Authentification sous Linux avec Kerberos

Dimension: px
Commencer à balayer dès la page:

Download "Authentification sous Linux avec Kerberos"

Transcription

1 Authentification sous Linux avec Kerberos 1 de 25

2 Table des matières 1 la sécurité sous Linux par défaut Les utilisateurs du système Le fichier /etc/passwd Le fichier /etc/shadow Les groupes du système Les commandes de gestion des utilisateurs Création d'un utilisateur : Suppression d'un utilisateur: Modification du mot de passe: Commande des permissions: La notion de propriétaire La notion de permission La cryptographie Le chiffrement par clés symétriques Le chiffrement par clés asymétriques Les certificats Kerberos Présentation: Historique: Avantages: Inconvénients: Conclusion Terminologie de kerberos: Principe de fonctionnement: Installer et configurer un serveur Kerberos 5: Installation du serveur Kerberos : Configurer un client Kerberos La sécurité:...18 Annexe:...19 Bulletin de sécurité:...19 Installation de Kerberos:...19 Serveur:...19 Client:...20 Lancement des services:...21 Commande USERADD...22 FICHIERS:...24 Sources: de 25

3 1 la sécurité sous Linux par défaut. Les systèmes Linux furent conçus pour être multi-utilisateurs. Toute la conception du système est axée autour de cette notion. L'accès à chaque élément du système est contrôlé en fonction de l'utilisateur qui en fait la demande. Dans un premier temps nous allons voir comment gérer les comptes utilisateurs ainsi que la mise en place des permissions sur les fichiers. 1.1 Les utilisateurs du système Pour le système un utilisateur n'est pas obligatoirement une personne physique. Il peut détenir des fichiers, exécuter des programmes ou encore déclencher des fonctions systèmes. Un utilisateur possède un login lui permettant de démarrer une session. A ce login est associé un mot de passe personnel. Pour accéder aux ressources du système, l'utilisateur doit entrer le couple login/mot de passe. Ce processus est l'authentification du système. En plus de ce couple, chaque utilisateur est référencé sur le système par un UID (Identifiant Utilisateur Unique) qui est une valeur numérique permettant : d'obtenir une hiérarchie parmi les utilisateurs et d'être facilement référencé dans les informations d'un objet du système de fichiers Le fichier /etc/passwd Ce fichier contient les informations relatives à tous les utilisateurs du système; Par défaut il est le seul qui les liste et qui les définit. La syntaxe de ce fichier est des plus simples, chaque ligne concerne un utilisateur et les différents champs sont séparés par des «:» Exemple: login:password:uid:gid:infos utilisateurs:répertoire personnel:shell Pat:x:500:500:Patrick:/home/Pat:/bin/bash Descriptif des champs : login : identifiant password : mot de passe Le mot de passe peut apparaître sous différentes formes!! le compte est désactivé x ou! le mot de passe est conservé dans un fichier shadow champ vide pas de mot de passe UID : il s'agit de l'identifiant unique de l'utilisateur. Le ROOT possède l'uid 0 3 de 25

4 Les UID inférieur à 100 doivent être réservés au compte système. GID : identifiant du groupe principal de l'utilisateur Infos utilisateurs : des infos sur l'utilisateur; Chaque info doit être séparé par des virgules. Répertoire personnel : répertoire ou sont stockés les fichiers appartenant à l'utilisateur. En général de la forme /home/login Shell: le shell qui sera lancé après l'authentification Le fichier /etc/shadow Le fichier /etc/passwd est accessible en lecture par tout le monde. En effet, certaines commandes utilisent la liste des utilisateurs ou encore la correspondance login/uid. La présence du mot de passe dans /etc/passwd même crypté pose un problème de sécurité puisque tous les utilisateurs possèdent un accès en lecture sur ce fichier. Pour remédier à ce problème, les mots de passe sont stockés dans un fichier différent que seul l'administrateur peut lire. En fonction des différentes distributions, l'utilisation du fichier shadow peut ne pas être activée. Pour activer cette dernière, il suffit d'utiliser la commande <pwconv>. Exemple : Pat:$1$g8s9ptfE$/rvJFuZj23tf/pibTaf02.:13860:0:99999:7::: Les groupes du système Sur les systèmes Linux, les groupes permettent de classer les utilisateurs. De la même manière que pour ceux ci, les informations concernant les groupes du système sont stockées dans un fichier /etc/group. Les informations relatives aux groupes présents sur le système sont répertoriées dans ce fichier et respectent une syntaxe comme celle de /etc/passwd : Exemple: adm:x:500:pat adm : nom du groupe x contient le caractère x (ou*) car n'est plus utilisé par les versions actuelles de Linux. 500 : le GID, c'est l'identifiant unique du groupe sous la forme d'une valeur numérique Pat : utilisateur du groupe. 4 de 25

5 1.2 Les commandes de gestion des utilisateurs Création d'un utilisateur : Des commandes permettent de gérer facilement les utilisateurs : Pour la création d'un utilisateur : il existe la commande <useradd>. Supposons que nous voulions créer un utilisateur stagiaire1 avec pour shell /bin/bash, pour répertoire personnel /home/stagiaire1, pour groupe stagiaire et dev. La commande permettant de créer cet utilisateur sera : ~]$ <useradd -c ''stagiaire1'' -G stagiaire,dev -s /bin/bash stagiaire1> Afin d'alléger la commande, il existe des valeurs par défaut pour les paramètres essentiels de la création d'un utilisateur. La commande useradd -D montre toutes les options par défaut Suppression d'un utilisateur: La commande <userdel> permet de supprimer un utilisateur : ~]$ <userdel [-r] login> Cette commande va supprimer du fichier /etc/passwd l'entrée correspondant à l'utilisateur désigné. L'option -r permet d'effacer le répertoire personnel de l'utilisateur Modification du mot de passe: Une fois l'utilisateur créé, ce dernier ne peut se connecter au système tant qu'un mot de passe ne lui a pas été attribué. La commande <passwd> permet de changer le mot de passe d'un utilisateur. La syntaxe de cette commande est la suivante : passwd [option] [login] Il est à noter que si l'argument login n'est pas préciser, la modification s'appliquera à l'utilisateur en cours. 1.3 Commande des permissions: Pour finir cette partie concernant la sécurité de Linux par défaut, il semble important d'évoquer la gestion des permissions. Deux notions sont importantes, celle de propriétaire et celle de permission La notion de propriétaire Puisque tout est fichier sous Linux et qu'il s'agit d'un système multi-utilisateur, il est important de cloisonner certaines parties du système afin que tous les utilisateurs n'aient pas accès à toutes les ressources présentes sur l'ordinateur. 5 de 25

