SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

Dimension: px
Commencer à balayer dès la page:

Download "SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0"

Transcription

1 K E R B E R O S V S N T L M SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (2): Authentification centralisée et SSO Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael r u e v o l t a i r e K r e m l i n B i c ê t r e - S R S

2 Introduction Objectif Le dossier suivant a pour objectif de mise en place de la sécurisation de la navigation en centrale. Il s'agit de réaliser un dossier d'étude sécurité autour du proxy SQUID (www.squid-cache.org) avec un certain nombre de briques sécurisées complémentaires. 1. TECHNOLOGIES SQUID Squid est un logiciel open source qui fait partie de ses logiciels dit mandataires, dont l objectif est de fournir un service de relai des demandes utilisateurs. Les fonctionnalités de SQUID peuvent permettent d ajouter dans une infrastructure différentes briques de contrôle, sécurité et optimisation. On utilise principalement SQUID en tant que serveur proxy (mise en cache du contenu fréquemment demandés) mais on peut utiliser les fonctionnalités de filtrage ou de journalisation dans le cadre d une politique de sécurité. SQUID est multi plateforme et supporte de nombreux protocoles (HTTP, HTTPS, FTP, requêtes DNS) NTLM NTLM est un protocole d'authentification principalement utilisé dans les protocoles Microsoft, on l utilise principalement pour fournir un mécanisme d identification unique. NTLM repose sur un mécanisme de challenge, mais ne traverse pas les pare-feu (caractéristiques à prendre en compte dans les choix d infrastructures) Kerberos Kerberos est également un protocole d authentification issu du MIT, on l utilise également pour une identification unique mais son système repose sur un mécanisme d émission de ticket valable dans le temps (en heure) qui identifie le client au yeux du serveur. 2. PROJET L objectif est de fournir à une PME, des briques matériels et logiciels afin de contrôler l'accès à Internet des utilisateurs des ressources informatique de l entreprise. Le parc est déjà constitué de plusieurs briques technique tels : Un serveur DNS Un serveur DHCP Un serveur Active Directory Un firewall L objectif du projet est de comparer 2 technologies d authentification unique afin de déterminer une solution pour cette PME et d établir une maquette constitué d un mandataire pour l'accès Internet. Le serveur mandataire aura la charge de journalisation et de contrôle du contenu distribué aux utilisateurs. 1

3 3. CRITIQUES Le fait de rationaliser les accès internet dans une PME est un bon choix car : D un point de vue législatif, l entreprise est responsable juridiquement des activités de ses employés, pour se justifier en cas de problèmes elle se doit de contrôler les accès quelle met à disposition de ses employés et pouvoir associer une requête à un utilisateur. D un point de vue de l utilisation des ressources informatique, l utilisation abusive du matériel fournit par l entreprise peut engendrer des ralentissements voir des pannes du système d information de l entreprise, d où une perte financière immédiate. Contrôler les accès permettra à l entreprise d analyser les abus de ressources et d en bloquer l'utilisation. Enfin d un point de vue productivité contrôler les accès au site web peut augmenter la productivité des employés de la société. Toutefois, la mise en place d un système intelligent (capable d établir des règles dynamiquement) qui pourrait autoriser selon l heure, le jour, l utilisateur certains accès peut améliorer l acceptation de la solution. Un proxy applicatif est la brique de base liée au besoin de la PME, l utilisation de SQUID grâce à ses nombreux modules et options de configuration permet de proposer à moindre coût les services demandés. Les technologies de SSO apporterons aux utilisateurs du SI, un confort d utilisation et permettrons d améliorer la sécurité sur certaines vulnérabilité. Les choix techniques de solution d authentification centralisée unique imposent des avantages/inconvénients spécifiques au modèle du fonctionnement de la technologie. L objectif est de comparer deux méthodes (NTLM, Kerberos) basée sur une authentification par challenge et d en présenter le fonctionnement. 2

4 Mise en place du proxy SQUID Squid est un proxy permettant d utiliser plusieurs protocoles : http, https, ftp, Gopher, il permet de mettre en caches les pages les plus fréquemment utilisées et d accélérer ainsi l accès web. INSTALLATION DE SQUID On installe tous d abord le logiciel (en fonction de sa distribution) $ aptitude install squid (pour une debian). Pour activer le support de certaines fonctionnalités on peut passer par une phase de recompilation des sources (ajout d option d authentification et d activation de certains modules) CONFIGURATION DE SQUID On configure le fichier /etc/squid/squid.conf (cf Annexe Squid) 2 objectifs doivent être mis en avant lors de la configuration de notre proxy : Sécuriser au maximum notre proxy en autorisant seulement les personnes habilités à accéder à certains sites web. Optimiser le cache de notre proxy afin d avoir un accès internet plus rapide. La sécurité Autorisation au proxy par l adresse source de l utilisateur On bloque l accès au proxy à toutes les adresses inconnues. On ouvre le proxy seulement aux machines autorisés à avoir un accès web. Authentification des utilisateurs du proxy Par défaut, on bloque l accès au proxy à tout utilisateur. Ce n est pas un proxy transparent. Seules les personnes de l entreprise habilités à utiliser le proxy sont autorisées. Filtrage des protocoles disponibles Squid permet l utilisation de nombreux protocoles différents. L entreprise recherche juste à fournir à ses employés un accès au protocole http et https. On va donc autoriser seulement ces protocoles. Protection contre des attaques externes On limite la taille des requêtes pour restreindre les risques d'attaques de type "refus de service". On configure notre proxy Squid afin d empêcher une personne mal intentionné ne puisses exploiter notre proxy à la manière d'un tunnel pour requérir à des services interdits. La performance On augmente la taille du cache maximum utilisé en mémoire vive pour améliorer l efficacité de notre cache et ainsi de notre accès web. Test de Squid Après configuration de notre proxy Squid, nous pouvons procéder à un test d execution : Squid z 3

