SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

Dimension: px
Commencer à balayer dès la page:

Download "SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0"

Transcription

1 K E R B E R O S V S N T L M SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (2): Authentification centralisée et SSO Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael r u e v o l t a i r e K r e m l i n B i c ê t r e - S R S

2 Introduction Objectif Le dossier suivant a pour objectif de mise en place de la sécurisation de la navigation en centrale. Il s'agit de réaliser un dossier d'étude sécurité autour du proxy SQUID (www.squid-cache.org) avec un certain nombre de briques sécurisées complémentaires. 1. TECHNOLOGIES SQUID Squid est un logiciel open source qui fait partie de ses logiciels dit mandataires, dont l objectif est de fournir un service de relai des demandes utilisateurs. Les fonctionnalités de SQUID peuvent permettent d ajouter dans une infrastructure différentes briques de contrôle, sécurité et optimisation. On utilise principalement SQUID en tant que serveur proxy (mise en cache du contenu fréquemment demandés) mais on peut utiliser les fonctionnalités de filtrage ou de journalisation dans le cadre d une politique de sécurité. SQUID est multi plateforme et supporte de nombreux protocoles (HTTP, HTTPS, FTP, requêtes DNS) NTLM NTLM est un protocole d'authentification principalement utilisé dans les protocoles Microsoft, on l utilise principalement pour fournir un mécanisme d identification unique. NTLM repose sur un mécanisme de challenge, mais ne traverse pas les pare-feu (caractéristiques à prendre en compte dans les choix d infrastructures) Kerberos Kerberos est également un protocole d authentification issu du MIT, on l utilise également pour une identification unique mais son système repose sur un mécanisme d émission de ticket valable dans le temps (en heure) qui identifie le client au yeux du serveur. 2. PROJET L objectif est de fournir à une PME, des briques matériels et logiciels afin de contrôler l'accès à Internet des utilisateurs des ressources informatique de l entreprise. Le parc est déjà constitué de plusieurs briques technique tels : Un serveur DNS Un serveur DHCP Un serveur Active Directory Un firewall L objectif du projet est de comparer 2 technologies d authentification unique afin de déterminer une solution pour cette PME et d établir une maquette constitué d un mandataire pour l'accès Internet. Le serveur mandataire aura la charge de journalisation et de contrôle du contenu distribué aux utilisateurs. 1

3 3. CRITIQUES Le fait de rationaliser les accès internet dans une PME est un bon choix car : D un point de vue législatif, l entreprise est responsable juridiquement des activités de ses employés, pour se justifier en cas de problèmes elle se doit de contrôler les accès quelle met à disposition de ses employés et pouvoir associer une requête à un utilisateur. D un point de vue de l utilisation des ressources informatique, l utilisation abusive du matériel fournit par l entreprise peut engendrer des ralentissements voir des pannes du système d information de l entreprise, d où une perte financière immédiate. Contrôler les accès permettra à l entreprise d analyser les abus de ressources et d en bloquer l'utilisation. Enfin d un point de vue productivité contrôler les accès au site web peut augmenter la productivité des employés de la société. Toutefois, la mise en place d un système intelligent (capable d établir des règles dynamiquement) qui pourrait autoriser selon l heure, le jour, l utilisateur certains accès peut améliorer l acceptation de la solution. Un proxy applicatif est la brique de base liée au besoin de la PME, l utilisation de SQUID grâce à ses nombreux modules et options de configuration permet de proposer à moindre coût les services demandés. Les technologies de SSO apporterons aux utilisateurs du SI, un confort d utilisation et permettrons d améliorer la sécurité sur certaines vulnérabilité. Les choix techniques de solution d authentification centralisée unique imposent des avantages/inconvénients spécifiques au modèle du fonctionnement de la technologie. L objectif est de comparer deux méthodes (NTLM, Kerberos) basée sur une authentification par challenge et d en présenter le fonctionnement. 2

4 Mise en place du proxy SQUID Squid est un proxy permettant d utiliser plusieurs protocoles : http, https, ftp, Gopher, il permet de mettre en caches les pages les plus fréquemment utilisées et d accélérer ainsi l accès web. INSTALLATION DE SQUID On installe tous d abord le logiciel (en fonction de sa distribution) $ aptitude install squid (pour une debian). Pour activer le support de certaines fonctionnalités on peut passer par une phase de recompilation des sources (ajout d option d authentification et d activation de certains modules) CONFIGURATION DE SQUID On configure le fichier /etc/squid/squid.conf (cf Annexe Squid) 2 objectifs doivent être mis en avant lors de la configuration de notre proxy : Sécuriser au maximum notre proxy en autorisant seulement les personnes habilités à accéder à certains sites web. Optimiser le cache de notre proxy afin d avoir un accès internet plus rapide. La sécurité Autorisation au proxy par l adresse source de l utilisateur On bloque l accès au proxy à toutes les adresses inconnues. On ouvre le proxy seulement aux machines autorisés à avoir un accès web. Authentification des utilisateurs du proxy Par défaut, on bloque l accès au proxy à tout utilisateur. Ce n est pas un proxy transparent. Seules les personnes de l entreprise habilités à utiliser le proxy sont autorisées. Filtrage des protocoles disponibles Squid permet l utilisation de nombreux protocoles différents. L entreprise recherche juste à fournir à ses employés un accès au protocole http et https. On va donc autoriser seulement ces protocoles. Protection contre des attaques externes On limite la taille des requêtes pour restreindre les risques d'attaques de type "refus de service". On configure notre proxy Squid afin d empêcher une personne mal intentionné ne puisses exploiter notre proxy à la manière d'un tunnel pour requérir à des services interdits. La performance On augmente la taille du cache maximum utilisé en mémoire vive pour améliorer l efficacité de notre cache et ainsi de notre accès web. Test de Squid Après configuration de notre proxy Squid, nous pouvons procéder à un test d execution : Squid z 3