6 Pour cela différentes permissions sont attachées à chaque fichier. Ce principe de cloisonnement des données passe par un principe de propriété. On distingue trois types de relations par rapport à la propriété d'un fichier avec chacune des droits différents : Le propriétaire : c'est souvent le créateur du fichier Le groupe; cela englobe tous les utilisateurs appartenant à ce groupe. Par défaut, il s'agit du groupe principal du propriétaire. Les autres : tous les autres utilisateurs du système La notion de permission A cette notion de propriétaire s'ajoute celle des permissions attribuées aux différents types de propriétaires. Il existe trois types de droits : Lecture: représentée par la lettre R, elle donne l'autorisation de lire un fichier. Ecriture: représentée par la lettre W, elle autorise la modification du fichier. Exécution: représentée par la lettre X, elle donne le droit d'exécuter un fichier. Ces 3 types de droit sont attribués séparément à 3 types d'utilisateurs : user :représentée par la lettre U, c'est le propriétaire du fichier ou du dossier. group : représentée par la lettre G, c'est le groupe propriétaire du fichier ou du dossier other: représentée par la lettre O, ce sont tous les autres utilisateurs du système. Avec la commande <ls -l> nous pouvons visualiser ces droits d'accès: drwxr-xr-x 2 patrick patrick :50 Nasm -rw-r--r-- 1 patrick patrick :09 nouveau fichier -rwxrwxrwx 1 patrick patrick :09 nouveau fichier2 Le champ -rw-r r-- de la ligne n 2 ci-dessus montre que les droits de «nouveau fichier» sont: lecture et écriture pour les utilisateurs et lecture pour les Groupes et Autres soit en nombre 644. Le champ -rwxrwxrwx de la ligne n 3 montre que les droits de «nouveau fichier2» sont: Lecture, écriture et exécution pour les trois triades Utilisateurs(User), Groupes(Group) et Autres(Other) soit en nombre de 25

7 2 La cryptographie Avant de décrire Kerberos, nous allons évoquer la confidentialité. En effet la confidentialité des données est devenue une préoccupation majeure pour l'administrateur système. Les 3 grands principes du cryptage sont les suivants : 1. La sécurité repose sur le secret de la clé et non pas sur la longueur de l'algorithme. 2. Le déchiffrement de la clé est sinon impossible du moins réclamant de nombreux moyens et du temps donc beaucoup trop coûteux. 3. Trouver la clé à partir des informations en clair et du chiffre doit être impossible. Le protocole SSL permet de décrire les méthodes pour sécuriser les échanges qui se résument à 3 possibilités : 1. le chiffrement par clés symétriques. 2. le chiffrement par clés asymétriques. 3. le chiffrement par certificats. 2.1 Le chiffrement par clés symétriques Ce chiffrement également appelé chiffrement à clé privé ou secrète. Il consiste à utiliser la même clé pour le chiffrement que pour le déchiffrement. Le principal inconvénient de ce système est l'échange de la clé. En effet, le chiffrage repose sur la même clé d'encryptage et de décryptage. Il y a donc un échange de clé. Or si quelqu'un intercepte la clé, il sera capable de décrypter le message. 7 de 25

8

9 3 Kerberos 3.1 Présentation: Kerberos est un protocole d authentification réseau créé au Massachusetts Institute of Technology (MIT) en Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs. Il utilise une cryptographie à clés symétriques. Kerberos est un protocole d authentification réseau. Il utilise une horloge pour : Limiter l usage des clés dans le temps. Détecter les attaques par rejeu. Il utilise DES : Le Data Encryption Standard (DES) est une méthode de chiffrement. Suppose un tiers de confiance. Kerberos ne fournit pas d autorisation mais uniquement de l authentification. Kerberos ne fait pas de chiffrement de données Historique: Kerberos 4, première version utilisable Kerberos 5, RFC 4120, juillet 2005 (RFC 1510, septembre 1993) Kerberos 5 est utilisé dans : UNIX : Linux, BSD, etc. Mac OS X (10.2 et suivants) GSS-API, SASL (NFSv4, AFS, LDAP, OpenSSH) Apache Samba PAM 9 de 25

10 MySQL Microsoft Windows (2000 et suivant), Avantages: La plupart des systèmes de réseau conventionnels utilisent des procédures d'authentification par mot de passe. Un utilisateur doit s'authentifier auprès d'un serveur réseau précis en fournissant son nom d'utilisateur et son mot de passe. L'authentification pour de nombreux services s'effectue de façon non-cryptée. Pour qu'une telle procédure soit sécurisée, il est essentiel d'une part que le réseau soit inaccessible aux utilisateurs externes et d'autre part, que tous les ordinateurs et utilisateurs sur le réseau soient dignes de confiance. Il suffit à tout pirate obtenant l'accès au réseau d'utiliser un simple analyseur de paquets (sniffer) pour intercepter des noms d'utilisateurs et des mots de passe envoyés en texte clair. Le principe de base de Kerberos est d'éviter la transmission de mots de passe non-cryptés à travers le réseau. Lorsque Kerberos est utilisé correctement, il élimine de façon efficace la menace des sniffers de paquets Inconvénients: Kerberos permet d'éliminer une menace commune pour la sécurité, mais plusieurs raisons font qu'il peut se révéler difficile à implémenter : La migration de mots de passe utilisateur d'une base de données de mots de passe Linux standard, comme /etc/passwd ou /etc/shadow, vers une base de données de mots de passe Kerberos peut être relativement longue car il n'existe aucun mécanisme automatique permettant d'effectuer cette tâche. Kerberos n'est que partiellement compatible avec le système PAM ('Pluggable Authentification Module', module d'authentification enfichable) utilisé par la plupart des serveurs exécutant Red Hat Linux. Kerberos suppose que tout utilisateur est digne de confiance. Son but principal est d'empêcher que des mots de passe en texte clair ne soient envoyés sur le réseau. Toutefois, si quelqu'un d'autre que l'utilisateur normal a physiquement accès à l'hôte qui émet les tickets utilisés pour l'authentification «appelé centre de distribution de clés (ou KDC de l'anglais Key Distribution Center)» tout le système d'authentification Kerberos est menacé d'être compromis. Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin de faire les appels appropriés dans les bibliothèques Kerberos. Les applications modifiées de la sorte sont considérées comme étant kerberisées. Pour certaines applications, ceux-ci peut exiger un effort de programmation trop important. Avec une solution Kerberos, c'est tout ou rien. Une fois que Kerberos est utilisé sur le réseau, tout mot de passe non crypté transmis à un service non kerberisé risque d'être intercepté. Dans de telles circonstances, le système ne tirera aucun avantage de l'utilisation de Kerberos. Afin de sécuriser votre réseau avec Kerberos, vous devez soit utiliser des versions kerberisées de toutes les applications client/serveur qui envoient des mots de passe en texte clair, soit n'utiliser absolument aucune application client/serveur. 10 de 25