5 SCRIPT DE CONNEXION A L OUVERTURE DE SESSION Pour améliorer l expérience utilisateur ainsi que l administration des postes, l administrateur de l active directory peut mettre en place un script d ouverture de session afin de configurer le poste pour l utilisation des différents services de l entreprise. Sur le contrôleur de domaine du réseau d'entreprise se trouve un répertoire système C:\WINDOWS\SYSVOL\sysvol\Nom_du_domaine\SCRIPTS. L'accès aux données de ce dossier se fait grâce aux systèmes de partage de fichier réseaux (droit de lecture) et permet aux utilisateurs d accéder aux scripts de configuration et éventuellement de montage réseaux. Dans l'outil d'administration "Utilisateurs et ordinateurs du domaine" vous pouvez éditer les profils utilisateur. Dans l'onglet "Profil", un champ permet de renseigner un script d'ouverture de session "Logon script". Le script de connexion est généralement un fichier bat (langage de script Microsoft) qui fournit une interface type script shell. Afin de faciliter les opérations de configuration l administrateur peut utiliser des langages de scripts avancer tels VBS (Visual Basic Script) qui fournit de nombreuses API de contrôle. L administrateur a également la possibilité d utiliser le langage de script Kix développé par un ingénieur Microsoft diffuser dans le ressource kit NT4 et adapter aux taches d administration de service entreprise. Ex de script kix à déployer dans l infrastructure : CLS SELECT CASE INGROUP("staff") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","1","REG_DWORD") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyServer"," :3128","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyOverride","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main","Start Page","about:blank","REG_SZ") CASE DEFAULT WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","0","REG_DWORD") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyServer","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyOverride","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main","Start Page","about:blank","REG_SZ") ENDSELECT 4

6 Mise en place d ACLs Solution de filtrage Pour mettre en place notre solution de filtrage nous pouvons utilisé plusieurs solutions : - Des règles de filtrage au niveau du fichier de configuration - Le module squid_guard (qui fonctionne sur un système de blacklist) Tous d abord dans notre configuration nous allons partir sur une stratégie du tous interdit c est à dire qu on ajoute une règle : http_access deny all Ensuite nous pouvons définir des acl afin de d autoriser des ports, des sites (unique, liste, expression régulière) sur le modèle suivant : acl name type (string "filename") [string2] [string3] ["filename2"] Les acls peuvent être du type suivant : * Source/Destination adresse IP * Source/Destination Domaine * Expression Régulière liée à un domaine * Mots contenu dans une url * Mots contenu dans un domaine * Date/Jour courant * Port de destination * Protocole (FTP, HTTP, SSL) * Méthode (HTTP GET ou HTTP POST) * Type de Browser * Nom d utilisateur (Protocole Ident) * Numéro d AS (Autonomous System) * Login/Mot de passe * SNMP Enfin on autorise l acl avec http_access allow name_acl Dans notre contexte on pourra donc utiliser les règles suivantes : acl pme_rules url_regex /etc/squid/pme_squid_white_list http_access allow pme_rules acl pme_gouv srcdomain.gouv.fr acl allow pme_gouv 5

7 Authentification utilisateurs Scénario 1 : Full Microsoft NTLM Dans ce premier cas nous allons mettre en oeuvre une authentification Full Microsoft NTLM, ce scénario respecte le schéma suivant : Pour mettre en place cette solution nous devrons passer par plusieurs phases d installation et configuration. Dans la suite de la manipulation nous supposerons que le serveur Active Directory est opérationnel et configuré, ainsi que les postes s identifient correctement sur le domaine. Pour assurer la connexion au domaine les logiciels suivant doivent être installés sur le serveur proxy : Winbind (qui permet de récupérer les utilisateurs et les groupes du contrôleur de domaine) Samba (qui permet d intégrer le domaine) L outil ntml_auth qui se charge d interroger le contrôleur de domaine afin d établir une authentification (selon la distribution ce logiciel peut être installé avec squid) 6

8 Configuration samba Voici les points principales du smb.conf : [global]... security = domain #Type de sécurité... winbind separator = / encrypt passwords = yes winbind cache time = 15 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes idmap uid = #liaison utilisateur AD <-> Utilisateur unix idmap gid = Pour assurer le fonctionnement de la connexion au domaine il faut s assurer que la résolution du nom de domaine et du contrôleur est assurée (par le serveur DNS ou par le fichier resolv.conf et hosts) Ensuite vous pouvez tester la connexion au domaines par la commande suivante : #net join -U Administrateur Une fois connecté vous pouvez tester les commandes suivantes : wbinfo -g (affiche les groupes du domaine), wbinfo -u (affiche les utilisateurs du domaine), wbinfo -t (teste la connexion) Si les étapes précédentes ont réussis, on passe à l étape suivante configuration de squid, on teste tous d abord le module ntlm_auth qui sera l interface entre squid et l active directory (par le protocole NTLM). On exécute ntlm_auth, on tape le login et password d un utilisateur. Si la connexion est correctement effectuée ntlm_auth nous retourne OK pour une connexion correcte et ERR pour un échec. Configuration Squid Voici les points principales du squid.conf : TAG: auth_param auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid AD auth_param basic credentialsttl 2 hours l option --require-membership-of=domainead\\groupead peut rajouter une sécurité pour autoriser uniquement un groupe de l active directory 7

9 TAG: acl acl ntlm proxy_auth REQUIRED TAG: http_access http_access allow ntlm TAG: append_domain append_domain commun.ma-pme.fr On peut rajouter forwarded_for off pour masquer l ip du proxy, cache_effective_group proxy pour les droits des journaux d'accès. On teste la configuration en redémarrant squid : /etc/init.d/squid restart Le serveur une fois démarré est opérationnel. Attention, les droits des différents fichiers peuvent empêcher le bon fonctionnement du proxy (voir les journaux pour plus d information) en particulier winbind_privileged. Test sur le poste client Le client Windows XP lors d une requête HTTP établit une connexion avec le serveur mandataire, Internet Explorer 7 permet d assurer une authentification intégrée c est à dire une séquence d authentification basée sur les éléments de session. 8

10 Dans notre cas, Internet Explorer va envoyer automatiquement un challenge Kerberos ou NTLM (celui qui nous intéressent) avec les données récupérées lors de la séquence d authentification sur le contrôleur de domaine, en cas d échec une authentification basic sera déclenchée. Par ce mécanisme l authentification est transparente pour l utilisateur. Grâce à la configuration du Squid les accès du client sont enregistrés (avec le login sur l AD) dans le journal de log, ainsi que contrôlés grâce à la liste de filtrage. Analyse du journal squid & échanges réseaux Une fois la solution mis en place on peut analyser le fichier access.log : TCP_DENIED/ GET - NONE/- text/html TCP_MISS/ GET jeremy.denoun DIRECT/ text/html TCP_MISS/ GET cyril.de-daniloff DIRECT/ text/html TCP_DENIED/ GET michael.bettan NONE/ text/html On remarque donc que toutes les transactions sont journalisées et répondent donc au problématique de l entreprise. ATTENTION : La mise en place cette solution en entreprise, impose que le personnel soit informé car il permet de tracer un utilisateur, savoir ce qu il a visité. (Voir le site de la CNIL) Ces fichiers peuvent donc faire l objet d une déclaration préalable CNIL. Certains outils permettent d analyser ces logs et de construire des statistiques d accès pour voir quels sont les ressources les plus souvent sollicitées, le temps passé sur Internet par utilisateurs, Analyse du trafic réseau Pour vérifier les communications entre les différentes machines ont analyse le trafic avec l utilitaire tcpdump. 07:18: IP > commun.ma-pme.fr.microsoft-ds: P : (446) ack win 3812 <nop,nop,timestamp > 07:18: IP commun.ma-pme.fr.microsoft-ds > : P 1:493(492) ack 446 win <nop,nop,timestamp > 07:18: IP > commun.ma-pme.fr.microsoft-ds:. ack 493 win 3946 <nop,nop,timestamp > En analysant la trame on remarque un chiffrage du paquet et l établissement du challenge d authentification. On signalera que le nombre de trame échangé est assez faible et permettra une montée en charge correcte. 9