5 SCRIPT DE CONNEXION A L OUVERTURE DE SESSION Pour améliorer l expérience utilisateur ainsi que l administration des postes, l administrateur de l active directory peut mettre en place un script d ouverture de session afin de configurer le poste pour l utilisation des différents services de l entreprise. Sur le contrôleur de domaine du réseau d'entreprise se trouve un répertoire système C:\WINDOWS\SYSVOL\sysvol\Nom_du_domaine\SCRIPTS. L'accès aux données de ce dossier se fait grâce aux systèmes de partage de fichier réseaux (droit de lecture) et permet aux utilisateurs d accéder aux scripts de configuration et éventuellement de montage réseaux. Dans l'outil d'administration "Utilisateurs et ordinateurs du domaine" vous pouvez éditer les profils utilisateur. Dans l'onglet "Profil", un champ permet de renseigner un script d'ouverture de session "Logon script". Le script de connexion est généralement un fichier bat (langage de script Microsoft) qui fournit une interface type script shell. Afin de faciliter les opérations de configuration l administrateur peut utiliser des langages de scripts avancer tels VBS (Visual Basic Script) qui fournit de nombreuses API de contrôle. L administrateur a également la possibilité d utiliser le langage de script Kix développé par un ingénieur Microsoft diffuser dans le ressource kit NT4 et adapter aux taches d administration de service entreprise. Ex de script kix à déployer dans l infrastructure : CLS SELECT CASE INGROUP("staff") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","1","REG_DWORD") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyServer"," :3128","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyOverride","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main","Start Page","about:blank","REG_SZ") CASE DEFAULT WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","0","REG_DWORD") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyServer","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyOverride","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main","Start Page","about:blank","REG_SZ") ENDSELECT 4

6 Mise en place d ACLs Solution de filtrage Pour mettre en place notre solution de filtrage nous pouvons utilisé plusieurs solutions : - Des règles de filtrage au niveau du fichier de configuration - Le module squid_guard (qui fonctionne sur un système de blacklist) Tous d abord dans notre configuration nous allons partir sur une stratégie du tous interdit c est à dire qu on ajoute une règle : http_access deny all Ensuite nous pouvons définir des acl afin de d autoriser des ports, des sites (unique, liste, expression régulière) sur le modèle suivant : acl name type (string "filename") [string2] [string3] ["filename2"] Les acls peuvent être du type suivant : * Source/Destination adresse IP * Source/Destination Domaine * Expression Régulière liée à un domaine * Mots contenu dans une url * Mots contenu dans un domaine * Date/Jour courant * Port de destination * Protocole (FTP, HTTP, SSL) * Méthode (HTTP GET ou HTTP POST) * Type de Browser * Nom d utilisateur (Protocole Ident) * Numéro d AS (Autonomous System) * Login/Mot de passe * SNMP Enfin on autorise l acl avec http_access allow name_acl Dans notre contexte on pourra donc utiliser les règles suivantes : acl pme_rules url_regex /etc/squid/pme_squid_white_list http_access allow pme_rules acl pme_gouv srcdomain.gouv.fr acl allow pme_gouv 5

7 Authentification utilisateurs Scénario 1 : Full Microsoft NTLM Dans ce premier cas nous allons mettre en oeuvre une authentification Full Microsoft NTLM, ce scénario respecte le schéma suivant : Pour mettre en place cette solution nous devrons passer par plusieurs phases d installation et configuration. Dans la suite de la manipulation nous supposerons que le serveur Active Directory est opérationnel et configuré, ainsi que les postes s identifient correctement sur le domaine. Pour assurer la connexion au domaine les logiciels suivant doivent être installés sur le serveur proxy : Winbind (qui permet de récupérer les utilisateurs et les groupes du contrôleur de domaine) Samba (qui permet d intégrer le domaine) L outil ntml_auth qui se charge d interroger le contrôleur de domaine afin d établir une authentification (selon la distribution ce logiciel peut être installé avec squid) 6

8 Configuration samba Voici les points principales du smb.conf : [global]... security = domain #Type de sécurité... winbind separator = / encrypt passwords = yes winbind cache time = 15 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes idmap uid = #liaison utilisateur AD <-> Utilisateur unix idmap gid = Pour assurer le fonctionnement de la connexion au domaine il faut s assurer que la résolution du nom de domaine et du contrôleur est assurée (par le serveur DNS ou par le fichier resolv.conf et hosts) Ensuite vous pouvez tester la connexion au domaines par la commande suivante : #net join -U Administrateur Une fois connecté vous pouvez tester les commandes suivantes : wbinfo -g (affiche les groupes du domaine), wbinfo -u (affiche les utilisateurs du domaine), wbinfo -t (teste la connexion) Si les étapes précédentes ont réussis, on passe à l étape suivante configuration de squid, on teste tous d abord le module ntlm_auth qui sera l interface entre squid et l active directory (par le protocole NTLM). On exécute ntlm_auth, on tape le login et password d un utilisateur. Si la connexion est correctement effectuée ntlm_auth nous retourne OK pour une connexion correcte et ERR pour un échec. Configuration Squid Voici les points principales du squid.conf : TAG: auth_param auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid AD auth_param basic credentialsttl 2 hours l option --require-membership-of=domainead\\groupead peut rajouter une sécurité pour autoriser uniquement un groupe de l active directory 7

9 TAG: acl acl ntlm proxy_auth REQUIRED TAG: http_access http_access allow ntlm TAG: append_domain append_domain commun.ma-pme.fr On peut rajouter forwarded_for off pour masquer l ip du proxy, cache_effective_group proxy pour les droits des journaux d'accès. On teste la configuration en redémarrant squid : /etc/init.d/squid restart Le serveur une fois démarré est opérationnel. Attention, les droits des différents fichiers peuvent empêcher le bon fonctionnement du proxy (voir les journaux pour plus d information) en particulier winbind_privileged. Test sur le poste client Le client Windows XP lors d une requête HTTP établit une connexion avec le serveur mandataire, Internet Explorer 7 permet d assurer une authentification intégrée c est à dire une séquence d authentification basée sur les éléments de session. 8