11 3.1.4 Conclusion On utilisera Kerberos car: L'authentification est sécurisée (cryptographie). Il n'y a pas de transmission du mot de passe. 3.2 Terminologie de kerberos: Comme tout système, Kerberos dispose de sa propre terminologie. Ciphertext: Données cryptées. Client: Entité sur le réseau (utilisateur, hôte ou application) pouvant recevoir un ticket de Kerberos. Cache de certificat d'identité ou fichier ticket: Fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un environnement permettant d'utiliser d'autres types de cache (par exemple, une mémoire partagée), mais les fichiers sont mieux pris en charge. Hache crypté: Hachage unidirectionnel utilisé pour l'authentification des utilisateurs. Plus sûr que le texte clair, mais relativement facile à décoder pour un pirate expérimenté. Hachage: Un nombre créé à partir de texte et utilisé pour garantir que des données transmises n'ont pas été manipulées de manière malveillante. Clé: Bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée. KDC (Key Distribution Center ou centre de distribution de clés): Service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le serveur d'émission de tickets ou TGS (de l'anglais Ticket-granting Server). C'est une base de données des clients, des serveurs et des clés associées. Il est responsable de la maintenance des clés maîtres et de la mise à disposition des tickets Kerberos. L Authentication Service (AS) donne au client une clé de session et un Ticket Granting Ticket TGT. Il distribue les clés de session et les tickets pour les services via le Ticket Granting Service TGS. Table clé ou keytab: Fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab). 11 de 25

12 Kinit: La commande kinit permet à un principal qui est déjà connecté d'obtenir et de mettre en cache le ticket d'émission de tickets initial ou TGT (pour Ticket-granting Ticket). Principal: trinôme <nom, instance, domaine> nom : nom d utilisateur ou du service instance : qualifie le primary (rôle/groupe) domaine d authentification Le principal est le nom unique de l'utilisateur ou du service pouvant effectuer une authentification à l'aide de Kerberos. Un nom de principal a le format Pour un utilisateur ordinaire, le root correspond à l'id de connexion. L'instance est facultative. Si le principal a une instance, il est séparé de la variable root par une barre oblique en avant ("/"). Une chaîne vide ("") est considérée comme une instance valide (qui diffère de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les éléments principaux d'une zone (realm) ont leur propre clé dérivée de leur mot de passe ou définie de façon aléatoire pour les services. Realm: Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs (appelés également KDC) et un nombre potentiel très élevé de clients. Service: Programme accessible via le réseau. Ticket: Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. Service d'émission de tickets (TGS pour Ticket Granting Service): Serveur émettant les tickets pour un service souhaité que l'utilisateur doit ensuite employer pour accéder au service en question. Le TGS fonctionne en général sur le même hôte que le KDC. Ticket d'émission de tickets (TGT pour Ticket-granting Ticket): Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC. ticket donné par l AS (Authentication Service), expire à une date et à une heure déterminées. Mot de passe non-crypté: Un mot de passe en texte clair, lisible par quiconque. 3.4 Principe de fonctionnement: Sur un réseau classique employant des mots de passe pour authentifier les utilisateurs, lorsqu'un utilisateur demande un service réseau nécessitant une authentification, il lui est demandé son Login et son mot de passe. Ceux-ci sont transmis sous forme de hache chiffré réseau ou pire en texte clair. Aussi toute personne interceptant des paquets sur le réseau peut potentiellement trouver le nom d'utilisateur et son mot de passe. Kerberos utilise un cryptage symétrique et un programme externe digne de confiance connu sous le nom de Centre de distribution de tickets (KDC Key Distribution Center) afin d'authentifier les utilisateurs sur un réseau. Une fois l'authentification auprès du KDC effectuée, Kerberos renvoie à 12 de 25

13 l'ordinateur de l'utilisateur un ticket spécifique à cette session sur l'ordinateur de l'utilisateur. Ainsi tout service kerberisé peut rechercher ce ticket plutôt que de demander à l'utilisateur de s'authentifier à l'aide du couple Login / mot de passe. 1. Lorsqu'un utilisateur faisant partie d'un réseau "kerberisé" souhaite s'authentifier, il renvoie une demande au KDC (AS-REQ ou TGT). Lors de cette demande, il va entrer son mot de passe, qui va être transformé, puis utilisé comme clé de chiffrement pour la demande d'authentification. A aucun moment le mot de passe ou une représentation du mot de passe ne transitera sur le réseau. En fait son principal est envoyé au KDC. Cette demande peut être émise par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut être émise par le programme kinit une fois l'utilisateur connecté. 2. Le KDC reçoit alors cette demande. Il est le seul à connaître le mot de passe de l'utilisateur. Grâce à ce mot de passe, il va pouvoir déchiffrer la demande d'authentification. Si le déchiffrement a réussi, c'est que l'utilisateur a chiffré sa demande avec le bon mot de passe. Il vient donc de prouver son identité. Le KDC renvoie alors une réponse positive (AS- REP), après vérification du principal dans sa base de données, comprenant une clé de session, un TGT, le crypte à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier. Il servira alors à valider tous les échanges entre l'utilisateur et le KDC. Si le déchiffrement échoue, le KDC renvoie une erreur (KRB-ERROR). Le programme de connexion ou le programme kinit présent sur l'ordinateur client décrypte ensuite le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). La clé de l'utilisateur est utilisée seulement sur l'ordinateur client et n'est pas envoyée sur le réseau. 13 de 25

14 Une fois authentifié, l'utilisateur emploiera sa clé de session pour communiquer avec le KDC et demander des tickets, tickets qui serviront de preuve auprès des services sur les quels l'utilisateur souhaite s'authentifier. 3. Les tickets ou le TGT, est établi pour expirer après un certain laps de temps, est stocké dans le cache de certificats d'identité de l'ordinateur client. Un délai d'expiration est défini de manière à ce qu'un TGT compromis ne puisse être utilisé par un pirate que pendant une courte durée. Une fois que le TGT est émis, l'utilisateur "n'a pas à redonner son mot de passe" au KDC tant que le TGT n'a pas expiré ou tant qu'il ne se déconnecte pas. Chaque fois que l'utilisateur doit accéder à un service réseau, le logiciel client utilise le TGT pour demander au serveur d'émission de tickets (TGS) un nouveau ticket pour ce service spécifique. Le ticket pour le service souhaité est alors émis et utilisé pour authentifier l'utilisateur auprès de ce service de façon transparente. 4 Installer et configurer un serveur Kerberos 5: On commencera par installer le serveur. 4.1 Installation du serveur Kerberos : 1. Etant donné que certains aspects de Kerberos reposent sur le DNS (Domain Name System), le service DNS doit être installé et parfaitement configuré. Assurez-vous de la synchronisation de l'horloge entre le serveur Kerberos et ses différents clients. Si les horloges du serveur et du client diffèrent de plus de cinq minutes (ce chiffre par défaut est configurable dans Kerberos 5), les clients ne pourront pas s'authentifier sur le serveur. Cette synchronisation de l'horloge est nécessaire pour empêcher un agresseur d'utiliser un ancien authentificateur pour se déguiser en un utilisateur valide. Vous devez configurer un réseau client/serveur compatible NTP (protocole de synchronisation de réseau) comme par exemple, ntpd. Consultez usr/share/doc/ntp p2/index.html pour Fedora. 2. Installez les paquetages krb5-libs, krb5-server et krb5-workstation sur la machine sur laquelle tournera votre KDC. Cette machine doit être sécurisée si possible; elle ne devrait pas exécuter de services autres que le KDC. Si vous souhaitez utiliser un utilitaire d'interface utilisateur graphique GUI pour gérer Kerberos, vous devez également installer le paquetage gnome-kerberos. Celui-ci contient krb5, un outil GUI pour gérer les tickets, et gkadmin, un outil GUI pour gérer les zones de Kerberos. 3. Editez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/ kdc.conf afin de refléter votre nom de zone et les configurations domaine à zone. Une simple zone peut être construite en remplaçant les instances de EXEMPLE.COM et 14 de 25