11 Scénario 2 : Kerberos INTRODUCTION Le protocole Kerberos permet la mise en place de serveurs d authentification. Il permet à des utilisateurs d accéder à des services réseau à partir de la même ouverture de session. Le service Kerberos (appellé KDC) se trouve dans chaque contrôleur de domaine stockant toutes les informations relatives aux comptes. Pour établir ce scénario on a utilisé MIT Kerberos afin de mettre en place un système full Kerberos. srv2003class.commun.ma-pme.fr <=> squid.cummun.ma-pme.fr <=> client1.commun.ma-pme.fr <=> FONCTIONNEMENT DU SCÉNARIO : Lorsque client1.ma-pme.fr se connecte à son poste de travail (par l active directory). Son identifiant est envoyé au KDC (service kerberos) du serveur srv2003class.commun.ma-pme.fr comme une demande de TGT (Ticket Granting Ticket). Le KDC (service kerberos), srv2003class.commun.ma-pme.fr, vérifie que l'identifiant existe et crée un ticket TGT en le cryptant avec la clé du client1 puis l envoie à client1.commun.ma-pme.fr. client1.commun.ma-pme.fr décrypte le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). Lorsque le client1.commun.ma-pme.fr veut accéder au serveur proxy SQUID de squid.commun.ma-pme.fr le ticket TGT demande un ticket au TGS (Ticket Granting Service, service d'émission de tickets) fonctionnant sur le KDC du serveur srv2003class.commun.ma-pme.fr LES ÉLÉMENTS DU SCÉNARIO : COMMUN.MA-PME.FR est le domaine Windows et le Kerberos-realm que nous allons utiliser pour l authentification. srv2003class.commun.ma-pme.fr est le contrôleur de domaine (DC) et l active directory du domaine COMMUN.MA-PME.FR. Il comporte un KDC (Key Distribution Center) du realm COMMUN.MA-PME.FR intégré au contrôleur de domaine. squid.commun.ma-pme.fr est notre serveur proxy (SQUID) sous debian etch qui comporte squid, squid_kerb_auth et un client kerberos. client1.commun.ma-pme.fr est notre client Widows XP SP2 IE7 membre du domaine COMMUN.MA-PME.FR. Nous voulons qu Internet Explorer s authentifie via le ticket kerberos sans aucune authentification manuelle (login/password). 10

12 MISE EN PLACE DU SERVEUR 2003 (SRV2003CLASS.COMMUN.MA-PME.FR) Nous avons effectués ces tâches dans les précédentes parties : Installation d un contrôleur de domaine (DC) appelé COMMUN.MA-PME.FR. Celui comportait de base un service kerberos (KDC) Installation d un serveur DNS Installation d un serveur DHCP CONFIGURATION DU SERVEUR DNS On a configuré notre serveur dns du serveur Windows 2003 pour que l host squid.commun.ma-pme.fr pointe sur , ainsi que son reverse. squid.commun.ma-pme.fr <-> Cette étape est primordiale pour que l authentification par keberos fonctionne. CRÉATION D UN UTILISATEUR Afin que le client Windows XP SP2 (client1.commun.ma-pme.fr) puisse avoir accès au service proxy grâce au protocole Kerberos : On crée un compte mik dans le domaine Windows COMMUN.MA-PME.FR GÉNÉRATION DE LA KEYTAB ET MAPPING PRINCIPAL/UTILISATEUR On installe Support tool du CD Windows 2003 afin d obtenir l outil Ktpass.exe 1. On utilise l outil Ktpass.exe pour mapper le compte mik au service principal et générer la keytab squid.keytab.mik 11

13 2. On vérifie à l aide de l outil setspn.exe le bon mapping principal/utilisateur On voit bien que le principal HTTP/squid.commun.ma-pme.fr est mappé à l utilisateur mik MISE EN PLACE DU PROXY SQUID (SQUID.COMMUN.MA-PME.FR) Le but de cette partie est de configurer le serveur proxy squid (squid.commun.ma-pme.fr) pour fonctionner avec le protocole kerberos. INSTALLATION DU SERVEUR SQUID L installation du serveur squid est plus complexe que dans les parties précédentes. En effet, afin d installer le module d authentification kerberos pour squid (squid_kerb_auth), cela nécessite la compilation et l installation manuelle des sources de SQUID. Par défaut, le package debian ne comporte pas squid_kerb_auth On recompile squid avec des paramètres spécifiques. $tar -zxvf squid-2.6.stable18.tar.gz && cd squid-2.6.stable18 $./configure enable-auth= basic negotiate -enable-negotiate-authhelpers="squid_kerb_auth" $make && make install $useradd -s /bin/false -r squid $usermod -d /var/spool/squid squid $mkdir -p /var/log/squid $mkdir -p /var/spool/squid $mkdir -p /etc/squid $chown squid.squid /var/spool/squid -R $chown squid.squid /var/log/squid -R $chown squid.squid /etc/squid -R CONFIGURATION DU SERVEUR SQUID On a reprit la configuration de base de SQUID, définit dans les précédentes parties. On a rajouté ces lignes : # Kerberos auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth -d -s HTTP/squid.commun.ma-pme.fr auth_param negotiate children 10 auth_param negotiate keep_alive on acl Authenticated proxy_auth REQUIRED http_access allow Authenticated # Interdire tout le monde http_access deny all Dans ces lignes, on crée une ACL (Authenticated) qui oblige l authentification par kerberos utilisant la librairie executable squid_kerb_auth. L option d nous permet de passer en mode full debug et de voir les transactions au niveau de cache.log L option s permet de préciser le principal 12