10 Dans notre cas, Internet Explorer va envoyer automatiquement un challenge Kerberos ou NTLM (celui qui nous intéressent) avec les données récupérées lors de la séquence d authentification sur le contrôleur de domaine, en cas d échec une authentification basic sera déclenchée. Par ce mécanisme l authentification est transparente pour l utilisateur. Grâce à la configuration du Squid les accès du client sont enregistrés (avec le login sur l AD) dans le journal de log, ainsi que contrôlés grâce à la liste de filtrage. Analyse du journal squid & échanges réseaux Une fois la solution mis en place on peut analyser le fichier access.log : TCP_DENIED/ GET - NONE/- text/html TCP_MISS/ GET jeremy.denoun DIRECT/ text/html TCP_MISS/ GET cyril.de-daniloff DIRECT/ text/html TCP_DENIED/ GET michael.bettan NONE/ text/html On remarque donc que toutes les transactions sont journalisées et répondent donc au problématique de l entreprise. ATTENTION : La mise en place cette solution en entreprise, impose que le personnel soit informé car il permet de tracer un utilisateur, savoir ce qu il a visité. (Voir le site de la CNIL) Ces fichiers peuvent donc faire l objet d une déclaration préalable CNIL. Certains outils permettent d analyser ces logs et de construire des statistiques d accès pour voir quels sont les ressources les plus souvent sollicitées, le temps passé sur Internet par utilisateurs, Analyse du trafic réseau Pour vérifier les communications entre les différentes machines ont analyse le trafic avec l utilitaire tcpdump. 07:18: IP > commun.ma-pme.fr.microsoft-ds: P : (446) ack win 3812 <nop,nop,timestamp > 07:18: IP commun.ma-pme.fr.microsoft-ds > : P 1:493(492) ack 446 win <nop,nop,timestamp > 07:18: IP > commun.ma-pme.fr.microsoft-ds:. ack 493 win 3946 <nop,nop,timestamp > En analysant la trame on remarque un chiffrage du paquet et l établissement du challenge d authentification. On signalera que le nombre de trame échangé est assez faible et permettra une montée en charge correcte. 9

11 Scénario 2 : Kerberos INTRODUCTION Le protocole Kerberos permet la mise en place de serveurs d authentification. Il permet à des utilisateurs d accéder à des services réseau à partir de la même ouverture de session. Le service Kerberos (appellé KDC) se trouve dans chaque contrôleur de domaine stockant toutes les informations relatives aux comptes. Pour établir ce scénario on a utilisé MIT Kerberos afin de mettre en place un système full Kerberos. srv2003class.commun.ma-pme.fr <=> squid.cummun.ma-pme.fr <=> client1.commun.ma-pme.fr <=> FONCTIONNEMENT DU SCÉNARIO : Lorsque client1.ma-pme.fr se connecte à son poste de travail (par l active directory). Son identifiant est envoyé au KDC (service kerberos) du serveur srv2003class.commun.ma-pme.fr comme une demande de TGT (Ticket Granting Ticket). Le KDC (service kerberos), srv2003class.commun.ma-pme.fr, vérifie que l'identifiant existe et crée un ticket TGT en le cryptant avec la clé du client1 puis l envoie à client1.commun.ma-pme.fr. client1.commun.ma-pme.fr décrypte le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). Lorsque le client1.commun.ma-pme.fr veut accéder au serveur proxy SQUID de squid.commun.ma-pme.fr le ticket TGT demande un ticket au TGS (Ticket Granting Service, service d'émission de tickets) fonctionnant sur le KDC du serveur srv2003class.commun.ma-pme.fr LES ÉLÉMENTS DU SCÉNARIO : COMMUN.MA-PME.FR est le domaine Windows et le Kerberos-realm que nous allons utiliser pour l authentification. srv2003class.commun.ma-pme.fr est le contrôleur de domaine (DC) et l active directory du domaine COMMUN.MA-PME.FR. Il comporte un KDC (Key Distribution Center) du realm COMMUN.MA-PME.FR intégré au contrôleur de domaine. squid.commun.ma-pme.fr est notre serveur proxy (SQUID) sous debian etch qui comporte squid, squid_kerb_auth et un client kerberos. client1.commun.ma-pme.fr est notre client Widows XP SP2 IE7 membre du domaine COMMUN.MA-PME.FR. Nous voulons qu Internet Explorer s authentifie via le ticket kerberos sans aucune authentification manuelle (login/password). 10

12 MISE EN PLACE DU SERVEUR 2003 (SRV2003CLASS.COMMUN.MA-PME.FR) Nous avons effectués ces tâches dans les précédentes parties : Installation d un contrôleur de domaine (DC) appelé COMMUN.MA-PME.FR. Celui comportait de base un service kerberos (KDC) Installation d un serveur DNS Installation d un serveur DHCP CONFIGURATION DU SERVEUR DNS On a configuré notre serveur dns du serveur Windows 2003 pour que l host squid.commun.ma-pme.fr pointe sur , ainsi que son reverse. squid.commun.ma-pme.fr <-> Cette étape est primordiale pour que l authentification par keberos fonctionne. CRÉATION D UN UTILISATEUR Afin que le client Windows XP SP2 (client1.commun.ma-pme.fr) puisse avoir accès au service proxy grâce au protocole Kerberos : On crée un compte mik dans le domaine Windows COMMUN.MA-PME.FR GÉNÉRATION DE LA KEYTAB ET MAPPING PRINCIPAL/UTILISATEUR On installe Support tool du CD Windows 2003 afin d obtenir l outil Ktpass.exe 1. On utilise l outil Ktpass.exe pour mapper le compte mik au service principal et générer la keytab squid.keytab.mik 11

13 2. On vérifie à l aide de l outil setspn.exe le bon mapping principal/utilisateur On voit bien que le principal HTTP/squid.commun.ma-pme.fr est mappé à l utilisateur mik MISE EN PLACE DU PROXY SQUID (SQUID.COMMUN.MA-PME.FR) Le but de cette partie est de configurer le serveur proxy squid (squid.commun.ma-pme.fr) pour fonctionner avec le protocole kerberos. INSTALLATION DU SERVEUR SQUID L installation du serveur squid est plus complexe que dans les parties précédentes. En effet, afin d installer le module d authentification kerberos pour squid (squid_kerb_auth), cela nécessite la compilation et l installation manuelle des sources de SQUID. Par défaut, le package debian ne comporte pas squid_kerb_auth On recompile squid avec des paramètres spécifiques. $tar -zxvf squid-2.6.stable18.tar.gz && cd squid-2.6.stable18 $./configure enable-auth= basic negotiate -enable-negotiate-authhelpers="squid_kerb_auth" $make && make install $useradd -s /bin/false -r squid $usermod -d /var/spool/squid squid $mkdir -p /var/log/squid $mkdir -p /var/spool/squid $mkdir -p /etc/squid $chown squid.squid /var/spool/squid -R $chown squid.squid /var/log/squid -R $chown squid.squid /etc/squid -R CONFIGURATION DU SERVEUR SQUID On a reprit la configuration de base de SQUID, définit dans les précédentes parties. On a rajouté ces lignes : # Kerberos auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth -d -s HTTP/squid.commun.ma-pme.fr auth_param negotiate children 10 auth_param negotiate keep_alive on acl Authenticated proxy_auth REQUIRED http_access allow Authenticated # Interdire tout le monde http_access deny all Dans ces lignes, on crée une ACL (Authenticated) qui oblige l authentification par kerberos utilisant la librairie executable squid_kerb_auth. L option d nous permet de passer en mode full debug et de voir les transactions au niveau de cache.log L option s permet de préciser le principal 12