15 exemple.com avec votre nom de domaine. Assurez-vous de bien garder les noms en majuscules et minuscules dans le format approprié et en changeant le KDC de kerberos.exemple.com par le nom de votre serveur Kerberos. Par convention, tous les noms de zones sont en majuscules et tous les noms d'hôtes DNS ainsi que les noms de domaines en minuscules. Le fichier krb5.conf contient la configuration générale de Kerberos. Le kdc.conf indique ou se situe la base de donnée des comptes utilisateurs. 4. Créez la base de données à l'aide de l'utilitaire kdb5_util à partir de l'invite shell: /usr/kerberos/sbin/kdb5_util create -s La commande create crée la base de données (dans /usr/local/var/krb5kdc) qui sera utilisée pour stocker les clés de votre zone Kerberos. Le commutateur -s force la création d'un fichier stash dans lequel est stocké la clé du serveur maître. S'il n'existe aucun fichier stash à partir duquel lire la clé, le serveur Kerberos (krb5kdc) demandera à l'utilisateur le mot de passe du serveur maître (qui peut être utilisé pour régénérer la clé) à chaque fois qu'il sera lancé. Exemple: ~]$ su -c '/usr/kerberos/sbin/kdb5_util create -s' Mot de passe : Loading random data Initializing database '/var/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: Re-enter KDC database master key to verify: 5. Editez le fichier /var/kerberos/krb5kdc/kadm5.acl. Ce fichier est utilisé par kadmind afin de déterminer quels éléments principaux ont accès à la base de données de Kerberos et de définir leur niveau d'accès. Une seule ligne suffira à la plupart des organisations : La plupart des utilisateurs seront représentés dans la base de données par un seul élément principal (avec une instance NULL, ou vide, telle que Avec cette configuration, les utilisateurs ayant un second élément principal avec comme instance admin (par exemple, pourront exercer un pouvoir total sur la base de données Kerberos de la zone. Une fois kadmind lancé sur le serveur, n'importe quel utilisateur pourra accéder à ses 15 de 25

16 services en exécutant kadmin ou gkadmin sur tous les clients ou serveurs de la zone. Toutefois, les utilisateurs non spécifiés dans le fichier kadm5.acl ne pourront en aucun cas modifier la base de données ; le seul changement qu'il leur sera possible d'effectuer sera celui de leurs propres mots de passe. Tapez la commande kadmin.local suivante au terminal KDC afin de créer le premier élément principal : /usr/kerberos/sbin/kadmin.local -q "addprinc nom-d'utilisateur/admin" Exemple: ~]$ su -c '/usr/kerberos/sbin/kadmin.local -q "addprinc Patrick/admin"' Mot de passe : Authenticating as principal with password. WARNING: no policy specified for defaulting to no policy Enter password for principal Re-enter password for principal Principal created. 6. Lancez Kerberos à l'aide des commandes suivantes : /sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start 7. Ajoutez des éléments principaux pour vos utilisateurs à l'aide de la commande addprinc avec kadmin ou à l'aide de l'option de menu Principal => Add dans gkadmin. kadmin et kadmin.local, sur le KDC maître, sont des interfaces de ligne de commande pour le système d'administration de Kerberos. En tant que telles, de nombreuses commandes sont disponibles après le lancement du programme kadmin. 8. Vérifiez que votre serveur émettra bien des tickets. Tout d'abord, exécutez kinit afin d'obtenir un ticket et de le stocker dans un fichier cache de certificats d'identité. Utilisez ensuite klist afin de visualiser la liste des certificats d'identité dans votre cache et utilisez kdestroy pour détruire le cache ainsi que les certificats qu'il contient. Remarque Par défaut, kinit tente de vous authentifier en utilisant le nom d'utilisateur de connexion du compte utilisé lorsque vous vous êtes connecté pour la première fois à votre système (pas au serveur Kerberos). Si le nom d'utilisateur de ce système ne correspond pas à un élément principal dans votre base de données Kerberos, un message d'erreur s'affichera. Le cas échéant, indiquez simplement à kinit le nom de votre élément principal en tant 16 de 25

17 qu'argument sur la ligne de commande (kinit élément principal). Nous allons passer à la configuration des clients Kerberos. 4.2 Configurer un client Kerberos 5 Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions "kerbérisées" de rsh et rlogin nécessiteront également des changements au niveau de la configuration. 1. Assurez-vous que la synchronisation de l'heure est effective entre le client Kerberos et le KDC. Le DNS doit aussi fonctionner correctement sur le client Kerberos avant d'installer les programmes de ce client. 2. Installez les paquetages krb5-libs et krb5-workstation sur tous les clients de votre zone. Vous devez fournir votre propre version de /etc/krb5.conf pour les stations de travail de vos clients ; cela peut généralement être le même krb5.conf que celui utilisé par le KDC. 3. Avant qu'une station de travail donnée de votre zone puisse permettre aux utilisateurs de se connecter à l'aide des commandes rsh et rlogin "kerbérisées", le paquetage xinetd devra y être installé et l'élément principal de l'hôte propre à la station devra être présent dans la base de données Kerberos. Les programmes de serveur kshd et klogind auront également besoin d'un accès aux clés pour l'élément principal de leur service. A l'aide de kadmin, ajoutez un élément principal d'hôte pour la station de travail. L'instance sera dans ce cas le nom d'hôte de la station. Parce que vous n'aurez jamais besoin de taper à nouveau le mot de passe pour cet élément principal, vous ne voudrez probablement pas perdre de temps à chercher un bon mot de passe. Vous pouvez utiliser l'option -randkey de la commande addprinc de kadmin afin de créer l'élément principal et de lui attribuer une clé aléatoire : addprinc -randkey host/blah.exemple.com Maintenant que vous avez créé l'élément principal, vous pouvez extraire les clés de la station de travail en exécutant kadmin sur la station de travail elle-même et utiliser la commande ktadd dans kadmin : ktadd -k /etc/krb5.keytab host/blah.exemple.com Afin d'utiliser les versions "kerbérisées" de rsh et de rlogin, vous devez activer klogin, 17 de 25