14 INSTALLATION DE KERBEROS CLIENT $ aptitude install krb5-config krb5-pkinit krb5-user CONFIGURATION DE KERBEROS CLIENT On copie le keytab généré sur le serveur 2003 sur notre serveur squid On configure Kerberos client par le fichier de config /etc/krb5.conf [libdefaults] default_realm = COMMUN.MA-PME.FR [realms] COMMUN.MA-PME.FR = { kdc = srv2003class } On exporte les deux variables d environnements suivantes : On teste que le protocole kerberos fonctionne : 13

15 MISE EN PLACE DU CLIENT (CLIENT1.COMMUN.MA-PME.FR) CONFIGURATION DE LA CARTE RÉSEAU Adresse IP: Serveur DNS: (notre serveur 2003) TEST D UN RESOLVE DNS DU SERVEUR SQUID On teste un resolve dns du serveur proxy squid afin de vérifier de la bonne configuration du dns. Cette étape est importante pour la bonne fonctionnalité du protocole Kerberos, étant donné que le service principal est régler grâce l host. 14

16 CONFIGURATION DE INTERNET EXPLORER On règle le proxy : Adresse: squid.commun.ma-pme.fr Port: 3128 TEST DU PROTOCOLE KERBEROS Le protocole Kerberos est mis en place et fonctionne parfaitement : on peut désormais payer nos impôts grâce à notre ticket Kerberos : 15

17 Grâce à l outil KERBTRAY.EXE, on peut voir le ticket sous le client : Sur le serveur SQUID, dans le fichier de log cache.log on peut retrouver les différentes transactions effectué par la squid_kerb_auth 16

18 ANALYSE DU TRAFFIC RÉSEAU TRAFFIC AVEC COMME SOURCE LE CLIENT ( ) tcpdump -XX -s0 -i eth0 src net On reconnaît l authentification negociate : 17

19 TRAFFIC AVEC COMME SOURCE LE SERVEUR SQUID tcpdump -XX -s0 -i eth0 src net Vers le serveur 2003 ( ) 18

20 Vers le client ( ) 19

21 TRAFFIC DU SERVEUR WINDOWS 2003 ( ) Vers le serveur squid On voit transiter le site web demandé du client entre le serveur 2003 et le proxy squid. Tous ses échanges nous montrent que les échanges entre les différents postes : client, serveur AD, serveur Proxy s effectue correctement et correspond à la thérorie CONCLUSION On a réussit à mettre en place une solution SSO, Kerberos, utilisant un service KDC intégré au contrôleur de domaine de notre serveur Windows Cette solution fut assez compliqué à mettre en place mais reste une solution envisageable pour notre pme. L inconvénient majeure est la difficulté de mise en place pour chacune des applications voulant utilisé cette solution SSO. L étape suivante pour améliorer la solution serait de remplacer le service KDC (du contrôleur de domaine) par un serveur extérieure (type MIT ou Heimdal). Cette solution permettrai en cas d indisponibilité du contrôleur de domaine de maintenir l authentification. Cependant cette solution demanderait d installer des outils supplémentaires sur les postes clients. 20

22 Conclusion L utilisation d un système SSO (single Log-On) pour la PME est une solution intéressante. Celui-ci permet d éviter de s authentifier une seule fois qu elles que soient les applications utiliser. Ainsi, ce système simplifie la vie des utilisateurs, employés de la pme, en ne multipliant pas les accès aux applications, car une fois authentifié, on peut lancer toutes les applications sans remettre de mot de passes. Dans ce dossier, nous avons mis en place 2 solutions SSO : KERBEROS et NTLM. KERBEROS nous a permit, grâce à travers un système de ticket, de mettre en place un service SSO. On a pu relevé plusieurs exigences : Sécurité du réseau Selon les versions du serveur Active Directory le chiffrage par défaut est différent, dans notre maquette nous avons réglé notre protocole KERBEROS avec un cryptage RC4, mais on aurait pu régler en cryptage DES. Fiabilité Transparence pour l utilisateur: à l ouverture de session, l utilisateur est authentifier pour toutes les applications utilisant le système SSO KERBEROS Evolutif en terme d architecture Difficulté de mise en place: le système est assez compliqué à mettre en place et nécessite que chaque application gère le protocole kerberos Pour l architecture de la PME, la solution SSO,KERBEROS, peut être une solution convenable. Mais nous avons relevés 2 inconvénients majeures lors de nos tests. La mise en place de ce protocole pour chacune des applications client peut se relever une tâche assez difficile pour l administrateur. D autre part, ce système nous a paru assez lent avec une latence assez marqué du navigateur IE7, ce point reste à vérifier à l aide d indicateurs. NTLM nous a permit de mettre en oeuvre une authentification par challenge, le système d exploitation gère ce type d authentification nativement ce qui en fait un système très simple à mettre en oeuvre du coté client. Sécurité du réseau NTLM est nativement chiffrée mais qui aujourd hui n est plus considéré comme un chiffrement sur. Cependant pour une pme ce niveau de sécurité peut être considéré comme suffisant pour une PME. (Un complément à ce dossier sur la gestion de risque/cout peut être nécessaire pour approfondir le sujet) Fiabilité & Transparence Comme Kerberos, NTLM assure une authentification unique à l adhésion au domaine Evolutif & Montée en charge Le peu de trame réseaux pour l identification peut permettre une montée en charge importante et le support de nouveaux utilisateur. Pour l architecture de la pme, la solution NTLM est une bonne solution car facile à mettre en oeuvre et nativement supporté par windows (authentification intégrée) ce qui en fait un choix très intéressant. Selon nous, aujourd hui la meilleur solution semble être basée sur NTLM pour sa simplicité et sa montée en charge, à moyen terme long terme, une solution plus construite et plus ouverte comme Kerberos sera sans doute plus indiqué. 21

23 Bibliographie Source Internet Site officiel Squid : Wiki Squid : Wiki NTLM : Kerberos Technique : ary/en-us/dnsecure/html/http-sso-1.asp Wiki Kerberos : Installation de Kerberos : Activation NTLM v2 : NTLM & Firefox : _identifiant_nt mod_ntlm : Squid : Kix : 22

24 Annexe smb.conf pour NTLM [global] workgroup = PME netbios name = debian server string = Proxy (Samba Server) load printers = no log file = /var/log/samba/log.%m max log size = 500 password server = srv2003class security = domain winbind separator = / encrypt passwords = yes winbind cache time = 15 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes idmap uid = idmap gid = local master = no os level = 233 domain master = no preferred master = no 23