14 INSTALLATION DE KERBEROS CLIENT $ aptitude install krb5-config krb5-pkinit krb5-user CONFIGURATION DE KERBEROS CLIENT On copie le keytab généré sur le serveur 2003 sur notre serveur squid On configure Kerberos client par le fichier de config /etc/krb5.conf [libdefaults] default_realm = COMMUN.MA-PME.FR [realms] COMMUN.MA-PME.FR = { kdc = srv2003class } On exporte les deux variables d environnements suivantes : On teste que le protocole kerberos fonctionne : 13

15 MISE EN PLACE DU CLIENT (CLIENT1.COMMUN.MA-PME.FR) CONFIGURATION DE LA CARTE RÉSEAU Adresse IP: Serveur DNS: (notre serveur 2003) TEST D UN RESOLVE DNS DU SERVEUR SQUID On teste un resolve dns du serveur proxy squid afin de vérifier de la bonne configuration du dns. Cette étape est importante pour la bonne fonctionnalité du protocole Kerberos, étant donné que le service principal est régler grâce l host. 14

16 CONFIGURATION DE INTERNET EXPLORER On règle le proxy : Adresse: squid.commun.ma-pme.fr Port: 3128 TEST DU PROTOCOLE KERBEROS Le protocole Kerberos est mis en place et fonctionne parfaitement : on peut désormais payer nos impôts grâce à notre ticket Kerberos : 15

17 Grâce à l outil KERBTRAY.EXE, on peut voir le ticket sous le client : Sur le serveur SQUID, dans le fichier de log cache.log on peut retrouver les différentes transactions effectué par la squid_kerb_auth 16

18 ANALYSE DU TRAFFIC RÉSEAU TRAFFIC AVEC COMME SOURCE LE CLIENT ( ) tcpdump -XX -s0 -i eth0 src net On reconnaît l authentification negociate : 17

19 TRAFFIC AVEC COMME SOURCE LE SERVEUR SQUID tcpdump -XX -s0 -i eth0 src net Vers le serveur 2003 ( ) 18

20 Vers le client ( ) 19

21 TRAFFIC DU SERVEUR WINDOWS 2003 ( ) Vers le serveur squid On voit transiter le site web demandé du client entre le serveur 2003 et le proxy squid. Tous ses échanges nous montrent que les échanges entre les différents postes : client, serveur AD, serveur Proxy s effectue correctement et correspond à la thérorie CONCLUSION On a réussit à mettre en place une solution SSO, Kerberos, utilisant un service KDC intégré au contrôleur de domaine de notre serveur Windows Cette solution fut assez compliqué à mettre en place mais reste une solution envisageable pour notre pme. L inconvénient majeure est la difficulté de mise en place pour chacune des applications voulant utilisé cette solution SSO. L étape suivante pour améliorer la solution serait de remplacer le service KDC (du contrôleur de domaine) par un serveur extérieure (type MIT ou Heimdal). Cette solution permettrai en cas d indisponibilité du contrôleur de domaine de maintenir l authentification. Cependant cette solution demanderait d installer des outils supplémentaires sur les postes clients. 20

22 Conclusion L utilisation d un système SSO (single Log-On) pour la PME est une solution intéressante. Celui-ci permet d éviter de s authentifier une seule fois qu elles que soient les applications utiliser. Ainsi, ce système simplifie la vie des utilisateurs, employés de la pme, en ne multipliant pas les accès aux applications, car une fois authentifié, on peut lancer toutes les applications sans remettre de mot de passes. Dans ce dossier, nous avons mis en place 2 solutions SSO : KERBEROS et NTLM. KERBEROS nous a permit, grâce à travers un système de ticket, de mettre en place un service SSO. On a pu relevé plusieurs exigences : Sécurité du réseau Selon les versions du serveur Active Directory le chiffrage par défaut est différent, dans notre maquette nous avons réglé notre protocole KERBEROS avec un cryptage RC4, mais on aurait pu régler en cryptage DES. Fiabilité Transparence pour l utilisateur: à l ouverture de session, l utilisateur est authentifier pour toutes les applications utilisant le système SSO KERBEROS Evolutif en terme d architecture Difficulté de mise en place: le système est assez compliqué à mettre en place et nécessite que chaque application gère le protocole kerberos Pour l architecture de la PME, la solution SSO,KERBEROS, peut être une solution convenable. Mais nous avons relevés 2 inconvénients majeures lors de nos tests. La mise en place de ce protocole pour chacune des applications client peut se relever une tâche assez difficile pour l administrateur. D autre part, ce système nous a paru assez lent avec une latence assez marqué du navigateur IE7, ce point reste à vérifier à l aide d indicateurs. NTLM nous a permit de mettre en oeuvre une authentification par challenge, le système d exploitation gère ce type d authentification nativement ce qui en fait un système très simple à mettre en oeuvre du coté client. Sécurité du réseau NTLM est nativement chiffrée mais qui aujourd hui n est plus considéré comme un chiffrement sur. Cependant pour une pme ce niveau de sécurité peut être considéré comme suffisant pour une PME. (Un complément à ce dossier sur la gestion de risque/cout peut être nécessaire pour approfondir le sujet) Fiabilité & Transparence Comme Kerberos, NTLM assure une authentification unique à l adhésion au domaine Evolutif & Montée en charge Le peu de trame réseaux pour l identification peut permettre une montée en charge importante et le support de nouveaux utilisateur. Pour l architecture de la pme, la solution NTLM est une bonne solution car facile à mettre en oeuvre et nativement supporté par windows (authentification intégrée) ce qui en fait un choix très intéressant. Selon nous, aujourd hui la meilleur solution semble être basée sur NTLM pour sa simplicité et sa montée en charge, à moyen terme long terme, une solution plus construite et plus ouverte comme Kerberos sera sans doute plus indiqué. 21