18 eklogin et kshell. 4. D'autres services de réseau "kerbérisés" devront être lancés. Pour utiliser la commande telnet kerbérisée, vous devez activer krb5-telnet. Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root de ftp, l'instance étant configurée au nom d'hôte du serveur FTP. Activez ensuite gssftp. Le serveur IMAP inclus dans le paquetage imap utilisera l'authentification GSS-API à l'aide de Kerberos 5 s'il parvient à trouver la clé appropriée dans /etc/krb5.keytab. Le root de l'élément principal doit être imap. Le gserveur CVS utilise un élément principal avec un root de cvs et est en dehors de cela identique à un pserver. 5 La sécurité: Parce qu'un système est caractérisé par le niveau de sécurité de son maillon le plus faible, de la même façon qu'une chaîne, la sécurité doit être abordée dans un contexte global: La sensibilisation des utilisateurs aux problèmes de sécurité. La sécurité logique, c'est à dire la sécurité au niveau des données. La sécurité des télécommunications. La sécurité des applications. La sécurité physique (sécurité matérielle). On veillera aux mises à jour de sécurité du système d'exploitation ainsi que des applications. Par exemple vous pouvez constater ci-dessous un avis de sécurité sur Kerberos. Alors pensez à maintenir vos systèmes à jour de 25

19 Annexe: Les manipulations ont été réalisées avec la distribution Fedora. Bulletin de sécurité: - Kerberos : Versions affectées : Kerberos 5 versions à Criticité: Non Critique Moyennement Critique Critique Très Critique Impact: Exécution des commandes arbitraires, Déni de service, par un attaquant distant. Brève Description: Ces vulnérabilités sont dues à des erreurs : - Une erreur de gestion des requêtes RPC. L'exploitation de cette faille pourrait permettre à un attaquant d'exécuter du code arbitraire avec les privilèges "root" ou de créer un déni de service du démon "kadmind". - Une erreur de gestion de l'espace mémoire. L'exploitation de cette faille pourrait permettre à un attaquant local ayant les privilèges "modify policy" d'exécuter du code arbitraire avec les privilèges "root" ou de créer un déni de service du démon "kadmind". Pour plus de détails : Solution : Appliquer le correctif de MIT pour Kerberos 5 : Référence CVE CVE CVE RéférenceCERT-TCC: CERT-TCC/Vuln Installation de Kerberos: Serveur: ~]$ su -c 'yum install krb5-server' Mot de passe : Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package krb5-server.i386 0: fc7 set to be updated 19 de 25

20 --> Finished Dependency Resolution Dependencies Resolved ======================================================================= ====== Package Arch Version Repository Size ======================================================================= ====== Installing: krb5-server i fc7 updates 896 k Transaction Summary ======================================================================= ====== Install 1 Package(s) Update 0 Package(s) Remove 0 Package(s) Total download size: 896 k Is this ok [y/n]: y Downloading Packages: (1/1): krb5-server % ========================= 896 kb 00:01 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Installing: krb5-server ######################### [1/1] Installed: krb5-server.i386 0: fc7 Complete! ~]$ Client: ~]$ su -c 'yum install krb5-workstation' Mot de passe : Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package krb5-workstation.i386 0: fc7 set to be updated --> Finished Dependency Resolution Dependencies Resolved ======================================================================= ====== Package Arch Version Repository Size 20 de 25

Mécanisme d authentifications : Kerberos

Mécanisme d authentifications : Kerberos Mécanisme d authentifications : Kerberos Responsables du TP : O. Allovon, D. Fossier, F. Gratta, B. Sauvajon Base : Système linux et Windows 2000 en salle TP B120 Accès Internet Accès administrateur Stations

Plus en détail

AUTHENTIFICATION MANAGEMENT

AUTHENTIFICATION MANAGEMENT AUTHENTIFICATION MANAGEMENT MANEL KAWEM (RT4) TAYEB BEN ACHOUR (RT3) SAMAR JAMEL (RT4) AMINE CHERIF (RT3) DORRA BOUGHZALA (RT3) YASSINE DAMMAK (RT4) ABIR AKERMI (RT3) Table des matières I. Présentation

Plus en détail

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base... Système d'exploitation Sommaire Introduction...3 Objectif...3 Manipulations...3 Gestion des utilisateurs et des groupes...4 Introduction...4 Les fichiers de base...4 Quelques commandes d'administration...5

Plus en détail

TD séance n 8 Utilisateurs et Groupes sous Unix et Windows

TD séance n 8 Utilisateurs et Groupes sous Unix et Windows 1 Gestion des utilisateurs Unix 1.1 Super-utilisateur Linux est un système multiutilisateurs (plusieurs utilisateurs peuvent travailler sur la même machine) et sécurisé. Chaque utilisateur, pour travailler,

Plus en détail

Kerberos en environnement ISP UNIX/Win2K/Cisco

Kerberos en environnement ISP UNIX/Win2K/Cisco Kerberos en environnement ISP UNIX/Win2K/Cisco > Nicolas FISCHBACH nico@securite.org - http://www.securite.org/nico/ > Sébastien LACOSTE-SERIS kaneda@securite.org - http://www.securite.org/kaneda/ version

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Simplifier l authentification avec Kerberos

Simplifier l authentification avec Kerberos Du mono-poste à la PME Normation Mardi 10 Juillet 2012 Qui suis-je? Administrateur réseaux et systèmes chez Tu fais quoi dans la vie? Gère l infrastructure informatique chez Normation Travaille sur l outil

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Nom : Prénom : Groupe :

Nom : Prénom : Groupe : Nom : Prénom : Groupe : TP : utilisation de ssh 1 Travail préliminaire. Pour ce TP vous devrez utiliser les comptes root/tpreseau et tpreseau/disket. Restaurez votre machine en chargeant le système marqué

Plus en détail

Table des matières. 2011 Hakim Benameurlaine 1

Table des matières. 2011 Hakim Benameurlaine 1 Table des matières 1 OpenSSH... 2 1.1 Introduction... 2 1.2 Installation... 2 1.3 Test de connexion... 2 1.4 Configuration du serveur ssh... 3 1.5 Contrôle du service ssh... 4 1.6 Log... 4 1.7 Client ssh...