25 squid.conf ############################ # Squid Configuration File # ############################ # Port d'ecoute de SQUID http_port 3128 # Port sur lequel le cache peut être interroge par un cache fils ou voisin, cas d'une hierarchie icp_port 3128 # Ne pas utiliser le cache pour.cgi et? hierarchy_stoplist cgi-bin? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # Taille maximum du cacher en memoire vive cache_mem 20 MB # Interval maximum des objets stockes dans le cache minimum_object_size 0 MB maximum_object_size 15 MB #################################################################### #### ### Dossier du Cache ### On peut definir plusieurs repertoires #### #################################################################### # Repertoire dans lequel le swap de cache s'effectue (1go en Cache) cache_dir ufs /var/spool/squid # Format des logs # on = format standard CLF # off = format de logs de squid emulate_httpd_log off # Duree de la session authentifiee (ici: 2 heures) refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern. 0 20% 4320 #################################################################### ####### ## DNS #################################################################### # Cela d'utiliser dns1 et dsn2 au lieu d'aller chercher ces dns dans le fichier /etc/resolv.conf dns_nameservers # Evitez les longs timeout dns_timeout 2 minutes #################################################################### 24

26 #################################################################### #### ### ACL (Regles d'acces au cache dit access-list) ### On peut definir plusieurs repertoires #### #################################################################### # Liste des acl par defaut -> A conserver acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 # Ces regles évitent qu'un utilisateur mal intentionné n'exploite votre proxy à la maniere d'un tunnel pour requérir des services interdits acl SSL_ports port # https, snews acl Safe_ports port acl CONNECT method CONNECT http_access deny!safe_ports http_access deny CONNECT!SSL_ports #Autoriser tout le monde à utiliser le cache http_access allow all # Autorise les reponses pour tout le monde (par defaut) http_reply_access allow all # Autorise le protocole icp pour tout le monde (par defaut) icp_access allow all coredump_dir /var/spool/squid # Limitez la taille des requêtes pour restreindre les risques d'attaques de type "refus de service". request_header_max_size 10 KB request_body_max_size 64 KB ##### Administration ######## # Nom que renvoi squid lorsqu'il est interroge de l'exterieur visible_hostname proxy.commun.ma-pme.fr 25

VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5

VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5 Squid & SquidGuard Sommaire: VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5 CONFIGURATION...5 INTEGRATION DES BLACK LIST ES...6 INITIALISATION DES BASES...7 Oandreau.free.fr/supports.htm

Plus en détail

Sécurité du Système d Information. Authentification centralisée et SSO

Sécurité du Système d Information. Authentification centralisée et SSO Sécurité du Système d Information Authentification centralisée et SSO Nombres de pages : 14 Version : 1.0 Auteurs : HAMROUNI Makram POISSENOT Thomas ROUX Nicolas Destinataires : BOMBAL Sébastien Remarques

Plus en détail

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA www.seroo.fr TABLE DES MATIERES 1. INSTALLATION DE LINUX ET CONNEXION A INTERNET...4 2. MISE EN PLACE DU SERVEUR PROXY (SQUID)...4

Plus en détail

SQUID DANSGUARDIAN. apt-get install dansguardian clamav-daemon clamav-freshclam

SQUID DANSGUARDIAN. apt-get install dansguardian clamav-daemon clamav-freshclam SQUID apt-get install squid3 Faire la commande suivante pour enlever tous les commentaires : grep -E -v '^(# $)' /etc/squid/squid.conf >> newfichier mv newfichier squid.conf Modifier ce fichier : /etc/squid3/squid.conf

Plus en détail

Installation et Configuration de Squid et SquidGuard sous Debian 7

Installation et Configuration de Squid et SquidGuard sous Debian 7 Installation et Configuration de Squid et SquidGuard sous Debian 7 Table des matières Installation et Configuration de Squid et SquidGuard...1 Squid...2 squid.conf...2 SquidGuard...4 squidguard.conf...4

Plus en détail

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2 EPITA Option SRS : Système Réseau Sécurité Matière : Professeur : Sébastien BOMBAL Version : 1.0 Table des matières 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2 Version

Plus en détail

SAMBA UBUNTU SERVER 12.04

SAMBA UBUNTU SERVER 12.04 SAMBA UBUNTU SERVER 12.04 Introduction Le serveur Samba est l'outil privilégié pour installer un réseau LAN (Local Area Network) fonctionnant avec le protocole SMB (Server Message Block). Il est donc possible

Plus en détail

SQUID Configuration et administration d un proxy

SQUID Configuration et administration d un proxy SQUID Configuration et administration d un proxy L'objectif de ce TP est d'étudier la configuration d'un serveur mandataire (appelé "proxy" en anglais) ainsi que le filtrage des accès à travers l'outil

Plus en détail

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés Zemma Mery BTS SIO SISR Session 2015 Projets Personnels Encadrés Fiche de présentation d une situation professionnelle BTS Services informatiques aux organisations Session 2015 E4 Conception et maintenance

Plus en détail

Mise en place d un proxy Squid avec authentification Active Directory

Mise en place d un proxy Squid avec authentification Active Directory Mise en place d un proxy Squid avec authentification Active Directory Dans ce tutoriel nous allons voire la mise en place d un proxy Squid avec une authentification transparente pour les utilisateurs d

Plus en détail

Serveur proxy Squid3 et SquidGuard

Serveur proxy Squid3 et SquidGuard Serveur proxy Squid3 et SquidGuard 1. Prérequis & installation Une adresse fixe le paquet wget, squid3 et squidguard apt-get install wget squid3 squidguard Il faut ensuite créer les répertoires suivants

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Proxy SQUID sous Debian

Proxy SQUID sous Debian Proxy SQUID sous Debian Définition : Un serveur proxy, appelé en français serveur mandataire est une architecture client-serveur qui a pour fonction de relayer des requêtes entre une fonction cliente et

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007 2008 Proxy Qu'est ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Squid Intégrez un proxy à votre réseau d'entreprise

Squid Intégrez un proxy à votre réseau d'entreprise Avant-propos 1. Introduction 7 2. À qui s'adresse ce livre? 8 3. Structure du livre 8 Les principes de base d un serveur cache 1. Pourquoi un serveur mandataire? 11 2. Le principe d'un serveur mandataire-cache

Plus en détail

Comment surfer tranquille au bureau

Comment surfer tranquille au bureau Comment surfer tranquille au bureau Version 1.3 1 Contexte...1 2 Attention...2 3 Description de la méthode utilisée: SSH...2 3.1 Explication réseau...2 3.2 Explication logicielle d'un tunnel SSH...3 3.3