23 Bibliographie Source Internet Site officiel Squid : Wiki Squid : Wiki NTLM : Kerberos Technique : ary/en-us/dnsecure/html/http-sso-1.asp Wiki Kerberos : Installation de Kerberos : Activation NTLM v2 : NTLM & Firefox : _identifiant_nt mod_ntlm : Squid : Kix : 22

24 Annexe smb.conf pour NTLM [global] workgroup = PME netbios name = debian server string = Proxy (Samba Server) load printers = no log file = /var/log/samba/log.%m max log size = 500 password server = srv2003class security = domain winbind separator = / encrypt passwords = yes winbind cache time = 15 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes idmap uid = idmap gid = local master = no os level = 233 domain master = no preferred master = no 23

25 squid.conf ############################ # Squid Configuration File # ############################ # Port d'ecoute de SQUID http_port 3128 # Port sur lequel le cache peut être interroge par un cache fils ou voisin, cas d'une hierarchie icp_port 3128 # Ne pas utiliser le cache pour.cgi et? hierarchy_stoplist cgi-bin? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # Taille maximum du cacher en memoire vive cache_mem 20 MB # Interval maximum des objets stockes dans le cache minimum_object_size 0 MB maximum_object_size 15 MB #################################################################### #### ### Dossier du Cache ### On peut definir plusieurs repertoires #### #################################################################### # Repertoire dans lequel le swap de cache s'effectue (1go en Cache) cache_dir ufs /var/spool/squid # Format des logs # on = format standard CLF # off = format de logs de squid emulate_httpd_log off # Duree de la session authentifiee (ici: 2 heures) refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern. 0 20% 4320 #################################################################### ####### ## DNS #################################################################### # Cela d'utiliser dns1 et dsn2 au lieu d'aller chercher ces dns dans le fichier /etc/resolv.conf dns_nameservers # Evitez les longs timeout dns_timeout 2 minutes #################################################################### 24

26 #################################################################### #### ### ACL (Regles d'acces au cache dit access-list) ### On peut definir plusieurs repertoires #### #################################################################### # Liste des acl par defaut -> A conserver acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 # Ces regles évitent qu'un utilisateur mal intentionné n'exploite votre proxy à la maniere d'un tunnel pour requérir des services interdits acl SSL_ports port # https, snews acl Safe_ports port acl CONNECT method CONNECT http_access deny!safe_ports http_access deny CONNECT!SSL_ports #Autoriser tout le monde à utiliser le cache http_access allow all # Autorise les reponses pour tout le monde (par defaut) http_reply_access allow all # Autorise le protocole icp pour tout le monde (par defaut) icp_access allow all coredump_dir /var/spool/squid # Limitez la taille des requêtes pour restreindre les risques d'attaques de type "refus de service". request_header_max_size 10 KB request_body_max_size 64 KB ##### Administration ######## # Nom que renvoi squid lorsqu'il est interroge de l'exterieur visible_hostname proxy.commun.ma-pme.fr 25

Sécurité du Système d Information. Authentification centralisée et SSO

Sécurité du Système d Information. Authentification centralisée et SSO Sécurité du Système d Information Authentification centralisée et SSO Nombres de pages : 14 Version : 1.0 Auteurs : HAMROUNI Makram POISSENOT Thomas ROUX Nicolas Destinataires : BOMBAL Sébastien Remarques

Plus en détail

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA www.seroo.fr TABLE DES MATIERES 1. INSTALLATION DE LINUX ET CONNEXION A INTERNET...4 2. MISE EN PLACE DU SERVEUR PROXY (SQUID)...4

Plus en détail

Proxy SQUID sous Debian

Proxy SQUID sous Debian Proxy SQUID sous Debian Définition : Un serveur proxy, appelé en français serveur mandataire est une architecture client-serveur qui a pour fonction de relayer des requêtes entre une fonction cliente et

Plus en détail

Mise en place d un proxy Squid avec authentification Active Directory

Mise en place d un proxy Squid avec authentification Active Directory Mise en place d un proxy Squid avec authentification Active Directory Dans ce tutoriel nous allons voire la mise en place d un proxy Squid avec une authentification transparente pour les utilisateurs d

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

Installation et Configuration de Squid et SquidGuard sous Debian 7

Installation et Configuration de Squid et SquidGuard sous Debian 7 Installation et Configuration de Squid et SquidGuard sous Debian 7 Table des matières Installation et Configuration de Squid et SquidGuard...1 Squid...2 squid.conf...2 SquidGuard...4 squidguard.conf...4

Plus en détail

SAMBA UBUNTU SERVER 12.04

SAMBA UBUNTU SERVER 12.04 SAMBA UBUNTU SERVER 12.04 Introduction Le serveur Samba est l'outil privilégié pour installer un réseau LAN (Local Area Network) fonctionnant avec le protocole SMB (Server Message Block). Il est donc possible

Plus en détail

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT Virtualisation d un proxy Squid gérant l authentification depuis Active Directory EPI - Stagiaire2007 Vivien DIDELOT Résumé Cette procédure présente la mise en place d un proxy Squid permettant l authentification

Plus en détail

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2 EPITA Option SRS : Système Réseau Sécurité Matière : Professeur : Sébastien BOMBAL Version : 1.0 Table des matières 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2 Version

Plus en détail

Serveur Mandataire SQUID

Serveur Mandataire SQUID Serveur Mandataire SQUID Compétences Professionnelles Mise en place d un serveur mandataire (proxy SQUID) Mise en place de ressources complémentaires (SQUIDGUARD & SQUIDANALYZER) Analyser des logs afin

Plus en détail

Serveur proxy Squid3 et SquidGuard

Serveur proxy Squid3 et SquidGuard Serveur proxy Squid3 et SquidGuard 1. Prérequis & installation Une adresse fixe le paquet wget, squid3 et squidguard apt-get install wget squid3 squidguard Il faut ensuite créer les répertoires suivants

Plus en détail

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés Zemma Mery BTS SIO SISR Session 2015 Projets Personnels Encadrés Fiche de présentation d une situation professionnelle BTS Services informatiques aux organisations Session 2015 E4 Conception et maintenance

