Moyens d'authentification Authentification différée Système

Plus en détail

SOMMAIRE. Utilisation des profils itinérants. Chapitre 1 Mise en place 2

SOMMAIRE. Utilisation des profils itinérants. Chapitre 1 Mise en place 2 Page 1 sur 21 SOMMAIRE Chapitre 1 Mise en place 2 1.1 Qu est ce que c est 2 1.2 Quelques recommandations 3 1.3 La sécurité? 4 1.4 Comment le configurer? 5 1.5 Comment obtenir les droits sur le profil?

Plus en détail

1.Comptes utilisateurs

1.Comptes utilisateurs Titre du document Sommaire 1. Comptes utilisateurs...2 1.1. Utilisateurs de domaines...2 1.2. Utilisateurs locaux...2 1.3. Utilisateurs prédéfinis...3 1.3.1. Administrateur...3 1.3.2. Invité...3 1.4.

Plus en détail

JetClouding Installation

JetClouding Installation JetClouding Installation Lancez le programme Setup JetClouding.exe et suivez les étapes d installation : Cliquez sur «J accepte le contrat de licence» puis sur continuer. Un message apparait and vous demande

Plus en détail

Projet Administration Réseaux

Projet Administration Réseaux EL KHATIT Zouhair, L3 ASR N : 20072486 Projet Administration Réseaux Thème : SFTP & SCPOnly I- SFTP (Secure File Transfer Protocol) : Introduction: Le SFTP permet de transférer des fichiers par une connexion

Plus en détail

Configuration de la protection antivirus du côté utilisateur pour l OS Linux. Protégez votre univers

Configuration de la protection antivirus du côté utilisateur pour l OS Linux. Protégez votre univers Configuration de la protection antivirus du côté utilisateur pour l OS Linux Protégez votre univers Déploiement de la protection antivirus. Malheureusement, le système d'exploitation Linux n'inclut aucun

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Module 13 : Mise en œuvre des serveurs Microsoft DNS

Module 13 : Mise en œuvre des serveurs Microsoft DNS Module 13 : Mise en œuvre des serveurs Microsoft DNS 0RGXOH#46#=#0LVH#HQ#±XYUH#GHV#VHUYHXUV#0LFURVRIW#'16# # 5

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

Chapitre 4 PROTOCOLES SÉCURISÉS

Chapitre 4 PROTOCOLES SÉCURISÉS Chapitre 4 PROTOCOLES SÉCURISÉS 52 Protocoles sécurisés Inclus dans la couche application Modèle TCP/IP Pile de protocoles HTTP, SMTP, FTP, SSH, IRC, SNMP, DHCP, POP3 4 couche application HTML, MIME, ASCII

Plus en détail

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas FreeNAS 0.7.1 Shere Par THOREZ Nicolas I Introduction FreeNAS est un OS basé sur FreeBSD et destiné à mettre en œuvre un NAS, système de partage de stockage. Pour faire simple, un NAS est une zone de stockage

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Applications Réseau. Objectif: Contenu: Durée: Comprendre et utiliser les applications réseau

Applications Réseau. Objectif: Contenu: Durée: Comprendre et utiliser les applications réseau Applications Réseau Objectif: Comprendre et utiliser les applications réseau Contenu: principes des applications réseau diagnostic et dépannage exemples: telnet, FTP, NTP, commandes remote, affichage déporté

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Sophos Virtualization Scan Controller Guide de l'utilisateur. Version du produit : 1.0

Sophos Virtualization Scan Controller Guide de l'utilisateur. Version du produit : 1.0 Sophos Virtualization Scan Controller Guide de l'utilisateur Version du produit : 1.0 Date du document : juillet 2011 (Révisé) Table des matières 1 À propos de ce guide...3 2 Qu'est-ce que le Virtualization

Plus en détail

Protocoles d'authentification

Protocoles d'authentification Protocoles d'authentification Sécurité des réseaux informatiques 1 Plan Les problèmes de sécurité des protocoles d'authentification Un exemple de protocole d'authentification : Kerberos Autres services

Plus en détail

Projet Semestre2-1SISR

Projet Semestre2-1SISR Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test

Plus en détail

Guide de l'utilisateur

Guide de l'utilisateur BlackBerry Internet Service Version: 4.5.1 Guide de l'utilisateur Publié : 2014-01-08 SWD-20140108170135662 Table des matières 1 Mise en route...7 À propos des formules d'abonnement pour BlackBerry Internet