Plus en détail

Squid. Olivier Aubert 1/19

Squid. Olivier Aubert 1/19 Squid Olivier Aubert 1/19 Liens http://www.squid-cache.org/ http://squid.visolve.com/ 2/19 Principe Squid : cache web logiciel Fonctionne sur un OS classique (Linux, BSD, Solaris, Windows,...) Logiciel

Plus en détail

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Imprimantes et partage réseau sous Samba avec authentification Active Directory Imprimantes et partage réseau sous Samba avec authentification Active Directory Sommaire 1- Pré requis Page 2 2- Configuration réseau Page 3 3- Installation de samba Page 4 à 5 4- Installation de kerberos

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

Serveur Mandataire SQUID

Serveur Mandataire SQUID Serveur Mandataire SQUID Compétences Professionnelles Mise en place d un serveur mandataire (proxy SQUID) Mise en place de ressources complémentaires (SQUIDGUARD & SQUIDANALYZER) Analyser des logs afin

Plus en détail

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : M326070463 ACTIVITE

Plus en détail

Comment ajouter une machine Linux dans un

Comment ajouter une machine Linux dans un Comment ajouter une machine Linux dans un domaine Active Directory? Logiciels utilisés Nom Version Microsoft Windows Server 2003 SP1 Linux Debian Etch Winbind 3.0.22 Samba 3.0.22- krb5-user Krb5-1.4.3

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Mise en place d un serveur Proxy sous Ubuntu / Debian

Mise en place d un serveur Proxy sous Ubuntu / Debian BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur

Plus en détail

09/02/2016 Squid3 & SquidGard. Serveur Proxy. Keita Mohamed

09/02/2016 Squid3 & SquidGard. Serveur Proxy. Keita Mohamed 09/02/2016 Squid3 & SquidGard Serveur Proxy Keita Mohamed SISR3 SQUID3 Introduction à SQUID 3 Squid 3 est un serveur mandataire, en anglais, «proxy», entièrement libre, capable de gérer les protocoles

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT Virtualisation d un proxy Squid gérant l authentification depuis Active Directory EPI - Stagiaire2007 Vivien DIDELOT Résumé Cette procédure présente la mise en place d un proxy Squid permettant l authentification

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline. Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en

Plus en détail

Kerberos: Linux, Windows et le SSO

Kerberos: Linux, Windows et le SSO Kerberos: Linux, Windows et le SSO Emmanuel.Blindauer @ urs.u-strasbg.fr IUT Robert Schuman Département Informatique JRES 2005 Introduction Problématique Kerberos Windows 2000 Linux et PAM Intégration

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Configurer Squid comme serveur proxy

Configurer Squid comme serveur proxy LinuxFocus article number 235 http://linuxfocus.org Configurer Squid comme serveur proxy Résumé: par D.S. Oberoi L auteur: D.S. Oberoi vit à Jammu, aux Indes et rencontre des problèmes

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

CONTROLEUR DE DOMAINE SAMBA

CONTROLEUR DE DOMAINE SAMBA CONTROLEUR DE DOMAINE SAMBA Nous allons voir à travers ce tutoriel, la mise en place d un contrôleur de domaine sous linux, SAMBA. Ce tutoriel a été testé sur une distribution Debian version 7.2 1. Introduction

Plus en détail

Contrôleur de domaine Samba

Contrôleur de domaine Samba Par Contrôleur de domaine Samba Nous allons voir ici, comment mettre en place un contrôleur de domaine principal sous linux, avec samba. 1. Introduction Le but de ce tutoriel est de : créer un contrôleur

Plus en détail

SAMBA Protocole SaMBa

SAMBA Protocole SaMBa SAMBA Protocole SaMBa aptitude install samba Installation de Samba Le fichier "SMB.CONF" La configuration de samba se fait par un unique fichier : smb.conf dans /etc/samba. C est un fichier de type texte

Plus en détail

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0 M I N I - P K I SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (3): Mini PKI Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael 1 4-1 6 r u e v o l t a i r e 9 4 2 3 0 K r e m l i n B i c ê t r e

Plus en détail

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5 L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5. Préparation à l installation de MS Proxy server Ce logiciel

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

Fiche synthétique PROXY / REVERSE PROXY

Fiche synthétique PROXY / REVERSE PROXY Fiche synthétique PROXY / REVERSE PROXY Un Proxy est un serveur mandataire (quelqu un à qui on délègue une tâche), (passerelle entre le réseau intérieur et l extérieur -Proxy http : relayer les demandes

Plus en détail

Authentification unifiée Unix/Windows

Authentification unifiée Unix/Windows Rencontres Mathrice - Octobre 2008 Plan Contexte du laboratoire 1 Contexte du laboratoire 2 3 4 Le laboratoire Contexte du laboratoire Laboratoire de Mathématiques et Applications Unité mixte de recherche

Plus en détail

Installation de SAMBA :

Installation de SAMBA : Description : Installation d un serveur SAMBA pour station 98 et 2000 Auteur : Nicolas AGIUS Date : 03/2003 Notes : Exemples pris sur RedHat 7.3 Contexte : Serveur de fichiers et d authentification pour

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache.

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache. Projet Serveur Web I. Contexte II. Définitions On appelle serveur Web aussi bien le matériel informatique que le logiciel, qui joue le rôle de serveur informatique sur un réseau local ou sur le World Wide

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE Comment déployer l'active Directory sur Windows Server 2008 R2 Microsoft France Division DPE 1 Table des matières Présentation... 3 Objectifs... 3 Pré requis... 3 Introduction à l Active Directory... 4

Plus en détail

Comment déployer l'active Directory sur Windows Server 2008 R2

Comment déployer l'active Directory sur Windows Server 2008 R2 ENSAT 2014-2015 Le 29 septembre 2014 Administration Système : Active Directory Génie Informatique 2 ème année cycle ingénieur Comment déployer l'active Directory sur Windows Server 2008 R2 Département

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail

Ch4 Interconnexion des postes dans un Lan Ethernet : protocoles des couches 3 à 7 du modèle OSI Dernière maj : lundi 2 avril 2007

Ch4 Interconnexion des postes dans un Lan Ethernet : protocoles des couches 3 à 7 du modèle OSI Dernière maj : lundi 2 avril 2007 Ch4 Interconnexion des postes dans un Lan Ethernet : protocoles des couches 3 à 7 du modèle OSI Dernière maj : lundi 2 avril 2007 I. RAPPEL : ADRESSAGE PHYSIQUE : (OSI 2)... 1 A. L ADRESSAGE DANS UN RESEAU

Plus en détail

Configurer SAMBA Server sur DREAM

Configurer SAMBA Server sur DREAM www.sandbox-team.be Par doume59249 Configurer SAMBA Server sur DREAM 1/5 Mise en place d un serveur SAMBA sur Dreambox Objectif : En installant un serveur SAMBA sur votre boîtier Dreambox, cela vous permet

Plus en détail

IPS-Firewalls NETASQ SPNEGO

IPS-Firewalls NETASQ SPNEGO IPS-Firewalls NETASQ SPNEGO Introduction Un utilisateur doit gérer de nombreux mots de passe. Un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et n mots de passe

Plus en détail

I. Présentation du serveur Samba

I. Présentation du serveur Samba Introduction D un point de vue général, un contrôleur de domaine est grand chef sur un réseau. C'est le serveur auquel tous les clients se réfèrent pour les authentifications d'utilisateurs, de machines,...

Plus en détail

Installation du proxy squid + squidguard grâce à pfsense

Installation du proxy squid + squidguard grâce à pfsense Installation du proxy squid + squidguard grâce à pfsense Après avoir récupéré votre matériel l installation peut commencer. A noter qu il est impossible d'installer Pfsense sur un disque contenant une

Plus en détail

Serveur Linux : PROXY

Serveur Linux : PROXY Mise en place d un serveur proxy sous Linux Bouron Dimitri 10/06/2014 Ce document sert de démonstration concise pour l installation, la configuration d un serveur proxy sous Linux utilisant squid3. Table

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Installation Windows 2000 Server

Installation Windows 2000 Server Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments

Plus en détail

WIFI sécurisé en entreprise (sur un Active Directory 2008)

WIFI sécurisé en entreprise (sur un Active Directory 2008) Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de

Plus en détail

Serveur RADIUS Point d accès Wifi

Serveur RADIUS Point d accès Wifi Serveur RADIUS Point d accès Wifi I. Pré- requis! Serveur Windows 2008 R2 avec les rôles suivant installé : - - - Service de domaine Active directory (adresse IP fixe) Service de certification Active Directory

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Installation de Windows XP www.ofppt.info

Installation de Windows XP www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail XP DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC XP Sommaire 1 Introduction... 2 2 Vérification de la

Plus en détail

Windows 2003 server. Active Directory. Rudolf Pareti. Version 1.0

Windows 2003 server. Active Directory. Rudolf Pareti. Version 1.0 Windows 2003 server Active Directory Rudolf Pareti Version 1.0 Domaine Windows Définitions Contrôleur de domaine Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de

Plus en détail

1/ Introduction. 2/ Schéma du réseau

1/ Introduction. 2/ Schéma du réseau 1/ Introduction FWBuilder est un logiciel-libre multi-plateforme qui permet de créer ses propres pare-feux et les utiliser sur différents SE ou sur du matériel informatique. Objectif : Créer un pare-feu

Plus en détail

Migration NT4 vers Windows 2003 Server

Migration NT4 vers Windows 2003 Server Migration NT4 vers Windows 2003 Server Networking Intelligence Agency 07 janvier 2007-1 - 1. INTRODUCTION...- 3-2. DEFINITION...- 4-2.1. ANALYSE DE L EXISTANT... - 4-2.2. OBJECTIFS DE LA MIGRATION... -

Plus en détail

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Active Directory sous Windows Server SAHIN Ibrahim BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Sommaire I - Introduction... 3 1) Systèmes d exploitation utilisés... 3 2) Objectifs...

Plus en détail

WINDOWS SERVER 2003 ADMINISTRATION A DISTANCE

WINDOWS SERVER 2003 ADMINISTRATION A DISTANCE 1. Introduction WINDOWS SERVER 2003 ADMINISTRATION A DISTANCE En règle générale, les administrateurs ne travaillent pas en salle serveurs. Et cette dernière peut se trouver n'importe où dans le bâtiment.

Plus en détail

Présentation / Installation / Configuration d un serveur MS Windows NT 4.0. Travail réalisé en cours et lors de séance en autonomie.

Présentation / Installation / Configuration d un serveur MS Windows NT 4.0. Travail réalisé en cours et lors de séance en autonomie. Intitulé : Présentation / Installation / Configuration d un serveur MS Windows NT 4.0 Cadre : Travail réalisé en cours et lors de séance en autonomie. Conditions de réalisation : Ce travail à été réalisé

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D.

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. 2013 ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. Table des matières 1 Rôles... 3 2 Organisation... 3 3 TP1 : Configurer les règles de pare-feu... 6 4 Le proxy cache... 7 5 Demander

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Master d'informatique. Réseaux. Proxies et filtrage applicatif

Master d'informatique. Réseaux. Proxies et filtrage applicatif Master d'informatique Réseaux Proxies et filtrage applicatif Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/radis Proxy applicatif Un proxy, ou serveur mandataire, relaie

Plus en détail

Windows Server 2012 R2 Administration - Préparation à la certification MCSA - Examen 70-411

Windows Server 2012 R2 Administration - Préparation à la certification MCSA - Examen 70-411 Chapitre 1 Introduction A. Organisation des certifications 12 B. Comment est organisé ce livre 12 C. Compétences testées lors de l'examen 70-411 14 1. L'examen de certification 14 2. Préparation de l'examen

Plus en détail

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations? SQUID I- Squid, c'est quoi? Squid est un serveur proxy-cache, c est à dire, qu il stocke les données fréquemment consultées sur les pages Web (notamment les images) sur un serveur cache du réseau local

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Compte-rendu GSB. I- Configuration des différents serveurs. 1. Serveur Web. Tout d abord, il faut installer différents paquets : - Apache2 - PHP5

Compte-rendu GSB. I- Configuration des différents serveurs. 1. Serveur Web. Tout d abord, il faut installer différents paquets : - Apache2 - PHP5 Compte-rendu GSB I- Configuration des différents serveurs 1. Serveur Web Tout d abord, il faut installer différents paquets : - Apache2 - PHP5 - Proftpd - Phpmyadmin Apres l'installation du service apache2

Plus en détail

Windows Server 2012 R2 Administration

Windows Server 2012 R2 Administration Généralités 1. Le gestionnaire de serveur 11 1.1 Création d un groupe de serveurs 19 1.2 Installation d un rôle à distance 21 1.3 Suppression d un groupe de serveurs 22 2. Serveur en mode installation