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Imprimantes et partage réseau sous Samba avec authentification Active Directory Imprimantes et partage réseau sous Samba avec authentification Active Directory Sommaire 1- Pré requis Page 2 2- Configuration réseau Page 3 3- Installation de samba Page 4 à 5 4- Installation de kerberos

Plus en détail

Comment surfer tranquille au bureau

Comment surfer tranquille au bureau Comment surfer tranquille au bureau Version 1.3 1 Contexte...1 2 Attention...2 3 Description de la méthode utilisée: SSH...2 3.1 Explication réseau...2 3.2 Explication logicielle d'un tunnel SSH...3 3.3

Plus en détail

SQUID Configuration et administration d un proxy

SQUID Configuration et administration d un proxy SQUID Configuration et administration d un proxy L'objectif de ce TP est d'étudier la configuration d'un serveur mandataire (appelé "proxy" en anglais) ainsi que le filtrage des accès à travers l'outil

Plus en détail

Squid. Olivier Aubert 1/19

Squid. Olivier Aubert 1/19 Squid Olivier Aubert 1/19 Liens http://www.squid-cache.org/ http://squid.visolve.com/ 2/19 Principe Squid : cache web logiciel Fonctionne sur un OS classique (Linux, BSD, Solaris, Windows,...) Logiciel

Plus en détail

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline. Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Configurer Squid comme serveur proxy

Configurer Squid comme serveur proxy LinuxFocus article number 235 http://linuxfocus.org Configurer Squid comme serveur proxy Résumé: par D.S. Oberoi L auteur: D.S. Oberoi vit à Jammu, aux Indes et rencontre des problèmes

Plus en détail

RAPPORT DE STAGE. STAGIAIRE : Franck FALCHI

RAPPORT DE STAGE. STAGIAIRE : Franck FALCHI RAPPORT DE STAGE STAGIAIRE : Franck FALCHI Professeur encadrant : Georges ESQUIROL Tuteur de stage : Hervé FAURE Lieu : Entente pour la forêt Méditerranéenne BTS SIO 2012-2014 - Lycée Théodore Aubanel

Plus en détail

PROXY SQUID-SQARD. procédure

PROXY SQUID-SQARD. procédure PROXY SQUID-SQARD procédure Tableau d évolution Version Date Description Rédacteur Approbateur 0.0 08/12/2014 Ecriture du document Thierry MARTINS 1.0 05/02/2015 1 ère version Thierry MARTINS Guide de

Plus en détail

Installation d'un service mandataire (Proxy SQUID) 1

Installation d'un service mandataire (Proxy SQUID) 1 Installation d'un service mandataire (Proxy SQUID) 1 Serveur mandataire et serveur de cache Le serveur mandataire (proxy) est une machine souvent physiquement située entre un réseau et son accès à Internet.

Plus en détail

Mise en place d un serveur Proxy sous Ubuntu / Debian

Mise en place d un serveur Proxy sous Ubuntu / Debian BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

I. Présentation du serveur Samba

I. Présentation du serveur Samba Introduction D un point de vue général, un contrôleur de domaine est grand chef sur un réseau. C'est le serveur auquel tous les clients se réfèrent pour les authentifications d'utilisateurs, de machines,...

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes But de cette présentation Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Vous faire découvrir le modèle client-serveur et la création d un contrôleur de domaine sous Linux Ce sont des aspects

Plus en détail

CONTROLEUR DE DOMAINE SAMBA

CONTROLEUR DE DOMAINE SAMBA CONTROLEUR DE DOMAINE SAMBA Nous allons voir à travers ce tutoriel, la mise en place d un contrôleur de domaine sous linux, SAMBA. Ce tutoriel a été testé sur une distribution Debian version 7.2 1. Introduction

Plus en détail

Contrôleur de domaine Samba

Contrôleur de domaine Samba Par Contrôleur de domaine Samba Nous allons voir ici, comment mettre en place un contrôleur de domaine principal sous linux, avec samba. 1. Introduction Le but de ce tutoriel est de : créer un contrôleur

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : M326070463 ACTIVITE

Plus en détail

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA Nom : Prénom : Classe et groupe : 1P 3 SEN TRI Télécom & Réseaux Linux Ubuntu Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA 04/11/2010 TP 1. Objectif : Configurer un serveur SAMBA sous Linux

Plus en détail

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY De NT à Windows Server Issus de la branche NT de Windows (après Windows 98) 2 familles de produits (Workstation,

Plus en détail

IPS-Firewalls NETASQ SPNEGO

IPS-Firewalls NETASQ SPNEGO IPS-Firewalls NETASQ SPNEGO Introduction Un utilisateur doit gérer de nombreux mots de passe. Un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et n mots de passe

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Qui suis-je? Philip Richardson Sysadmin à Bruxelles Formation Formateur occasionnel Membre du BxLUG (http://www.bxlug.be) A été RHCE

Plus en détail

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail

Plus en détail

Projet Semestre2-1SISR

Projet Semestre2-1SISR Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

AUTHENTIFICATION MANAGEMENT

AUTHENTIFICATION MANAGEMENT AUTHENTIFICATION MANAGEMENT MANEL KAWEM (RT4) TAYEB BEN ACHOUR (RT3) SAMAR JAMEL (RT4) AMINE CHERIF (RT3) DORRA BOUGHZALA (RT3) YASSINE DAMMAK (RT4) ABIR AKERMI (RT3) Table des matières I. Présentation

Plus en détail

PARAMETRER SAMBA 2.2

PARAMETRER SAMBA 2.2 PARAMETRER SAMBA 2.2 Configurations requises : Mandrake Linux 9.2 avec Samba 2.2.8 installé (poste avec une IP statique), nommé MDK92, connexion en tant que root. Postes clients Windows 2000 Pro / XP (avec

Plus en détail

Configurer SAMBA Server sur DREAM

Configurer SAMBA Server sur DREAM www.sandbox-team.be Par doume59249 Configurer SAMBA Server sur DREAM 1/5 Mise en place d un serveur SAMBA sur Dreambox Objectif : En installant un serveur SAMBA sur votre boîtier Dreambox, cela vous permet

Plus en détail

LINUX REMPLAÇANT WINDOWS NT

LINUX REMPLAÇANT WINDOWS NT 189 Cette installation fonctionne chez moi à Veyre. Vous pouvez consulter et télécharger les fichiers à : http://perso.wanadoo.fr/gerard.blanchet/ veyre/ Mais c'est tout à fait adapté à un établissement