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services. Objectifs du TP Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Sécurité des services Noms : Rabenjamina Solohaja et Tharic Faris Groupe : 5 Date : 21/11/2014 Objectifs du TP - Installation

Plus en détail

Chapitre 2 Accès aux partages depuis votre système d'exploitation

Chapitre 2 Accès aux partages depuis votre système d'exploitation Chapitre 2 Accès aux partages depuis votre système d'exploitation Ce chapitre présente des exemples d'accès à des partages sur le périphérique ReadyNAS Duo via différents systèmes d'exploitation. En cas

Plus en détail

Pré-requis. Objectifs. Page 164 Chapitre 5. LINUX - Préparation à la certification LPIC-2

Pré-requis. Objectifs. Page 164 Chapitre 5. LINUX - Préparation à la certification LPIC-2 Page 164 Chapitre 5 LINUX Pré-requis - et Préparation objectifs à la certification LPIC-2 Pré-requis Authentification des utilisateurs Les connaissances acquises lors de la certification LPI niveau 1,

Plus en détail

Authentification unifiée Unix/Windows

Authentification unifiée Unix/Windows Rencontres Mathrice - Octobre 2008 Plan Contexte du laboratoire 1 Contexte du laboratoire 2 3 4 Le laboratoire Contexte du laboratoire Laboratoire de Mathématiques et Applications Unité mixte de recherche

Plus en détail

Protocoles DHCP et DNS

Protocoles DHCP et DNS Protocoles DHCP et DNS DHCP (Dynamic Host Configuration Protocol) est un protocole qui permet à un serveur DHCP (Unix, Windows, AS400...) d'affecter des adresses IP temporaires (et d'autres paramètres)

Plus en détail

Kerberos/AD/LDAP/Synchro

Kerberos/AD/LDAP/Synchro Kerberos/AD/LDAP/Synchro On suppose que openldap heimdal et perl sont installés. Accès entre les services Un compte «syncad» est défini dans le KDC. Il est configuré pour écrire dans le LDAP, via une auth

Plus en détail

SSH, le shell sécurisé

SSH, le shell sécurisé , le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,

Plus en détail

JetClouding Installation

JetClouding Installation JetClouding Installation Lancez le programme Setup JetClouding.exe et suivez les étapes d installation : Cliquez sur «J accepte le contrat de licence» puis sur continuer. Un message apparait and vous demande

Plus en détail

L'AAA, késako? Bruno Bonfils, , Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

L'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation

Plus en détail

Configuration de pure-ftpd

Configuration de pure-ftpd Configuration de pure-ftpd 1. Présentation de pure-ftpd Pure-ftp est un serveur ftp performant, sûr (c'est qu'ils disent dans la doc.) et assez simple à configurer, mais tout est relatif. 2. Installation

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Projet Administration Réseaux

Projet Administration Réseaux EL KHATIT Zouhair, L3 ASR N : 20072486 Projet Administration Réseaux Thème : SFTP & SCPOnly I- SFTP (Secure File Transfer Protocol) : Introduction: Le SFTP permet de transférer des fichiers par une connexion

Plus en détail

CA Performance Center

CA Performance Center CA Performance Center Manuel de l'utilisateur de l'authentification unique Version 2.2.00 La présente documentation, qui inclut des systèmes d'aide et du matériel distribués électroniquement (ci-après

Plus en détail

Sophos Virtualization Scan Controller Guide de l'utilisateur. Version du produit : 1.0

Sophos Virtualization Scan Controller Guide de l'utilisateur. Version du produit : 1.0 Sophos Virtualization Scan Controller Guide de l'utilisateur Version du produit : 1.0 Date du document : juillet 2011 (Révisé) Table des matières 1 À propos de ce guide...3 2 Qu'est-ce que le Virtualization

Plus en détail

Symantec Backup Exec Remote Media Agent for Linux Servers

Symantec Backup Exec Remote Media Agent for Linux Servers Annexe I Symantec Backup Exec Remote Media Agent for Linux Servers Cette annexe traite des sujets suivants : A propos de Remote Media Agent Comment fonctionne Remote Media Agent Conditions requises pour

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

Résolution des problèmes de connexion SSH de Reflection X

Résolution des problèmes de connexion SSH de Reflection X Résolution des problèmes de connexion SSH de Reflection X Dernière révision : 31 mars 2011 Remarque : Les informations les plus récentes sont dans un premier temps publiées dans la note technique rédigée

Plus en détail

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères FORMATION PcVue Mise en œuvre de WEBVUE Journées de formation au logiciel de supervision PcVue 8.1 Lieu : Lycée Pablo Neruda Saint Martin d hères Centre ressource Génie Electrique Intervenant : Enseignant

Plus en détail

Service d'authentification LDAP et SSO avec CAS

Service d'authentification LDAP et SSO avec CAS Service d'authentification LDAP et SSO avec CAS Clé de l'extension : ig_ldap_sso_auth 2006-2007, Michaël Gagnon, Ce document est publié sous la licence open source, disponible au

Plus en détail

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas FreeNAS 0.7.1 Shere Par THOREZ Nicolas I Introduction FreeNAS est un OS basé sur FreeBSD et destiné à mettre en œuvre un NAS, système de partage de stockage. Pour faire simple, un NAS est une zone de stockage

Plus en détail

Projet Semestre2-1SISR

Projet Semestre2-1SISR Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test

Plus en détail

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Imprimantes et partage réseau sous Samba avec authentification Active Directory Imprimantes et partage réseau sous Samba avec authentification Active Directory Sommaire 1- Pré requis Page 2 2- Configuration réseau Page 3 3- Installation de samba Page 4 à 5 4- Installation de kerberos

Plus en détail

Guide de sécurité de VMware vrealize Log Insight

Guide de sécurité de VMware vrealize Log Insight Guide de sécurité de VMware vrealize vrealize 2.5 Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit

Plus en détail

SAMBA UBUNTU SERVER 12.04

SAMBA UBUNTU SERVER 12.04 SAMBA UBUNTU SERVER 12.04 Introduction Le serveur Samba est l'outil privilégié pour installer un réseau LAN (Local Area Network) fonctionnant avec le protocole SMB (Server Message Block). Il est donc possible

Plus en détail

Manuel d'utilisation du client VPN. 9235967 Édition 1

Manuel d'utilisation du client VPN. 9235967 Édition 1 Manuel d'utilisation du client VPN 9235967 Édition 1 Copyright 2004 Nokia. Tous droits réservés. La reproduction, le transfert, la distribution ou le stockage d'une partie ou de la totalité du contenu

Plus en détail

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups 1.3.7 Auteur : Charles-Alban BENEZECH

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups 1.3.7 Auteur : Charles-Alban BENEZECH 2012 Les tutos à toto CUPS server - install and configure Réalisée sur CentOS 5.7 Ecrit par Charles-Alban BENEZECH 2012 titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups 1.3.7

Plus en détail

Retour d expérience sur l utilisation de Kerberos à l INRIA

Retour d expérience sur l utilisation de Kerberos à l INRIA INRIA - DSI Journées Réseau 2011 Plan 1 2 3 4 Plan 1 2 3 4 Intégration LDAP Composants Heimdal OpenLDAP smbk5pwd Gestion mot de passe synchronisation au changement de mot de passe opération spécifique

Plus en détail

progecad NLM Guide de l'utilisateur

progecad NLM Guide de l'utilisateur progecad NLM Guide de l'utilisateur Rev. 11.1 Table des matières Table des matières...2 Introduction...3 Comment démarrer...3 Installation de progecad NLM server...3 Enregistrement de progecad NLM server...3

Plus en détail

MODE D'EMPLOI. ba76147f01 04/2013. MultiLab User LOGICIEL D'ORDINATEUR POUR GESTION DES UTILISATEURS

MODE D'EMPLOI. ba76147f01 04/2013. MultiLab User LOGICIEL D'ORDINATEUR POUR GESTION DES UTILISATEURS MODE D'EMPLOI ba76147f01 04/2013 MultiLab User LOGICIEL D'ORDINATEUR POUR GESTION DES UTILISATEURS MultiLab User 2 ba76147f01 04/2013 Sommaire MultiLab User MultiLab User - Sommaire 1 Vue d'ensemble.............................