Plus en détail

Linux Party 28/01/2001 Samba version 2.0.7

Linux Party 28/01/2001 Samba version 2.0.7 1.Fonctionnement du protocole SMB...3 1.1.Qu est ce que SMB...3 1.2.L évolution du SMB...3 1.3.Clients et serveurs SMB disponibles...3 2.Utilisation du protocole SMB...4 2.1.La sécurité du SMB...4 2.2.Notions

Plus en détail

RAPPORT DE STAGE. STAGIAIRE : Franck FALCHI

RAPPORT DE STAGE. STAGIAIRE : Franck FALCHI RAPPORT DE STAGE STAGIAIRE : Franck FALCHI Professeur encadrant : Georges ESQUIROL Tuteur de stage : Hervé FAURE Lieu : Entente pour la forêt Méditerranéenne BTS SIO 2012-2014 - Lycée Théodore Aubanel

Plus en détail

Administration d ISA Server 2000 (Proxy et Firewall) :

Administration d ISA Server 2000 (Proxy et Firewall) : Compte rendu d'activité Nature de l'activité : Administration d ISA Server 2000 (Proxy et Firewall) : Contexte : Dans le cadre de la sécurisation d un réseau informatique, on souhaite mettre en place une

Plus en détail

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS Journée Josy/PLUME Outils logiciels libres utiles à tout ASR SAMBA Maurice Libes Centre d'océanologie de Marseille UMS 2196 CNRS Plan - Présentation de Samba Contexte d'utilisation Laboratoire Objectifs,

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

EXAMEN DE SERVICES RESEAUX HEBERGEMENT MUTUALISE SECURISE

EXAMEN DE SERVICES RESEAUX HEBERGEMENT MUTUALISE SECURISE EXAMEN DE SERVICES RESEAUX HEBERGEMENT MUTUALISE SECURISE Serveur DHCP Serveur DNS Serveur Web Apache Module SSL Travail réalisé par : Professeur chargé : Gloria YAKETE Mr Massamba LO Master 2 Réseaux

Plus en détail

Installation d'un serveur FTP géré par une base de données MySQL

Installation d'un serveur FTP géré par une base de données MySQL BTS INFORMATIQUE DE GESTION Option Administrateur de réseaux développement d applications COMPTE-RENDU D ACTIVITE ACTIVITE N 2 Nom et Prénom : Casanova Grégory Identification (objectif) de l activité Installation

Plus en détail

Sécurité des applications web

Sécurité des applications web Sécurité des applications web Module 03 Sécurité des applications Web Campus-Booster ID : 697 www.supinfo.com Copyright SUPINFO. All rights reserved Sécurité des applications web Votre formateur Formation

Plus en détail

COMMUNICATION Inter-OS

COMMUNICATION Inter-OS COMMUNICATION Inter-OS Pour ce TP, nous avons besoin de: PuTTY MobaSSH (à installer) TinyWeb Xming XEYES ou autre (coté Linux : apt-get install xeyes) Créer un utilisateur de type Administrateur -PuTTY,

Plus en détail

Retour d expérience sur l utilisation de Kerberos à l INRIA

Retour d expérience sur l utilisation de Kerberos à l INRIA INRIA - DSI Journées Réseau 2011 Plan 1 2 3 4 Plan 1 2 3 4 Intégration LDAP Composants Heimdal OpenLDAP smbk5pwd Gestion mot de passe synchronisation au changement de mot de passe opération spécifique

Plus en détail

Sécurité SI. Authentification Centralisée LDAP / Radius. Sujet

Sécurité SI. Authentification Centralisée LDAP / Radius. Sujet EPITA Option SRS : Système Réseau Sécurité Matière : Professeur : Sébastien BOMBAL Version : 1.0 Table des matières 1. ORGANISATION 1 Mode de rendu 1 Informations complémentaires 1 2. SUJET 2 Maquette

Plus en détail

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS

installation et configuration de systèmes TR ACADÉMIE D ORLÉANS-TOURS LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONFIGURATION D UN SERVEUR TP N 4 LINUX A DISTANCE ACADÉMIE D ORLÉANS-TOURS NOM : CI 11 : INSTALLATION ET CONFIGURATION DE SYSTEMES TR OBJECTIFS

Plus en détail

CS REMOTE CARE - WEBDAV

CS REMOTE CARE - WEBDAV CS REMOTE CARE - WEBDAV Configuration des serveurs archange KONICA MINOLTA BUSINESS SOLUTIONS FRANCE Date Version Marque de révision Rédaction 18/10/2011 1 - Claude GÉRÉMIE Nicolas AUBLIN Sommaire 1) PRINCIPE

Plus en détail

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition] Introduction 1. Avant-propos 13 1.1 Un peu d'histoire... 13 1.2... et d'avenir 14 1.3 Qui bénéficie des stratégies de groupe? 15 2. Introduction 16 3. Conseils d'utilisation du livre 17 3.1 L'environnement

Plus en détail

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY De NT à Windows Server Issus de la branche NT de Windows (après Windows 98) 2 familles de produits (Workstation,

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Ce document permet de mettre en oeuvre des stratégies de sécurité sous Samba 2.2.8 pour des clients de type Windows 2000.

Ce document permet de mettre en oeuvre des stratégies de sécurité sous Samba 2.2.8 pour des clients de type Windows 2000. 1. Introduction Contenu de cette section Ce document permet de mettre en oeuvre des stratégies de sécurité sous Samba 2.2.8 pour des clients de type Windows 2000. 1.1 Note de copyright Ce document est

Plus en détail

Spécialisation. Les métiers Les titulaires de cette formation peuvent prétendre à tenir les postes de :

Spécialisation. Les métiers Les titulaires de cette formation peuvent prétendre à tenir les postes de : Programme détaillé Objectifs de la formation Spécialisation Administrateur Réseaux et L échange d informations est devenu une nécessité absolue pour toutes les entreprises, quel que soit le secteur d activité.

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence : 9016809-01 Logiciel de connexion sécurisée M2Me_Secure NOTICE D'UTILISATION Document référence : 9016809-01 Le logiciel M2Me_Secure est édité par ETIC TELECOMMUNICATIONS 13 Chemin du vieux chêne 38240 MEYLAN FRANCE

Plus en détail

PROXY SQUID-SQARD. procédure

PROXY SQUID-SQARD. procédure PROXY SQUID-SQARD procédure Tableau d évolution Version Date Description Rédacteur Approbateur 0.0 08/12/2014 Ecriture du document Thierry MARTINS 1.0 05/02/2015 1 ère version Thierry MARTINS Guide de

Plus en détail