Plus en détail

Mise en place d'un contrôleur de domaine Samba3 avec LDAP

Mise en place d'un contrôleur de domaine Samba3 avec LDAP Mise en place d'un contrôleur de domaine Samba3 avec LDAP Damien G. damstux@free.fr Document sous licence GPL Conseils: Utilisez tout le temps le même mot de passe Je joins certains fichiers de configuration:

Plus en détail

UE5A Administration Réseaux LP SIRI

UE5A Administration Réseaux LP SIRI UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés

Plus en détail

Proxy : PfSense. Installation Configuration de PfSense. Version : 2.0.3. 26/05/2014 M2L AUDOUY Gauthier

Proxy : PfSense. Installation Configuration de PfSense. Version : 2.0.3. 26/05/2014 M2L AUDOUY Gauthier Proxy : PfSense Installation Configuration de PfSense Version : 2.0.3 26/05/2014 M2L AUDOUY Gauthier SOMMAIRE 1. Installation 2. Configuration des cartes réseau 3. Interface WEB 1 6 7 I. Connexion 7 II.

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Société : CAPGIMINI. Auteur : Oussama DAICHE

Société : CAPGIMINI. Auteur : Oussama DAICHE 2014 Société : CAPGIMINI Auteur : Oussama DAICHE Lycée Polyvalent Ella Fitzgerald 4 RD 502 BP 40 69560 SAINT ROMAIN EN GAL Tél. : 04 74 53 74 53 Fax : 04 74 53 74 54@ : EllaFitzgeraldSIO@orange.fr [INSTALL_CONFIG_OMV_OWN

Plus en détail

Authentification unifiée Unix/Windows

Authentification unifiée Unix/Windows Rencontres Mathrice - Octobre 2008 Plan Contexte du laboratoire 1 Contexte du laboratoire 2 3 4 Le laboratoire Contexte du laboratoire Laboratoire de Mathématiques et Applications Unité mixte de recherche

Plus en détail

Configuration de SquidGuard sous Fedora Core 4-1 / 6 -

Configuration de SquidGuard sous Fedora Core 4-1 / 6 - Configuration de SquidGuard sous Fedora Core 4-1 / 6 - I. Installation des packages A. Installation de Squid Le package Squid peut être installé à partir de la console Gestion des paquetages : system-config-packages

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

SAMBA. Claude Duvallet. Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX. Claude.Duvallet@gmail.

SAMBA. Claude Duvallet. Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX. Claude.Duvallet@gmail. Claude Duvallet Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX Claude.Duvallet@gmail.com Claude Duvallet 1/28 Plan de la présentation 1 Introduction

Plus en détail

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition) Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

WebFTP Un client Web sécurisé pour FTP

WebFTP Un client Web sécurisé pour FTP WebFTP Un client Web sécurisé pour FTP Jirung Albert SHIH, Shih@math.Jussieu.fr Université Paris 7 JRES 2001 Introduction Nous allons dans ce document présenter une solution mise en œuvre sur le réseau

Plus en détail

Kerberos en environnement ISP UNIX/Win2K/Cisco

Kerberos en environnement ISP UNIX/Win2K/Cisco Kerberos en environnement ISP UNIX/Win2K/Cisco > Nicolas FISCHBACH nico@securite.org - http://www.securite.org/nico/ > Sébastien LACOSTE-SERIS kaneda@securite.org - http://www.securite.org/kaneda/ version

Plus en détail

Installation du proxy squid + squidguard grâce à pfsense

Installation du proxy squid + squidguard grâce à pfsense Installation du proxy squid + squidguard grâce à pfsense Après avoir récupéré votre matériel l installation peut commencer. A noter qu il est impossible d'installer Pfsense sur un disque contenant une

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

TP : installation de services

TP : installation de services TP : installation de services Ce TP a été rédigé rapidement. Il ne donne certainement pas toutes les explications nécessaires à la compréhension des manipulations. Assurez vous de bien comprendre ce que

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

Kerberos : Linux, Windows et le SSO

Kerberos : Linux, Windows et le SSO Emmanuel Blindauer IUT Robert Schuman, Strasbourg Emmanuel.Blindauer urs.u-strasbg.fr Kerberos : Linux, Windows et le SSO Résumé Avec la multiplication des postes informatiques, l authentification des

Plus en détail

Installation d'un Contrôleur Principal de Domaine SAMBA 4

Installation d'un Contrôleur Principal de Domaine SAMBA 4 Installation d'un Contrôleur Principal de Domaine SAMBA 4 EIL Côte d'opale 2013 Pré-requis : uname -a Linux mars 3.2.0-4-686-pae #1 SMP Debian 3.2.39-2 i686 GNU/Linux apt-get install linux-headers-3.2.0-4-686-pae

Plus en détail

Faites danser votre serveur avec Samba. Association LOLITA

Faites danser votre serveur avec Samba. Association LOLITA Faites danser votre serveur avec Samba. Partagez des données et des imprimantes dans un réseau hétérogène. Association LOLITA Logiciels Libres à Tahiti & ses îles. Présentation de SAMBA. Présentation entièrement

Plus en détail

Comment déployer l'active Directory sur Windows Server 2008 R2

Comment déployer l'active Directory sur Windows Server 2008 R2 ENSAT 2014-2015 Le 29 septembre 2014 Administration Système : Active Directory Génie Informatique 2 ème année cycle ingénieur Comment déployer l'active Directory sur Windows Server 2008 R2 Département

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Mandataires, caches et filtres

Mandataires, caches et filtres Mandataires, caches et filtres Pascal AUBRY IFSIC - Université de Rennes 1 Pascal.Aubry@univ-rennes1.fr Plan : mandataires caches filtrage serveur de proxy exemple de mise en œuvre Mandataire (proxy) Mandataire

Plus en détail

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS Journée Josy/PLUME Outils logiciels libres utiles à tout ASR SAMBA Maurice Libes Centre d'océanologie de Marseille UMS 2196 CNRS Plan - Présentation de Samba Contexte d'utilisation Laboratoire Objectifs,

Plus en détail

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0 M I N I - P K I SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (3): Mini PKI Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael 1 4-1 6 r u e v o l t a i r e 9 4 2 3 0 K r e m l i n B i c ê t r e

Plus en détail

Administration Linux - Proxy

Administration Linux - Proxy Administration Linux - Proxy 2014 tv - v.1.0 - produit le 12 mai 2014 Sommaire Mise en situation 2 Serveur mandataire (proxy) 2 Proxy inverse (reverse proxy)....................................

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

Retour d expérience sur l utilisation de Kerberos à l INRIA

Retour d expérience sur l utilisation de Kerberos à l INRIA INRIA - DSI Journées Réseau 2011 Plan 1 2 3 4 Plan 1 2 3 4 Intégration LDAP Composants Heimdal OpenLDAP smbk5pwd Gestion mot de passe synchronisation au changement de mot de passe opération spécifique

Plus en détail

TAGREROUT Seyf Allah TMRIM

TAGREROUT Seyf Allah TMRIM TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation

Plus en détail

Simplifier l authentification avec Kerberos

Simplifier l authentification avec Kerberos Du mono-poste à la PME Normation Mardi 10 Juillet 2012 Qui suis-je? Administrateur réseaux et systèmes chez Tu fais quoi dans la vie? Gère l infrastructure informatique chez Normation Travaille sur l outil

Plus en détail

WIFI sécurisé en entreprise (sur un Active Directory 2008)

WIFI sécurisé en entreprise (sur un Active Directory 2008) Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

GAR - Integration Windows NT / Linux

GAR - Integration Windows NT / Linux GAR - Integration Windows NT / Linux Laboratoire dans le cadre du cours d administration des réseaux Pierre BETTENS pbettens(à)heb.be HEB-ESI (Version 1.3) 2004-2005 GAR - Integration Windows NT / Linux

Plus en détail

TP RPV DE NIVEAU APPLICATION EXTRANET

TP RPV DE NIVEAU APPLICATION EXTRANET TP RPV DE NIVEAU APPLICATION EXTRANET Étudions le cas de l entreprise MAROQ. L entreprise a décidé d ouvrir une partie de son SI (Système d information) à ses partenaires. Cette ouverture s effectue par

Plus en détail

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3 par G.Haberer, A.Peuch, P.Saadé Table des matières 1. Installation de Windows 2000 Server.............................................. 2 2. Installation

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Les réseaux des EPLEFPA. Guide «PfSense»

Les réseaux des EPLEFPA. Guide «PfSense» Les réseaux des EPLEFPA Guide «PfSense» Chantier national DRTIC http://drtic.educagri.fr/ Mai 2010 2 Table des matières 1 Installation de la PfSense...3 Schéma de principe...3 Préalable...3 Installation...4

Plus en détail

0.1 PureFTP. 0.1.1 1. Créer un utilisateur ftp (mode console) 0.1.2 2. Installation de pure-ftpd 0.1.3 2.1 Installation de la version de base

0.1 PureFTP. 0.1.1 1. Créer un utilisateur ftp (mode console) 0.1.2 2. Installation de pure-ftpd 0.1.3 2.1 Installation de la version de base 0.1 PureFTP 1 0.1 PureFTP Pureftp est un serveur ftp qui présente l avantage d être a la fois très sécure et de se mettre en place tres facilement malgré l abscence d une interface graphique de configuration.

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D.

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. 2013 ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. Table des matières 1 Rôles... 3 2 Organisation... 3 3 TP1 : Configurer les règles de pare-feu... 6 4 Le proxy cache... 7 5 Demander

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Compte-rendu GSB. I- Configuration des différents serveurs. 1. Serveur Web. Tout d abord, il faut installer différents paquets : - Apache2 - PHP5

Compte-rendu GSB. I- Configuration des différents serveurs. 1. Serveur Web. Tout d abord, il faut installer différents paquets : - Apache2 - PHP5 Compte-rendu GSB I- Configuration des différents serveurs 1. Serveur Web Tout d abord, il faut installer différents paquets : - Apache2 - PHP5 - Proftpd - Phpmyadmin Apres l'installation du service apache2

Plus en détail

PLANNING DES ACTIVITES PROFESSIONNELLES

PLANNING DES ACTIVITES PROFESSIONNELLES PLANNING DES ACTIVITES PROFESSIONNELLES N d'activité Intitulé 1 Mise en place d'un système de fichier distribué (DFS) 2 Mise en place d'un client léger Thinstation avec répartition de charge (Service Broker)

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas

FreeNAS 0.7.1 Shere. Par THOREZ Nicolas FreeNAS 0.7.1 Shere Par THOREZ Nicolas I Introduction FreeNAS est un OS basé sur FreeBSD et destiné à mettre en œuvre un NAS, système de partage de stockage. Pour faire simple, un NAS est une zone de stockage

Plus en détail

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE Comment déployer l'active Directory sur Windows Server 2008 R2 Microsoft France Division DPE 1 Table des matières Présentation... 3 Objectifs... 3 Pré requis... 3 Introduction à l Active Directory... 4

Plus en détail

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Editions ENI Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage (2 ième édition) Collection Expert IT Extrait 216 Les stratégies de groupe (GPO)

Plus en détail

Squid. Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http.

Squid. Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http. Squid 1) Présentation Squid est un logiciel permettant la réalisation d'un cache pour les clients web. Squid peut aussi jouer le rôle de filtre http. Squid est un produit disponible sur un grand nombre

Plus en détail

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr

ADF 2009. Reverse Proxy. Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr ADF 2009 Reverse Proxy Thierry DOSTES tdostes@ifr88.cnrs-mrs.fr 1 Définition d un serveur mandataire Un proxy (ou serveur mandataire) : agit comme une passerelle et un filtre pour accéder à l Internet.

Plus en détail

L annuaire et le Service DNS

L annuaire et le Service DNS L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.

Plus en détail

Réaliser un inventaire Documentation utilisateur

Réaliser un inventaire Documentation utilisateur Référence : 11662 Version N : 6 Créé le : 29 Janvier 2014 Créé par : Bruno RICHOUX Téléphone : 0811 65 60 02 Sommaire 1. Conventions... 3 2. Introduction... 4 3. Principes généraux... 5 3.1. Depuis les

Plus en détail

VPN L2TP/IPsec en utilisant un certificat X.509 v3

VPN L2TP/IPsec en utilisant un certificat X.509 v3 VPN L2TP/IPsec en utilisant un certificat X.509 v3 Installer une autorité de certification d entreprise : Dans notre cas de figure nous sommes dans un domaine qui s appelle «konoha.com». Une autorité de

Plus en détail