Plus en détail

Linux en ligne de commande

Linux en ligne de commande I. Organisation et gestion des fichiers. A organisation des répertoires : Linux en ligne de commande Les systèmes Unix reposent sur une arborescence de fichiers différente des systèmes Windows. En effet,

Plus en détail

TELECOM- ANNEE 2003/2004

TELECOM- ANNEE 2003/2004 TELECOM- ANNEE 2003/2004 Option SSR Projet de fin d étude Authentification forte auprès d'un serveur LDAP par la méthode SASL Kerberos EI3 Option SSR Enseignant encadrant : Maryline MAKNAVICIUS-LAURENT

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

Les messages d erreur d'applidis Client

Les messages d erreur d'applidis Client Fiche technique AppliDis Les messages d erreur d'applidis Client Fiche IS00313 Version document : 1.00 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Mise en place d'un serveur LDAP

Mise en place d'un serveur LDAP Mise en place d'un serveur LDAP Cet article présente la mise en place d'un serveur OpenLDAP ainsi que la configuration côté client. Nous présenterons également l'authentification des utilisateurs via pam_ldap.

Plus en détail

Aide en ligne du portail

Aide en ligne du portail Connectivity 3SKey Aide en ligne du portail Ce fichier d'aide décrit les fonctions du portail 3SKey (clé de signature sécurisée SWIFT). 11 juin 2011 3SKey Table des matières 1 Portail 3SKey... 3 1.1 Fonctions

Plus en détail

Travaux pratiques : Configuration d'un routeur distant avec SSH

Travaux pratiques : Configuration d'un routeur distant avec SSH Travaux pratiques : Configuration d'un routeur distant avec SSH Objectifs Configurer un routeur pour accepter les connexions SSH Configurer le logiciel client SSH sur un PC Établir une connexion avec un

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Guide de l'utilisateur

Guide de l'utilisateur BlackBerry Internet Service Version: 4.5.1 Guide de l'utilisateur Publié : 2014-01-08 SWD-20140108170135662 Table des matières 1 Mise en route...7 À propos des formules d'abonnement pour BlackBerry Internet

Plus en détail

Serveur Acronis Backup & Recovery 10 pour Linux. Update 5. Guide d'installation

Serveur Acronis Backup & Recovery 10 pour Linux. Update 5. Guide d'installation Serveur Acronis Backup & Recovery 10 pour Linux Update 5 Guide d'installation Table des matières 1 Avant l'installation...3 1.1 Composants d'acronis Backup & Recovery 10... 3 1.1.1 Agent pour Linux...

Plus en détail

UE5A Administration Réseaux LP SIRI

UE5A Administration Réseaux LP SIRI UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés

Plus en détail

Les commandes relatives aux réseaux

Les commandes relatives aux réseaux SHELL Les commandes relatives aux réseaux L'accès aux ou via les réseaux est devenu vital, aussi, les commandes traditionnelles de connexion et de transfert de fichiers ont été remplacées par des commandes

Plus en détail

TP RPV DE NIVEAU APPLICATION EXTRANET

TP RPV DE NIVEAU APPLICATION EXTRANET TP RPV DE NIVEAU APPLICATION EXTRANET Étudions le cas de l entreprise MAROQ. L entreprise a décidé d ouvrir une partie de son SI (Système d information) à ses partenaires. Cette ouverture s effectue par

Plus en détail

Authentification et Autorisation

Authentification et Autorisation Authentification et Autorisation Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Contrôle accès Identification Authentifiction Autorisation Imputabilité (Accoutability) Conclusion

Plus en détail

Protocoles d authentification

Protocoles d authentification Sécurité des Réseaux, Master CSI 2 J.Bétréma, LaBRI, Université Bordeaux 1 Protocoles d authentification 1. Authentification simple 2. Authentification mutuelle 3. Clé de session 4. KDC Source 1. Authentification

Plus en détail

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI Contexte de la mission Suite à la multiplication des matériels et des logiciels dans les locaux de GSB, le service

Plus en détail

Atelier La notion de session utilisateur sous Linux

Atelier La notion de session utilisateur sous Linux Chapitre 6 Atelier La notion de session utilisateur sous Linux I Présentation Nous allons voir la notion de session et d utilisateur sous linux, ainsi que quelques commandes de base afin de mieux comprendre

Plus en détail

Business Sharepoint Contenu

Business Sharepoint Contenu Business Sharepoint Contenu Comment ajouter un utilisateur BlackBerry? (Business Sharepoint)... 2 Comment démarrer avec Business Sharepoint?... 10 Comment se connecter à son site personnel Business SharePoint?...

Plus en détail

Windows Internet Name Service (WINS)

Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) WINDOWS INTERNET NAME SERVICE (WINS)...2 1.) Introduction au Service de nom Internet Windows (WINS)...2 1.1) Les Noms NetBIOS...2 1.2) Le processus de résolution WINS...2

Plus en détail

A. À propos des annuaires

A. À propos des annuaires Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques

Plus en détail

Ajout et Configuration d'un nouveau poste pour BackupPC

Ajout et Configuration d'un nouveau poste pour BackupPC Ajout et Configuration d'un nouveau poste pour BackupPC I. Création de l'utilisateur et déclaration de la machine à sauvegarder Dans une console, taper cette commande : htpasswd /etc/apache2/backuppc_users

Plus en détail

Sécurisez des Transferts de Données en Ligne avec SSL Un guide pour comprendre les certificats SSL, comment ils fonctionnent et leur application 1. Aperçu 2. Qu'est-ce que le SSL? 3. Comment savoir si

Plus en détail

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : M326070463 ACTIVITE

Plus en détail

Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS

Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS Guide d utilisateurs Plesk WEBPACK GUIDE D UTILISATEURS 1 PleskWebpack MAS_FR- Octobre 2010 SOMMAIRE - Introduction 1 - Créer un compte FTP et les droits d accès 2 - Utiliser l outil de rapport (statweb,