Plus en détail

progecad NLM Guide de l'utilisateur

progecad NLM Guide de l'utilisateur progecad NLM Guide de l'utilisateur Rev. 11.1 Table des matières Table des matières...2 Introduction...3 Comment démarrer...3 Installation de progecad NLM server...3 Enregistrement de progecad NLM server...3

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

MODE D'EMPLOI. ba76147f01 04/2013. MultiLab User LOGICIEL D'ORDINATEUR POUR GESTION DES UTILISATEURS

MODE D'EMPLOI. ba76147f01 04/2013. MultiLab User LOGICIEL D'ORDINATEUR POUR GESTION DES UTILISATEURS MODE D'EMPLOI ba76147f01 04/2013 MultiLab User LOGICIEL D'ORDINATEUR POUR GESTION DES UTILISATEURS MultiLab User 2 ba76147f01 04/2013 Sommaire MultiLab User MultiLab User - Sommaire 1 Vue d'ensemble.............................

Plus en détail

Symantec Backup Exec Remote Media Agent for Linux Servers

Symantec Backup Exec Remote Media Agent for Linux Servers Annexe I Symantec Backup Exec Remote Media Agent for Linux Servers Cette annexe traite des sujets suivants : A propos de Remote Media Agent Comment fonctionne Remote Media Agent Conditions requises pour

Plus en détail

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : M326070463 ACTIVITE

Plus en détail

Guide de sécurité de VMware vrealize Log Insight

Guide de sécurité de VMware vrealize Log Insight Guide de sécurité de VMware vrealize vrealize 2.5 Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit

Plus en détail

Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS

Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS 1 PleskWebpack MAS_FR- Octobre 2010 SOMMAIRE - Introduction 1 - Créer un compte FTP et les droits d accès 2 - Utiliser l outil de rapport (statweb,

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Variables d'environnement

Variables d'environnement Variables d'environnement Les variables d'environnement peuvent être utilisées dans l'administration et les scripts de Windows 2000 en les encadrant par le signe % (Exemple : echo %USERNAME%): Voici une

Plus en détail

Protocoles DHCP et DNS

Protocoles DHCP et DNS Protocoles DHCP et DNS DHCP (Dynamic Host Configuration Protocol) est un protocole qui permet à un serveur DHCP (Unix, Windows, AS400...) d'affecter des adresses IP temporaires (et d'autres paramètres)

Plus en détail

Résolution des problèmes de connexion SSH de Reflection X

Résolution des problèmes de connexion SSH de Reflection X Résolution des problèmes de connexion SSH de Reflection X Dernière révision : 31 mars 2011 Remarque : Les informations les plus récentes sont dans un premier temps publiées dans la note technique rédigée

Plus en détail

Retour d expérience sur l utilisation de Kerberos à l INRIA

Retour d expérience sur l utilisation de Kerberos à l INRIA INRIA - DSI Journées Réseau 2011 Plan 1 2 3 4 Plan 1 2 3 4 Intégration LDAP Composants Heimdal OpenLDAP smbk5pwd Gestion mot de passe synchronisation au changement de mot de passe opération spécifique

Plus en détail

Utilisation de l'assistant d'installation

Utilisation de l'assistant d'installation Utilisation de l'assistant d'installation La majorité des options de l'assistant d'installation sont présélectionnées pour convenir aux environnements traditionnels. Nous vous recommandons fortement d'utiliser

Plus en détail

SAMBA Protocole SaMBa

SAMBA Protocole SaMBa SAMBA Protocole SaMBa aptitude install samba Installation de Samba Le fichier "SMB.CONF" La configuration de samba se fait par un unique fichier : smb.conf dans /etc/samba. C est un fichier de type texte

Plus en détail

Accès aux ressources informatiques de l ENSEEIHT à distance

Accès aux ressources informatiques de l ENSEEIHT à distance Ecole Nationale Supérieure d Électrotechnique, d Électronique, d Informatique, d Hydraulique et des Télécommunications Accès aux ressources informatiques de l ENSEEIHT à distance Jean-François GINESTE,

Plus en détail

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations.

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations. Chapitre 4 A. Introduction Le contrôle d'accès représente une opération importante au niveau de la gestion de la sécurité sur un serveur de bases de données. La sécurisation des données nécessite une organisation

Plus en détail

Corrigé de l'atelier pratique du module 4 : Gestion de la sécurité

Corrigé de l'atelier pratique du module 4 : Gestion de la sécurité Corrigé de l'atelier pratique du module 4 : Gestion de la sécurité Table des matières Atelier pratique 4 : Gestion de la sécurité 1 Exercice 1 : Création de connexions et affectation des autorisations

Plus en détail

titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH

titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH 2012 Les tutos à toto Secure SHell - utilisation Réalisée sur CentOS 5.7 Ecrit par Charles-Alban BENEZECH 2012 titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH

Plus en détail

Les messages d erreur d'applidis Client

Les messages d erreur d'applidis Client Fiche technique AppliDis Les messages d erreur d'applidis Client Fiche IS00313 Version document : 1.00 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de

Plus en détail

L'AAA, késako? Bruno Bonfils, , Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

L'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization

Plus en détail

SSH, le shell sécurisé

SSH, le shell sécurisé , le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,

Plus en détail

TrueCrypt. Procédure d'installation 15/11/2012. TrueCrypt Procédure d'installation 15 novembre 2012 1/33

TrueCrypt. Procédure d'installation 15/11/2012. TrueCrypt Procédure d'installation 15 novembre 2012 1/33 Secrétariat Général Service des Politiques Support et des Systèmes d'information TrueCrypt Procédure d'installation 15/11/2012 Ministère de l'écologie, du Développement durable, des Transports et du Logement

Plus en détail

Les commandes relatives aux réseaux

Les commandes relatives aux réseaux SHELL Les commandes relatives aux réseaux L'accès aux ou via les réseaux est devenu vital, aussi, les commandes traditionnelles de connexion et de transfert de fichiers ont été remplacées par des commandes

Plus en détail

Serveur de Licences Acronis. Guide Utilisateur

Serveur de Licences Acronis. Guide Utilisateur Serveur de Licences Acronis Guide Utilisateur TABLE DES MATIÈRES 1. INTRODUCTION... 3 1.1 Présentation... 3 1.2 Politique de Licence... 3 2. SYSTEMES D'EXPLOITATION COMPATIBLES... 4 3. INSTALLATION DU

Plus en détail

Sauvegardes par Internet avec Rsync

Sauvegardes par Internet avec Rsync Sauvegardes par Internet avec Rsync LIVRE BLANC BackupAssist version 5.1 www.backupassist.fr Cortex I.T. Labs 2001-2008 1/16 Sommaire Introduction... 3 Configuration du matériel... 3 QNAP TS-209... 3 Netgear

Plus en détail

SOMMAIRE EXMERGE. Chapitre 1 Installation EXMERGE 2. Chapitre 2 Modification ExMerge 6. Chapitre 3 Exécution sans erreur 23

SOMMAIRE EXMERGE. Chapitre 1 Installation EXMERGE 2. Chapitre 2 Modification ExMerge 6. Chapitre 3 Exécution sans erreur 23 Exchange 2003 Page 1 sur 32 SOMMAIRE Chapitre 1 Installation 2 1.1 Téléchargement 2 1.2 Installation 4 1.3 1 er lancement 5 Chapitre 2 Modification ExMerge 6 2.1 2 nd lancement 6 2.2 3ème lancement 11

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation

Plus en détail

SAMBA UBUNTU SERVER 12.04

SAMBA UBUNTU SERVER 12.04 SAMBA UBUNTU SERVER 12.04 Introduction Le serveur Samba est l'outil privilégié pour installer un réseau LAN (Local Area Network) fonctionnant avec le protocole SMB (Server Message Block). Il est donc possible

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Simplification apportée en Version 8.5, dans la gestion des IDs. Le Notes ID Vault

Simplification apportée en Version 8.5, dans la gestion des IDs. Le Notes ID Vault Simplification apportée en Version 8.5, dans la gestion des IDs. Le Notes ID Vault Laurent Godmé Spécialiste Lotus 2009 IBM Corporation Qu est ce que le Notes ID Vault*? Le Notes ID Vault est une nouvelle

Plus en détail

Samba. précis & concis. Introduction

Samba. précis & concis. Introduction Samba précis & concis Introduction Samba est un outil particulièrement utile pour ceux qui possèdent des systèmes à la fois Windows et Unix sur leur réseau. Lorsque Samba est exécuté sur un système Unix

Plus en détail

Manuel d'utilisation du client VPN. 9235967 Édition 1

Manuel d'utilisation du client VPN. 9235967 Édition 1 Manuel d'utilisation du client VPN 9235967 Édition 1 Copyright 2004 Nokia. Tous droits réservés. La reproduction, le transfert, la distribution ou le stockage d'une partie ou de la totalité du contenu

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

CA Performance Center

CA Performance Center CA Performance Center Manuel de l'utilisateur de l'authentification unique Version 2.2.00 La présente documentation, qui inclut des systèmes d'aide et du matériel distribués électroniquement (ci-après

Plus en détail

LES ACCES ODBC AVEC LE SYSTEME SAS

LES ACCES ODBC AVEC LE SYSTEME SAS LES ACCES ODBC AVEC LE SYSTEME SAS I. Présentation II. SAS/ACCESS to ODBC III. Driver ODBC SAS IV. Driver ODBC SAS Universel V. Version 8 VI. Références I. Présentation Introduction ODBC, qui signifie

Plus en détail

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONFIGURATION D UN SERVEUR TP N 4 LINUX A DISTANCE ACADÉMIE D ORLÉANS-TOURS NOM : CI 11 : INSTALLATION ET CONFIGURATION DE SYSTEMES TR OBJECTIFS

Plus en détail

SafeGuard Enterprise Guide de mise à niveau. Version du produit : 7

SafeGuard Enterprise Guide de mise à niveau. Version du produit : 7 SafeGuard Enterprise Guide de mise à niveau Version du produit : 7 Date du document : décembre 2014 Table des matières 1 À propos de ce guide...3 2 Vérification de la configuration système requise...4

Plus en détail

TecLocal 4.0. Manuel d'installation: Mode acheteur & multiutilisateurs

TecLocal 4.0. Manuel d'installation: Mode acheteur & multiutilisateurs Tec Local 4.0 Manuel d'installation : Mode acheteur & multi-utilisateurs (client) TecLocal 4.0 Manuel d'installation: Mode acheteur & multiutilisateurs (client) Version: 1.0 Auteur: TecCom Solution Management

Plus en détail

CONTROLEUR DE DOMAINE SAMBA

CONTROLEUR DE DOMAINE SAMBA CONTROLEUR DE DOMAINE SAMBA Nous allons voir à travers ce tutoriel, la mise en place d un contrôleur de domaine sous linux, SAMBA. Ce tutoriel a été testé sur une distribution Debian version 7.2 1. Introduction

Plus en détail

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim 01/03/2013 Le rôle de Serveur Web (IIS) dans Windows Server 2008 R2 vous permet de partager des informations avec des utilisateurs sur Internet, sur un intranet ou un extranet. Windows Server 2008 R2 met

Plus en détail

STATISTICA - Version 10

STATISTICA - Version 10 STATISTICA - Version 10 Instructions d'installation de STATISTICA Entreprise pour une Utilisation sous Terminal Server et Citrix Remarques : 1. Ces instructions s'appliquent à une installation sous Terminal

Plus en détail

Installation et Réinstallation de Windows XP

Installation et Réinstallation de Windows XP Installation et Réinstallation de Windows XP Vous trouvez que votre PC n'est plus très stable ou n'est plus aussi rapide qu'avant? Un virus a tellement mis la pagaille dans votre système d'exploitation

Plus en détail

Serveur FTP avec IIS sous Windows 2000 / XP Pro

Serveur FTP avec IIS sous Windows 2000 / XP Pro Serveur FTP avec IIS sous Windows 2000 / XP Pro I. Installation des services IIS Note : Notre exemple sera effectué sous Windows XP Pro, mais l'installation est similaire sous Windows 2000. Allez dans

Plus en détail

TP : installation de services

TP : installation de services TP : installation de services Ce TP a été rédigé rapidement. Il ne donne certainement pas toutes les explications nécessaires à la compréhension des manipulations. Assurez vous de bien comprendre ce que

Plus en détail

WEBSTATISTICA - Version 10

WEBSTATISTICA - Version 10 WEBSTATISTICA - Version 10 Instructions d'installation WEBSTATISTICA Serveur Unique pour utilisation sous Terminal Server et Citrix Remarques : 1. Ces instructions s'appliquent à une installation sous

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères FORMATION PcVue Mise en œuvre de WEBVUE Journées de formation au logiciel de supervision PcVue 8.1 Lieu : Lycée Pablo Neruda Saint Martin d hères Centre ressource Génie Electrique Intervenant : Enseignant

Plus en détail

Ajout et Configuration d'un nouveau poste pour BackupPC

Ajout et Configuration d'un nouveau poste pour BackupPC Ajout et Configuration d'un nouveau poste pour BackupPC I. Création de l'utilisateur et déclaration de la machine à sauvegarder Dans une console, taper cette commande : htpasswd /etc/apache2/backuppc_users

Plus en détail

Procédure de sauvegarde avec Cobian Backup

Procédure de sauvegarde avec Cobian Backup Procédure de sauvegarde avec Cobian Backup 11 De Le 13/08/2014 Version 2.0 1/22 I. Introduction Type de sauvegarde : Complète : Sauvegarde de tous les fichiers et dossiers d'une partition ou d'un dossier

Plus en détail