Plus en détail

TP : installation de services

TP : installation de services TP : installation de services Ce TP a été rédigé rapidement. Il ne donne certainement pas toutes les explications nécessaires à la compréhension des manipulations. Assurez vous de bien comprendre ce que

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

Tutoriel Drupal version 6 :

Tutoriel Drupal version 6 : 1 Tutoriel Drupal version 6 : Installation en local sous Windows et traduction 2 1. Installation de Drupal en local (sur votre pc) 1.1. Logiciels nécessaires Drupal fonctionne dans un environnement nécessitant

Plus en détail

titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH

titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH 2012 Les tutos à toto Secure SHell - utilisation Réalisée sur CentOS 5.7 Ecrit par Charles-Alban BENEZECH 2012 titre : ssh - utilisation Système : CentOS 5.7 Technologie : ssh Auteur : Charles-Alban BENEZECH

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

CONTROLEUR DE DOMAINE SAMBA

CONTROLEUR DE DOMAINE SAMBA CONTROLEUR DE DOMAINE SAMBA Nous allons voir à travers ce tutoriel, la mise en place d un contrôleur de domaine sous linux, SAMBA. Ce tutoriel a été testé sur une distribution Debian version 7.2 1. Introduction

Plus en détail

I. Présentation du serveur Samba

I. Présentation du serveur Samba Introduction D un point de vue général, un contrôleur de domaine est grand chef sur un réseau. C'est le serveur auquel tous les clients se réfèrent pour les authentifications d'utilisateurs, de machines,...

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4 BlackBerry Professional Software pour IBM Lotus Domino Version: 4.1 Service Pack: 4 SWD-311541-0911043520-002 Table des matières 1 Gestion des comptes d'utilisateur... 7 Ajouter un compte utilisateur...

Plus en détail

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014 Mise en place d un service FTP sous Linux Bouron Dimitri 20/04/2014 Ce document sert de démonstration concise pour l installation, la configuration, la sécurisation, d un serveur FTP sous Linux utilisant

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Kerberos, le SSO universel

Kerberos, le SSO universel Kerberos, le SSO universel Guillaume Rousse Ingénieur système à l INRIA novembre 2011 Table des matières 1 Présentation 3 1.1 Historique............................... 3 1.2 Concepts...............................

Plus en détail

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé Cible de Sécurité CSPN Produit TrueCrypt version 7.1a Catégorie Stockage Sécurisé Date : le 15/01/2013 Page 1 sur 18 Siège : 4 bis Allée du Bâtiment 35000 Rennes France www.amossys.fr SIRET : 493 348 890

Plus en détail

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél. +41 032 718 2000, hotline.sitel@unine.ch.

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél. +41 032 718 2000, hotline.sitel@unine.ch. Terminal Server 1. Présentation Le terminal server est un service offert par les serveurs Windows 2000 ou par une version spéciale de windows NT 4.0 server, appelée Terminal Server. Un programme client

Plus en détail

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide Symantec Backup Exec 12.5 for Windows Servers Guide d'installation rapide 13897290 Installation de Backup Exec Ce document traite des sujets suivants: Configuration requise Conditions préalables à l'installation

Plus en détail

LES ACCES ODBC AVEC LE SYSTEME SAS

LES ACCES ODBC AVEC LE SYSTEME SAS LES ACCES ODBC AVEC LE SYSTEME SAS I. Présentation II. SAS/ACCESS to ODBC III. Driver ODBC SAS IV. Driver ODBC SAS Universel V. Version 8 VI. Références I. Présentation Introduction ODBC, qui signifie

Plus en détail

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim 01/03/2013 Le rôle de Serveur Web (IIS) dans Windows Server 2008 R2 vous permet de partager des informations avec des utilisateurs sur Internet, sur un intranet ou un extranet. Windows Server 2008 R2 met

Plus en détail

TP1 Windows 2000 Professionnel / Windows XP Pro. Station de travail (ou Serveur 2003-2008) autonome

TP1 Windows 2000 Professionnel / Windows XP Pro. Station de travail (ou Serveur 2003-2008) autonome TP1 Windows 2000 Professionnel / Windows XP Pro Station de travail (ou Serveur 2003-2008) autonome Gestion des comptes utilisateurs Droits d'accès NTFS et partage des dossiers 1 Création des comptes utilisateurs

Plus en détail

Administration Linux - FTP

Administration Linux - FTP Administration Linux - FTP 2014 tv - v.1.0 - produit le 25 mars 2014 Sommaire Mise en situation 2 FTP (File Transfer Protocol) 2 vsftpd 2 Introduction..............................................

Plus en détail

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service. Nom du service par défaut conseillé remarques Accès à distance au Registre Automatique Désactivé Acquisition d'image Windows (WIA) Administration IIS Automatique Désactivé Affichage des messages Automatique

Plus en détail

Installation d'un serveur sftp avec connexion par login et clé rsa.

Installation d'un serveur sftp avec connexion par login et clé rsa. Installation d'un serveur sftp avec connexion par login et clé rsa. 1- Installation d'openssh-server 2 2- Installation de Vim pour modifier plus facilement les fichiers 2 3- Installation et configuration

Plus en détail

Serveur d application WebDev

Serveur d application WebDev Serveur d application WebDev Serveur d application WebDev Version 14 Serveur application WebDev - 14-1 - 1208 Visitez régulièrement le site www.pcsoft.fr, espace téléchargement, pour vérifier si des mises

Plus en détail

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide administrateur. Version du produit : 5.60

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide administrateur. Version du produit : 5.60 Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide administrateur Version du produit : 5.60 Date du document : avril 2011 Table des matières 1 À propos de Sophos SafeGuard...4 2 Licences...6

Plus en détail

Guide de l'utilisateur de l'application mobile

Guide de l'utilisateur de l'application mobile Guide de l'utilisateur de l'application mobile Avis de droit d'auteur Copyright Acronis International GmbH, 2002-2012. Tous droits réservés. «Acronis», «Acronis Compute with Confidence», «Acronis Recovery

Plus en détail

Désactiver les services inutiles

Désactiver les services inutiles Page 1 sur 7 Désactiver les services inutiles Guide des services de Windows XP Vous trouverez dans les pages suivantes la description de tous les services de Windows XP ainsi que le type de démarrage que

Plus en détail

Accès aux ressources informatiques de l ENSEEIHT à distance

Accès aux ressources informatiques de l ENSEEIHT à distance Ecole Nationale Supérieure d Électrotechnique, d Électronique, d Informatique, d Hydraulique et des Télécommunications Accès aux ressources informatiques de l ENSEEIHT à distance Jean-François GINESTE,

Plus en détail

AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP

AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP (source : ClientsHardyHeron et ScribeNG sur le wiki Eole) Généralités Il existe trois grandes familles de Linux : RedHat (dont Mandriva), Debian

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail