SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

Dimension: px
Commencer à balayer dès la page:

Download "SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0"

Transcription

1 K E R B E R O S V S N T L M SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (2): Authentification centralisée et SSO Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael r u e v o l t a i r e K r e m l i n B i c ê t r e - S R S

2 Introduction Objectif Le dossier suivant a pour objectif de mise en place de la sécurisation de la navigation en centrale. Il s'agit de réaliser un dossier d'étude sécurité autour du proxy SQUID (www.squid-cache.org) avec un certain nombre de briques sécurisées complémentaires. 1. TECHNOLOGIES SQUID Squid est un logiciel open source qui fait partie de ses logiciels dit mandataires, dont l objectif est de fournir un service de relai des demandes utilisateurs. Les fonctionnalités de SQUID peuvent permettent d ajouter dans une infrastructure différentes briques de contrôle, sécurité et optimisation. On utilise principalement SQUID en tant que serveur proxy (mise en cache du contenu fréquemment demandés) mais on peut utiliser les fonctionnalités de filtrage ou de journalisation dans le cadre d une politique de sécurité. SQUID est multi plateforme et supporte de nombreux protocoles (HTTP, HTTPS, FTP, requêtes DNS) NTLM NTLM est un protocole d'authentification principalement utilisé dans les protocoles Microsoft, on l utilise principalement pour fournir un mécanisme d identification unique. NTLM repose sur un mécanisme de challenge, mais ne traverse pas les pare-feu (caractéristiques à prendre en compte dans les choix d infrastructures) Kerberos Kerberos est également un protocole d authentification issu du MIT, on l utilise également pour une identification unique mais son système repose sur un mécanisme d émission de ticket valable dans le temps (en heure) qui identifie le client au yeux du serveur. 2. PROJET L objectif est de fournir à une PME, des briques matériels et logiciels afin de contrôler l'accès à Internet des utilisateurs des ressources informatique de l entreprise. Le parc est déjà constitué de plusieurs briques technique tels : Un serveur DNS Un serveur DHCP Un serveur Active Directory Un firewall L objectif du projet est de comparer 2 technologies d authentification unique afin de déterminer une solution pour cette PME et d établir une maquette constitué d un mandataire pour l'accès Internet. Le serveur mandataire aura la charge de journalisation et de contrôle du contenu distribué aux utilisateurs. 1

3 3. CRITIQUES Le fait de rationaliser les accès internet dans une PME est un bon choix car : D un point de vue législatif, l entreprise est responsable juridiquement des activités de ses employés, pour se justifier en cas de problèmes elle se doit de contrôler les accès quelle met à disposition de ses employés et pouvoir associer une requête à un utilisateur. D un point de vue de l utilisation des ressources informatique, l utilisation abusive du matériel fournit par l entreprise peut engendrer des ralentissements voir des pannes du système d information de l entreprise, d où une perte financière immédiate. Contrôler les accès permettra à l entreprise d analyser les abus de ressources et d en bloquer l'utilisation. Enfin d un point de vue productivité contrôler les accès au site web peut augmenter la productivité des employés de la société. Toutefois, la mise en place d un système intelligent (capable d établir des règles dynamiquement) qui pourrait autoriser selon l heure, le jour, l utilisateur certains accès peut améliorer l acceptation de la solution. Un proxy applicatif est la brique de base liée au besoin de la PME, l utilisation de SQUID grâce à ses nombreux modules et options de configuration permet de proposer à moindre coût les services demandés. Les technologies de SSO apporterons aux utilisateurs du SI, un confort d utilisation et permettrons d améliorer la sécurité sur certaines vulnérabilité. Les choix techniques de solution d authentification centralisée unique imposent des avantages/inconvénients spécifiques au modèle du fonctionnement de la technologie. L objectif est de comparer deux méthodes (NTLM, Kerberos) basée sur une authentification par challenge et d en présenter le fonctionnement. 2

4 Mise en place du proxy SQUID Squid est un proxy permettant d utiliser plusieurs protocoles : http, https, ftp, Gopher, il permet de mettre en caches les pages les plus fréquemment utilisées et d accélérer ainsi l accès web. INSTALLATION DE SQUID On installe tous d abord le logiciel (en fonction de sa distribution) $ aptitude install squid (pour une debian). Pour activer le support de certaines fonctionnalités on peut passer par une phase de recompilation des sources (ajout d option d authentification et d activation de certains modules) CONFIGURATION DE SQUID On configure le fichier /etc/squid/squid.conf (cf Annexe Squid) 2 objectifs doivent être mis en avant lors de la configuration de notre proxy : Sécuriser au maximum notre proxy en autorisant seulement les personnes habilités à accéder à certains sites web. Optimiser le cache de notre proxy afin d avoir un accès internet plus rapide. La sécurité Autorisation au proxy par l adresse source de l utilisateur On bloque l accès au proxy à toutes les adresses inconnues. On ouvre le proxy seulement aux machines autorisés à avoir un accès web. Authentification des utilisateurs du proxy Par défaut, on bloque l accès au proxy à tout utilisateur. Ce n est pas un proxy transparent. Seules les personnes de l entreprise habilités à utiliser le proxy sont autorisées. Filtrage des protocoles disponibles Squid permet l utilisation de nombreux protocoles différents. L entreprise recherche juste à fournir à ses employés un accès au protocole http et https. On va donc autoriser seulement ces protocoles. Protection contre des attaques externes On limite la taille des requêtes pour restreindre les risques d'attaques de type "refus de service". On configure notre proxy Squid afin d empêcher une personne mal intentionné ne puisses exploiter notre proxy à la manière d'un tunnel pour requérir à des services interdits. La performance On augmente la taille du cache maximum utilisé en mémoire vive pour améliorer l efficacité de notre cache et ainsi de notre accès web. Test de Squid Après configuration de notre proxy Squid, nous pouvons procéder à un test d execution : Squid z 3

5 SCRIPT DE CONNEXION A L OUVERTURE DE SESSION Pour améliorer l expérience utilisateur ainsi que l administration des postes, l administrateur de l active directory peut mettre en place un script d ouverture de session afin de configurer le poste pour l utilisation des différents services de l entreprise. Sur le contrôleur de domaine du réseau d'entreprise se trouve un répertoire système C:\WINDOWS\SYSVOL\sysvol\Nom_du_domaine\SCRIPTS. L'accès aux données de ce dossier se fait grâce aux systèmes de partage de fichier réseaux (droit de lecture) et permet aux utilisateurs d accéder aux scripts de configuration et éventuellement de montage réseaux. Dans l'outil d'administration "Utilisateurs et ordinateurs du domaine" vous pouvez éditer les profils utilisateur. Dans l'onglet "Profil", un champ permet de renseigner un script d'ouverture de session "Logon script". Le script de connexion est généralement un fichier bat (langage de script Microsoft) qui fournit une interface type script shell. Afin de faciliter les opérations de configuration l administrateur peut utiliser des langages de scripts avancer tels VBS (Visual Basic Script) qui fournit de nombreuses API de contrôle. L administrateur a également la possibilité d utiliser le langage de script Kix développé par un ingénieur Microsoft diffuser dans le ressource kit NT4 et adapter aux taches d administration de service entreprise. Ex de script kix à déployer dans l infrastructure : CLS SELECT CASE INGROUP("staff") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","1","REG_DWORD") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyServer"," :3128","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyOverride","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main","Start Page","about:blank","REG_SZ") CASE DEFAULT WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","0","REG_DWORD") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyServer","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyOverride","","REG_SZ") WriteValue("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main","Start Page","about:blank","REG_SZ") ENDSELECT 4

6 Mise en place d ACLs Solution de filtrage Pour mettre en place notre solution de filtrage nous pouvons utilisé plusieurs solutions : - Des règles de filtrage au niveau du fichier de configuration - Le module squid_guard (qui fonctionne sur un système de blacklist) Tous d abord dans notre configuration nous allons partir sur une stratégie du tous interdit c est à dire qu on ajoute une règle : http_access deny all Ensuite nous pouvons définir des acl afin de d autoriser des ports, des sites (unique, liste, expression régulière) sur le modèle suivant : acl name type (string "filename") [string2] [string3] ["filename2"] Les acls peuvent être du type suivant : * Source/Destination adresse IP * Source/Destination Domaine * Expression Régulière liée à un domaine * Mots contenu dans une url * Mots contenu dans un domaine * Date/Jour courant * Port de destination * Protocole (FTP, HTTP, SSL) * Méthode (HTTP GET ou HTTP POST) * Type de Browser * Nom d utilisateur (Protocole Ident) * Numéro d AS (Autonomous System) * Login/Mot de passe * SNMP Enfin on autorise l acl avec http_access allow name_acl Dans notre contexte on pourra donc utiliser les règles suivantes : acl pme_rules url_regex /etc/squid/pme_squid_white_list http_access allow pme_rules acl pme_gouv srcdomain.gouv.fr acl allow pme_gouv 5

7 Authentification utilisateurs Scénario 1 : Full Microsoft NTLM Dans ce premier cas nous allons mettre en oeuvre une authentification Full Microsoft NTLM, ce scénario respecte le schéma suivant : Pour mettre en place cette solution nous devrons passer par plusieurs phases d installation et configuration. Dans la suite de la manipulation nous supposerons que le serveur Active Directory est opérationnel et configuré, ainsi que les postes s identifient correctement sur le domaine. Pour assurer la connexion au domaine les logiciels suivant doivent être installés sur le serveur proxy : Winbind (qui permet de récupérer les utilisateurs et les groupes du contrôleur de domaine) Samba (qui permet d intégrer le domaine) L outil ntml_auth qui se charge d interroger le contrôleur de domaine afin d établir une authentification (selon la distribution ce logiciel peut être installé avec squid) 6

8 Configuration samba Voici les points principales du smb.conf : [global]... security = domain #Type de sécurité... winbind separator = / encrypt passwords = yes winbind cache time = 15 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes idmap uid = #liaison utilisateur AD <-> Utilisateur unix idmap gid = Pour assurer le fonctionnement de la connexion au domaine il faut s assurer que la résolution du nom de domaine et du contrôleur est assurée (par le serveur DNS ou par le fichier resolv.conf et hosts) Ensuite vous pouvez tester la connexion au domaines par la commande suivante : #net join -U Administrateur Une fois connecté vous pouvez tester les commandes suivantes : wbinfo -g (affiche les groupes du domaine), wbinfo -u (affiche les utilisateurs du domaine), wbinfo -t (teste la connexion) Si les étapes précédentes ont réussis, on passe à l étape suivante configuration de squid, on teste tous d abord le module ntlm_auth qui sera l interface entre squid et l active directory (par le protocole NTLM). On exécute ntlm_auth, on tape le login et password d un utilisateur. Si la connexion est correctement effectuée ntlm_auth nous retourne OK pour une connexion correcte et ERR pour un échec. Configuration Squid Voici les points principales du squid.conf : TAG: auth_param auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid AD auth_param basic credentialsttl 2 hours l option --require-membership-of=domainead\\groupead peut rajouter une sécurité pour autoriser uniquement un groupe de l active directory 7

9 TAG: acl acl ntlm proxy_auth REQUIRED TAG: http_access http_access allow ntlm TAG: append_domain append_domain commun.ma-pme.fr On peut rajouter forwarded_for off pour masquer l ip du proxy, cache_effective_group proxy pour les droits des journaux d'accès. On teste la configuration en redémarrant squid : /etc/init.d/squid restart Le serveur une fois démarré est opérationnel. Attention, les droits des différents fichiers peuvent empêcher le bon fonctionnement du proxy (voir les journaux pour plus d information) en particulier winbind_privileged. Test sur le poste client Le client Windows XP lors d une requête HTTP établit une connexion avec le serveur mandataire, Internet Explorer 7 permet d assurer une authentification intégrée c est à dire une séquence d authentification basée sur les éléments de session. 8

10 Dans notre cas, Internet Explorer va envoyer automatiquement un challenge Kerberos ou NTLM (celui qui nous intéressent) avec les données récupérées lors de la séquence d authentification sur le contrôleur de domaine, en cas d échec une authentification basic sera déclenchée. Par ce mécanisme l authentification est transparente pour l utilisateur. Grâce à la configuration du Squid les accès du client sont enregistrés (avec le login sur l AD) dans le journal de log, ainsi que contrôlés grâce à la liste de filtrage. Analyse du journal squid & échanges réseaux Une fois la solution mis en place on peut analyser le fichier access.log : TCP_DENIED/ GET - NONE/- text/html TCP_MISS/ GET jeremy.denoun DIRECT/ text/html TCP_MISS/ GET cyril.de-daniloff DIRECT/ text/html TCP_DENIED/ GET michael.bettan NONE/ text/html On remarque donc que toutes les transactions sont journalisées et répondent donc au problématique de l entreprise. ATTENTION : La mise en place cette solution en entreprise, impose que le personnel soit informé car il permet de tracer un utilisateur, savoir ce qu il a visité. (Voir le site de la CNIL) Ces fichiers peuvent donc faire l objet d une déclaration préalable CNIL. Certains outils permettent d analyser ces logs et de construire des statistiques d accès pour voir quels sont les ressources les plus souvent sollicitées, le temps passé sur Internet par utilisateurs, Analyse du trafic réseau Pour vérifier les communications entre les différentes machines ont analyse le trafic avec l utilitaire tcpdump. 07:18: IP > commun.ma-pme.fr.microsoft-ds: P : (446) ack win 3812 <nop,nop,timestamp > 07:18: IP commun.ma-pme.fr.microsoft-ds > : P 1:493(492) ack 446 win <nop,nop,timestamp > 07:18: IP > commun.ma-pme.fr.microsoft-ds:. ack 493 win 3946 <nop,nop,timestamp > En analysant la trame on remarque un chiffrage du paquet et l établissement du challenge d authentification. On signalera que le nombre de trame échangé est assez faible et permettra une montée en charge correcte. 9

11 Scénario 2 : Kerberos INTRODUCTION Le protocole Kerberos permet la mise en place de serveurs d authentification. Il permet à des utilisateurs d accéder à des services réseau à partir de la même ouverture de session. Le service Kerberos (appellé KDC) se trouve dans chaque contrôleur de domaine stockant toutes les informations relatives aux comptes. Pour établir ce scénario on a utilisé MIT Kerberos afin de mettre en place un système full Kerberos. srv2003class.commun.ma-pme.fr <=> squid.cummun.ma-pme.fr <=> client1.commun.ma-pme.fr <=> FONCTIONNEMENT DU SCÉNARIO : Lorsque client1.ma-pme.fr se connecte à son poste de travail (par l active directory). Son identifiant est envoyé au KDC (service kerberos) du serveur srv2003class.commun.ma-pme.fr comme une demande de TGT (Ticket Granting Ticket). Le KDC (service kerberos), srv2003class.commun.ma-pme.fr, vérifie que l'identifiant existe et crée un ticket TGT en le cryptant avec la clé du client1 puis l envoie à client1.commun.ma-pme.fr. client1.commun.ma-pme.fr décrypte le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). Lorsque le client1.commun.ma-pme.fr veut accéder au serveur proxy SQUID de squid.commun.ma-pme.fr le ticket TGT demande un ticket au TGS (Ticket Granting Service, service d'émission de tickets) fonctionnant sur le KDC du serveur srv2003class.commun.ma-pme.fr LES ÉLÉMENTS DU SCÉNARIO : COMMUN.MA-PME.FR est le domaine Windows et le Kerberos-realm que nous allons utiliser pour l authentification. srv2003class.commun.ma-pme.fr est le contrôleur de domaine (DC) et l active directory du domaine COMMUN.MA-PME.FR. Il comporte un KDC (Key Distribution Center) du realm COMMUN.MA-PME.FR intégré au contrôleur de domaine. squid.commun.ma-pme.fr est notre serveur proxy (SQUID) sous debian etch qui comporte squid, squid_kerb_auth et un client kerberos. client1.commun.ma-pme.fr est notre client Widows XP SP2 IE7 membre du domaine COMMUN.MA-PME.FR. Nous voulons qu Internet Explorer s authentifie via le ticket kerberos sans aucune authentification manuelle (login/password). 10

12 MISE EN PLACE DU SERVEUR 2003 (SRV2003CLASS.COMMUN.MA-PME.FR) Nous avons effectués ces tâches dans les précédentes parties : Installation d un contrôleur de domaine (DC) appelé COMMUN.MA-PME.FR. Celui comportait de base un service kerberos (KDC) Installation d un serveur DNS Installation d un serveur DHCP CONFIGURATION DU SERVEUR DNS On a configuré notre serveur dns du serveur Windows 2003 pour que l host squid.commun.ma-pme.fr pointe sur , ainsi que son reverse. squid.commun.ma-pme.fr <-> Cette étape est primordiale pour que l authentification par keberos fonctionne. CRÉATION D UN UTILISATEUR Afin que le client Windows XP SP2 (client1.commun.ma-pme.fr) puisse avoir accès au service proxy grâce au protocole Kerberos : On crée un compte mik dans le domaine Windows COMMUN.MA-PME.FR GÉNÉRATION DE LA KEYTAB ET MAPPING PRINCIPAL/UTILISATEUR On installe Support tool du CD Windows 2003 afin d obtenir l outil Ktpass.exe 1. On utilise l outil Ktpass.exe pour mapper le compte mik au service principal et générer la keytab squid.keytab.mik 11

13 2. On vérifie à l aide de l outil setspn.exe le bon mapping principal/utilisateur On voit bien que le principal HTTP/squid.commun.ma-pme.fr est mappé à l utilisateur mik MISE EN PLACE DU PROXY SQUID (SQUID.COMMUN.MA-PME.FR) Le but de cette partie est de configurer le serveur proxy squid (squid.commun.ma-pme.fr) pour fonctionner avec le protocole kerberos. INSTALLATION DU SERVEUR SQUID L installation du serveur squid est plus complexe que dans les parties précédentes. En effet, afin d installer le module d authentification kerberos pour squid (squid_kerb_auth), cela nécessite la compilation et l installation manuelle des sources de SQUID. Par défaut, le package debian ne comporte pas squid_kerb_auth On recompile squid avec des paramètres spécifiques. $tar -zxvf squid-2.6.stable18.tar.gz && cd squid-2.6.stable18 $./configure enable-auth= basic negotiate -enable-negotiate-authhelpers="squid_kerb_auth" $make && make install $useradd -s /bin/false -r squid $usermod -d /var/spool/squid squid $mkdir -p /var/log/squid $mkdir -p /var/spool/squid $mkdir -p /etc/squid $chown squid.squid /var/spool/squid -R $chown squid.squid /var/log/squid -R $chown squid.squid /etc/squid -R CONFIGURATION DU SERVEUR SQUID On a reprit la configuration de base de SQUID, définit dans les précédentes parties. On a rajouté ces lignes : # Kerberos auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth -d -s HTTP/squid.commun.ma-pme.fr auth_param negotiate children 10 auth_param negotiate keep_alive on acl Authenticated proxy_auth REQUIRED http_access allow Authenticated # Interdire tout le monde http_access deny all Dans ces lignes, on crée une ACL (Authenticated) qui oblige l authentification par kerberos utilisant la librairie executable squid_kerb_auth. L option d nous permet de passer en mode full debug et de voir les transactions au niveau de cache.log L option s permet de préciser le principal 12

14 INSTALLATION DE KERBEROS CLIENT $ aptitude install krb5-config krb5-pkinit krb5-user CONFIGURATION DE KERBEROS CLIENT On copie le keytab généré sur le serveur 2003 sur notre serveur squid On configure Kerberos client par le fichier de config /etc/krb5.conf [libdefaults] default_realm = COMMUN.MA-PME.FR [realms] COMMUN.MA-PME.FR = { kdc = srv2003class } On exporte les deux variables d environnements suivantes : On teste que le protocole kerberos fonctionne : 13

15 MISE EN PLACE DU CLIENT (CLIENT1.COMMUN.MA-PME.FR) CONFIGURATION DE LA CARTE RÉSEAU Adresse IP: Serveur DNS: (notre serveur 2003) TEST D UN RESOLVE DNS DU SERVEUR SQUID On teste un resolve dns du serveur proxy squid afin de vérifier de la bonne configuration du dns. Cette étape est importante pour la bonne fonctionnalité du protocole Kerberos, étant donné que le service principal est régler grâce l host. 14

16 CONFIGURATION DE INTERNET EXPLORER On règle le proxy : Adresse: squid.commun.ma-pme.fr Port: 3128 TEST DU PROTOCOLE KERBEROS Le protocole Kerberos est mis en place et fonctionne parfaitement : on peut désormais payer nos impôts grâce à notre ticket Kerberos : 15

17 Grâce à l outil KERBTRAY.EXE, on peut voir le ticket sous le client : Sur le serveur SQUID, dans le fichier de log cache.log on peut retrouver les différentes transactions effectué par la squid_kerb_auth 16

18 ANALYSE DU TRAFFIC RÉSEAU TRAFFIC AVEC COMME SOURCE LE CLIENT ( ) tcpdump -XX -s0 -i eth0 src net On reconnaît l authentification negociate : 17

19 TRAFFIC AVEC COMME SOURCE LE SERVEUR SQUID tcpdump -XX -s0 -i eth0 src net Vers le serveur 2003 ( ) 18

20 Vers le client ( ) 19

21 TRAFFIC DU SERVEUR WINDOWS 2003 ( ) Vers le serveur squid On voit transiter le site web demandé du client entre le serveur 2003 et le proxy squid. Tous ses échanges nous montrent que les échanges entre les différents postes : client, serveur AD, serveur Proxy s effectue correctement et correspond à la thérorie CONCLUSION On a réussit à mettre en place une solution SSO, Kerberos, utilisant un service KDC intégré au contrôleur de domaine de notre serveur Windows Cette solution fut assez compliqué à mettre en place mais reste une solution envisageable pour notre pme. L inconvénient majeure est la difficulté de mise en place pour chacune des applications voulant utilisé cette solution SSO. L étape suivante pour améliorer la solution serait de remplacer le service KDC (du contrôleur de domaine) par un serveur extérieure (type MIT ou Heimdal). Cette solution permettrai en cas d indisponibilité du contrôleur de domaine de maintenir l authentification. Cependant cette solution demanderait d installer des outils supplémentaires sur les postes clients. 20

22 Conclusion L utilisation d un système SSO (single Log-On) pour la PME est une solution intéressante. Celui-ci permet d éviter de s authentifier une seule fois qu elles que soient les applications utiliser. Ainsi, ce système simplifie la vie des utilisateurs, employés de la pme, en ne multipliant pas les accès aux applications, car une fois authentifié, on peut lancer toutes les applications sans remettre de mot de passes. Dans ce dossier, nous avons mis en place 2 solutions SSO : KERBEROS et NTLM. KERBEROS nous a permit, grâce à travers un système de ticket, de mettre en place un service SSO. On a pu relevé plusieurs exigences : Sécurité du réseau Selon les versions du serveur Active Directory le chiffrage par défaut est différent, dans notre maquette nous avons réglé notre protocole KERBEROS avec un cryptage RC4, mais on aurait pu régler en cryptage DES. Fiabilité Transparence pour l utilisateur: à l ouverture de session, l utilisateur est authentifier pour toutes les applications utilisant le système SSO KERBEROS Evolutif en terme d architecture Difficulté de mise en place: le système est assez compliqué à mettre en place et nécessite que chaque application gère le protocole kerberos Pour l architecture de la PME, la solution SSO,KERBEROS, peut être une solution convenable. Mais nous avons relevés 2 inconvénients majeures lors de nos tests. La mise en place de ce protocole pour chacune des applications client peut se relever une tâche assez difficile pour l administrateur. D autre part, ce système nous a paru assez lent avec une latence assez marqué du navigateur IE7, ce point reste à vérifier à l aide d indicateurs. NTLM nous a permit de mettre en oeuvre une authentification par challenge, le système d exploitation gère ce type d authentification nativement ce qui en fait un système très simple à mettre en oeuvre du coté client. Sécurité du réseau NTLM est nativement chiffrée mais qui aujourd hui n est plus considéré comme un chiffrement sur. Cependant pour une pme ce niveau de sécurité peut être considéré comme suffisant pour une PME. (Un complément à ce dossier sur la gestion de risque/cout peut être nécessaire pour approfondir le sujet) Fiabilité & Transparence Comme Kerberos, NTLM assure une authentification unique à l adhésion au domaine Evolutif & Montée en charge Le peu de trame réseaux pour l identification peut permettre une montée en charge importante et le support de nouveaux utilisateur. Pour l architecture de la pme, la solution NTLM est une bonne solution car facile à mettre en oeuvre et nativement supporté par windows (authentification intégrée) ce qui en fait un choix très intéressant. Selon nous, aujourd hui la meilleur solution semble être basée sur NTLM pour sa simplicité et sa montée en charge, à moyen terme long terme, une solution plus construite et plus ouverte comme Kerberos sera sans doute plus indiqué. 21

23 Bibliographie Source Internet Site officiel Squid : Wiki Squid : Wiki NTLM : Kerberos Technique : ary/en-us/dnsecure/html/http-sso-1.asp Wiki Kerberos : Installation de Kerberos : Activation NTLM v2 : NTLM & Firefox : _identifiant_nt mod_ntlm : Squid : Kix : 22

24 Annexe smb.conf pour NTLM [global] workgroup = PME netbios name = debian server string = Proxy (Samba Server) load printers = no log file = /var/log/samba/log.%m max log size = 500 password server = srv2003class security = domain winbind separator = / encrypt passwords = yes winbind cache time = 15 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes idmap uid = idmap gid = local master = no os level = 233 domain master = no preferred master = no 23

25 squid.conf ############################ # Squid Configuration File # ############################ # Port d'ecoute de SQUID http_port 3128 # Port sur lequel le cache peut être interroge par un cache fils ou voisin, cas d'une hierarchie icp_port 3128 # Ne pas utiliser le cache pour.cgi et? hierarchy_stoplist cgi-bin? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # Taille maximum du cacher en memoire vive cache_mem 20 MB # Interval maximum des objets stockes dans le cache minimum_object_size 0 MB maximum_object_size 15 MB #################################################################### #### ### Dossier du Cache ### On peut definir plusieurs repertoires #### #################################################################### # Repertoire dans lequel le swap de cache s'effectue (1go en Cache) cache_dir ufs /var/spool/squid # Format des logs # on = format standard CLF # off = format de logs de squid emulate_httpd_log off # Duree de la session authentifiee (ici: 2 heures) refresh_pattern ^ftp: % refresh_pattern ^gopher: % 1440 refresh_pattern. 0 20% 4320 #################################################################### ####### ## DNS #################################################################### # Cela d'utiliser dns1 et dsn2 au lieu d'aller chercher ces dns dans le fichier /etc/resolv.conf dns_nameservers # Evitez les longs timeout dns_timeout 2 minutes #################################################################### 24

26 #################################################################### #### ### ACL (Regles d'acces au cache dit access-list) ### On peut definir plusieurs repertoires #### #################################################################### # Liste des acl par defaut -> A conserver acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 # Ces regles évitent qu'un utilisateur mal intentionné n'exploite votre proxy à la maniere d'un tunnel pour requérir des services interdits acl SSL_ports port # https, snews acl Safe_ports port acl CONNECT method CONNECT http_access deny!safe_ports http_access deny CONNECT!SSL_ports #Autoriser tout le monde à utiliser le cache http_access allow all # Autorise les reponses pour tout le monde (par defaut) http_reply_access allow all # Autorise le protocole icp pour tout le monde (par defaut) icp_access allow all coredump_dir /var/spool/squid # Limitez la taille des requêtes pour restreindre les risques d'attaques de type "refus de service". request_header_max_size 10 KB request_body_max_size 64 KB ##### Administration ######## # Nom que renvoi squid lorsqu'il est interroge de l'exterieur visible_hostname proxy.commun.ma-pme.fr 25

Sécurité du Système d Information. Authentification centralisée et SSO

Sécurité du Système d Information. Authentification centralisée et SSO Sécurité du Système d Information Authentification centralisée et SSO Nombres de pages : 14 Version : 1.0 Auteurs : HAMROUNI Makram POISSENOT Thomas ROUX Nicolas Destinataires : BOMBAL Sébastien Remarques

Plus en détail

SQUID DANSGUARDIAN. apt-get install dansguardian clamav-daemon clamav-freshclam

SQUID DANSGUARDIAN. apt-get install dansguardian clamav-daemon clamav-freshclam SQUID apt-get install squid3 Faire la commande suivante pour enlever tous les commentaires : grep -E -v '^(# $)' /etc/squid/squid.conf >> newfichier mv newfichier squid.conf Modifier ce fichier : /etc/squid3/squid.conf

Plus en détail

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA. www.seroo.fr MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA www.seroo.fr TABLE DES MATIERES 1. INSTALLATION DE LINUX ET CONNEXION A INTERNET...4 2. MISE EN PLACE DU SERVEUR PROXY (SQUID)...4

Plus en détail

VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5

VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5 Squid & SquidGuard Sommaire: VERSIONS UTILISEES...2 CONFIGURATION DE SQUID...2 SQUIDGUARD...5 CONFIGURATION...5 INTEGRATION DES BLACK LIST ES...6 INITIALISATION DES BASES...7 Oandreau.free.fr/supports.htm

Plus en détail

Proxy SQUID sous Debian

Proxy SQUID sous Debian Proxy SQUID sous Debian Définition : Un serveur proxy, appelé en français serveur mandataire est une architecture client-serveur qui a pour fonction de relayer des requêtes entre une fonction cliente et

Plus en détail

Mise en place d un proxy Squid avec authentification Active Directory

Mise en place d un proxy Squid avec authentification Active Directory Mise en place d un proxy Squid avec authentification Active Directory Dans ce tutoriel nous allons voire la mise en place d un proxy Squid avec une authentification transparente pour les utilisateurs d

Plus en détail

Installation et Configuration de Squid et SquidGuard sous Debian 7

Installation et Configuration de Squid et SquidGuard sous Debian 7 Installation et Configuration de Squid et SquidGuard sous Debian 7 Table des matières Installation et Configuration de Squid et SquidGuard...1 Squid...2 squid.conf...2 SquidGuard...4 squidguard.conf...4

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007 2008 Proxy Qu'est ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application

Plus en détail

SAMBA UBUNTU SERVER 12.04

SAMBA UBUNTU SERVER 12.04 SAMBA UBUNTU SERVER 12.04 Introduction Le serveur Samba est l'outil privilégié pour installer un réseau LAN (Local Area Network) fonctionnant avec le protocole SMB (Server Message Block). Il est donc possible

Plus en détail

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2 EPITA Option SRS : Système Réseau Sécurité Matière : Professeur : Sébastien BOMBAL Version : 1.0 Table des matières 1 ORGANISATION 1 1.1 Mode de rendu 1 1.2 Informations complémentaires 1 2 SUJET 2 Version

Plus en détail

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés

Zemma Mery BTS SIO SISR. Session 2015. Projets Personnels Encadrés Zemma Mery BTS SIO SISR Session 2015 Projets Personnels Encadrés Fiche de présentation d une situation professionnelle BTS Services informatiques aux organisations Session 2015 E4 Conception et maintenance

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Serveur proxy Squid3 et SquidGuard

Serveur proxy Squid3 et SquidGuard Serveur proxy Squid3 et SquidGuard 1. Prérequis & installation Une adresse fixe le paquet wget, squid3 et squidguard apt-get install wget squid3 squidguard Il faut ensuite créer les répertoires suivants

Plus en détail

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT

Virtualisation d un proxy Squid gérant l authentification depuis Active Directory. EPI - Stagiaire2007 Vivien DIDELOT Virtualisation d un proxy Squid gérant l authentification depuis Active Directory EPI - Stagiaire2007 Vivien DIDELOT Résumé Cette procédure présente la mise en place d un proxy Squid permettant l authentification

Plus en détail

Comment surfer tranquille au bureau

Comment surfer tranquille au bureau Comment surfer tranquille au bureau Version 1.3 1 Contexte...1 2 Attention...2 3 Description de la méthode utilisée: SSH...2 3.1 Explication réseau...2 3.2 Explication logicielle d'un tunnel SSH...3 3.3

Plus en détail

Serveur Mandataire SQUID

Serveur Mandataire SQUID Serveur Mandataire SQUID Compétences Professionnelles Mise en place d un serveur mandataire (proxy SQUID) Mise en place de ressources complémentaires (SQUIDGUARD & SQUIDANALYZER) Analyser des logs afin

Plus en détail

SQUID Configuration et administration d un proxy

SQUID Configuration et administration d un proxy SQUID Configuration et administration d un proxy L'objectif de ce TP est d'étudier la configuration d'un serveur mandataire (appelé "proxy" en anglais) ainsi que le filtrage des accès à travers l'outil

Plus en détail

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Imprimantes et partage réseau sous Samba avec authentification Active Directory Imprimantes et partage réseau sous Samba avec authentification Active Directory Sommaire 1- Pré requis Page 2 2- Configuration réseau Page 3 3- Installation de samba Page 4 à 5 4- Installation de kerberos

Plus en détail

Squid. Olivier Aubert 1/19

Squid. Olivier Aubert 1/19 Squid Olivier Aubert 1/19 Liens http://www.squid-cache.org/ http://squid.visolve.com/ 2/19 Principe Squid : cache web logiciel Fonctionne sur un OS classique (Linux, BSD, Solaris, Windows,...) Logiciel

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Squid Intégrez un proxy à votre réseau d'entreprise

Squid Intégrez un proxy à votre réseau d'entreprise Avant-propos 1. Introduction 7 2. À qui s'adresse ce livre? 8 3. Structure du livre 8 Les principes de base d un serveur cache 1. Pourquoi un serveur mandataire? 11 2. Le principe d'un serveur mandataire-cache

Plus en détail

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P. 2013 - www.coursonline. Proxy filtrant avec Squid et SquidGuard But de cette présentation Présenter le serveur proxy, son utilité et sa mise en œuvre Ce type de serveur est très utilisé en entreprise Il est donc important d en

Plus en détail

Mise en place d un serveur Proxy sous Ubuntu / Debian

Mise en place d un serveur Proxy sous Ubuntu / Debian BTS INFORMATIQUE DE GESTION Option Administrateur Réseaux Benoît VERRON Activité n 1 Mise en place d un serveur Proxy sous Ubuntu / Debian Présentation d un Proxy Un proxy (serveur mandataire) est un serveur

Plus en détail

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE...

DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... Serveur Proxy Sommaire : DEFINITION... 2 EXEMPLE SANS PROXY... 2 EXEMPLE AVEC PROXY... 2 LE REVERSE-PROXY... 2 EXEMPLE AVEC WINGATE... 3 POSTE CLIENT... 8 EXEMPLE AVEC SQUID (SOUS WINDOWS)... 8 POSTE CLIENT...10

Plus en détail

Configurer Squid comme serveur proxy

Configurer Squid comme serveur proxy LinuxFocus article number 235 http://linuxfocus.org Configurer Squid comme serveur proxy Résumé: par D.S. Oberoi L auteur: D.S. Oberoi vit à Jammu, aux Indes et rencontre des problèmes

Plus en détail

RAPPORT DE STAGE. STAGIAIRE : Franck FALCHI

RAPPORT DE STAGE. STAGIAIRE : Franck FALCHI RAPPORT DE STAGE STAGIAIRE : Franck FALCHI Professeur encadrant : Georges ESQUIROL Tuteur de stage : Hervé FAURE Lieu : Entente pour la forêt Méditerranéenne BTS SIO 2012-2014 - Lycée Théodore Aubanel

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

SAMBA Protocole SaMBa

SAMBA Protocole SaMBa SAMBA Protocole SaMBa aptitude install samba Installation de Samba Le fichier "SMB.CONF" La configuration de samba se fait par un unique fichier : smb.conf dans /etc/samba. C est un fichier de type texte

Plus en détail

I. Présentation du serveur Samba

I. Présentation du serveur Samba Introduction D un point de vue général, un contrôleur de domaine est grand chef sur un réseau. C'est le serveur auquel tous les clients se réfèrent pour les authentifications d'utilisateurs, de machines,...

Plus en détail

PROXY SQUID-SQARD. procédure

PROXY SQUID-SQARD. procédure PROXY SQUID-SQARD procédure Tableau d évolution Version Date Description Rédacteur Approbateur 0.0 08/12/2014 Ecriture du document Thierry MARTINS 1.0 05/02/2015 1 ère version Thierry MARTINS Guide de

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

Installation d'un service mandataire (Proxy SQUID) 1

Installation d'un service mandataire (Proxy SQUID) 1 Installation d'un service mandataire (Proxy SQUID) 1 Serveur mandataire et serveur de cache Le serveur mandataire (proxy) est une machine souvent physiquement située entre un réseau et son accès à Internet.

Plus en détail

Kerberos: Linux, Windows et le SSO

Kerberos: Linux, Windows et le SSO Kerberos: Linux, Windows et le SSO Emmanuel.Blindauer @ urs.u-strasbg.fr IUT Robert Schuman Département Informatique JRES 2005 Introduction Problématique Kerberos Windows 2000 Linux et PAM Intégration

Plus en détail

CONTROLEUR DE DOMAINE SAMBA

CONTROLEUR DE DOMAINE SAMBA CONTROLEUR DE DOMAINE SAMBA Nous allons voir à travers ce tutoriel, la mise en place d un contrôleur de domaine sous linux, SAMBA. Ce tutoriel a été testé sur une distribution Debian version 7.2 1. Introduction

Plus en détail

Fiche synthétique PROXY / REVERSE PROXY

Fiche synthétique PROXY / REVERSE PROXY Fiche synthétique PROXY / REVERSE PROXY Un Proxy est un serveur mandataire (quelqu un à qui on délègue une tâche), (passerelle entre le réseau intérieur et l extérieur -Proxy http : relayer les demandes

Plus en détail

Contrôleur de domaine Samba

Contrôleur de domaine Samba Par Contrôleur de domaine Samba Nous allons voir ici, comment mettre en place un contrôleur de domaine principal sous linux, avec samba. 1. Introduction Le but de ce tutoriel est de : créer un contrôleur

Plus en détail

IPS-Firewalls NETASQ SPNEGO

IPS-Firewalls NETASQ SPNEGO IPS-Firewalls NETASQ SPNEGO Introduction Un utilisateur doit gérer de nombreux mots de passe. Un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et n mots de passe

Plus en détail

Solution de filtrage web Libre

Solution de filtrage web Libre Solution de filtrage web Libre SQUID CheminadeJulien SQUID SQUIDGUARD CLAMAV Table of Contents I) Introduction... 3 Présentation des objectifs du projet... 3 Solution proposer... 3 Annonce du plan... 3

Plus en détail

Installation de SAMBA :

Installation de SAMBA : Description : Installation d un serveur SAMBA pour station 98 et 2000 Auteur : Nicolas AGIUS Date : 03/2003 Notes : Exemples pris sur RedHat 7.3 Contexte : Serveur de fichiers et d authentification pour

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise

BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise BTS INFORMATIQUE DE GESTION Administrateur des réseaux locaux d entreprise EPREUVE E5 : PRATIQUE DES TECHNIQUES INFORMATIQUES Identité du candidat : PAPIN Perrine N d inscription : M326070463 ACTIVITE

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes But de cette présentation Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Vous faire découvrir le modèle client-serveur et la création d un contrôleur de domaine sous Linux Ce sont des aspects

Plus en détail

SQUID Contrôlez et accélérez le surf

SQUID Contrôlez et accélérez le surf SQUID Contrôlez et accélérez le surf Association LOLITA Logiciels Libres à Tahiti & ses îles. Présentation de SQUID Proxy libre pour Unix et Linux... Prés entation entièrement réalis é avec des Log iciels

Plus en détail

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY De NT à Windows Server Issus de la branche NT de Windows (après Windows 98) 2 familles de produits (Workstation,

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

9 - Configuration de SQUID.doc. La configuration de Squid se fait sous /etc/squid/squid.conf. A) Par défaut. B) Accès pour notre réseau

9 - Configuration de SQUID.doc. La configuration de Squid se fait sous /etc/squid/squid.conf. A) Par défaut. B) Accès pour notre réseau Page N 1 sur 13 La configuration de Squid se fait sous /etc/squid/squid.conf A) Par défaut Par défaut tous les réseaux sont interdits de navigation sur le web : B) Accès pour notre réseau Pour la partie

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Correction TP Linux et AD

Correction TP Linux et AD Correction TP Linux et AD Phase 1 : Mise en œuvre du réseau Dans mon cas tout est virtualisé avec VMware Workstation y compris le routeur NAT. Voici le plan d adressage retenu : Routeur NAT : IP publique

Plus en détail

Linux Party 28/01/2001 Samba version 2.0.7

Linux Party 28/01/2001 Samba version 2.0.7 1.Fonctionnement du protocole SMB...3 1.1.Qu est ce que SMB...3 1.2.L évolution du SMB...3 1.3.Clients et serveurs SMB disponibles...3 2.Utilisation du protocole SMB...4 2.1.La sécurité du SMB...4 2.2.Notions

Plus en détail

Projet Semestre2-1SISR

Projet Semestre2-1SISR Table des matières 1 Ressources... 2 2 Récupération des sources Samba... 2 3 Préparation du serveur... 2 4 Vérification et Compilation de SAMBA4... 3 5 Préparation du controleur de domaine... 3 6 Test

Plus en détail

Authentification unifiée Unix/Windows

Authentification unifiée Unix/Windows Rencontres Mathrice - Octobre 2008 Plan Contexte du laboratoire 1 Contexte du laboratoire 2 3 4 Le laboratoire Contexte du laboratoire Laboratoire de Mathématiques et Applications Unité mixte de recherche

Plus en détail

AFTEC SIO 2. Christophe BOUHIER Page 1

AFTEC SIO 2. Christophe BOUHIER Page 1 Christophe BOUHIER Page 1 Sommaire : Contexte :... 3 Prérequis pour la mise en place du serveur Proxy... 3 Mise en place du proxy Squid... 3 Configuration du proxy :... 7 Filtrage et blacklistage de certains

Plus en détail

Configurer SAMBA Server sur DREAM

Configurer SAMBA Server sur DREAM www.sandbox-team.be Par doume59249 Configurer SAMBA Server sur DREAM 1/5 Mise en place d un serveur SAMBA sur Dreambox Objectif : En installant un serveur SAMBA sur votre boîtier Dreambox, cela vous permet

Plus en détail

LINUX REMPLAÇANT WINDOWS NT

LINUX REMPLAÇANT WINDOWS NT 189 Cette installation fonctionne chez moi à Veyre. Vous pouvez consulter et télécharger les fichiers à : http://perso.wanadoo.fr/gerard.blanchet/ veyre/ Mais c'est tout à fait adapté à un établissement

Plus en détail

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA Nom : Prénom : Classe et groupe : 1P 3 SEN TRI Télécom & Réseaux Linux Ubuntu Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA 04/11/2010 TP 1. Objectif : Configurer un serveur SAMBA sous Linux

Plus en détail

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG Sommaire Critères de choix d architecture Solution adoptée Serveur radius Configurations Cas des visiteurs portail

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Serveur Linux : PROXY

Serveur Linux : PROXY Mise en place d un serveur proxy sous Linux Bouron Dimitri 10/06/2014 Ce document sert de démonstration concise pour l installation, la configuration d un serveur proxy sous Linux utilisant squid3. Table

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

PARAMETRER SAMBA 2.2

PARAMETRER SAMBA 2.2 PARAMETRER SAMBA 2.2 Configurations requises : Mandrake Linux 9.2 avec Samba 2.2.8 installé (poste avec une IP statique), nommé MDK92, connexion en tant que root. Postes clients Windows 2000 Pro / XP (avec

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

AUTHENTIFICATION MANAGEMENT

AUTHENTIFICATION MANAGEMENT AUTHENTIFICATION MANAGEMENT MANEL KAWEM (RT4) TAYEB BEN ACHOUR (RT3) SAMAR JAMEL (RT4) AMINE CHERIF (RT3) DORRA BOUGHZALA (RT3) YASSINE DAMMAK (RT4) ABIR AKERMI (RT3) Table des matières I. Présentation

Plus en détail

Compte rendu de mise en place de sécurité réseau

Compte rendu de mise en place de sécurité réseau Compte rendu de mise en place de sécurité réseau Hardware/Software : Matériel mis à disposition Station de travail Serveur Switch Cisco 2960 Routeur Cisco 800 Câbles Box Logiciels installé W2k8 Seven XP

Plus en détail

Mise en place d'un contrôleur de domaine Samba3 avec LDAP

Mise en place d'un contrôleur de domaine Samba3 avec LDAP Mise en place d'un contrôleur de domaine Samba3 avec LDAP Damien G. damstux@free.fr Document sous licence GPL Conseils: Utilisez tout le temps le même mot de passe Je joins certains fichiers de configuration:

Plus en détail

Contexte InfoRéseau50. Charles SAINT-LÔ SIO2 Lycée Notre Dame de la Providence Année 2014-2015

Contexte InfoRéseau50. Charles SAINT-LÔ SIO2 Lycée Notre Dame de la Providence Année 2014-2015 Contexte InfoRéseau50 Charles SAINT-LÔ SIO2 Lycée Notre Dame de la Providence Année 2014-2015 1 Présentation du contexte : Je travaille chez InfoRéseau50, qui est une société spécialisée dans la gestion

Plus en détail

Sommaire. Reseau partfic samba_nt_auth

Sommaire. Reseau partfic samba_nt_auth Reseau partfic samba_nt_auth Sommaire Installation de samba avec une authentification sur un CPD NT4.0 ou 2000...1 Mise en garde...1 Le problème...1 Installer Samba...1 Configurer samba...2 Le fichier

Plus en détail

WebFTP Un client Web sécurisé pour FTP

WebFTP Un client Web sécurisé pour FTP WebFTP Un client Web sécurisé pour FTP Jirung Albert SHIH, Shih@math.Jussieu.fr Université Paris 7 JRES 2001 Introduction Nous allons dans ce document présenter une solution mise en œuvre sur le réseau

Plus en détail

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Jeudis du libre, Samba ou comment donner le rythme aux stations Windows Qui suis-je? Philip Richardson Sysadmin à Bruxelles Formation Formateur occasionnel Membre du BxLUG (http://www.bxlug.be) A été RHCE

Plus en détail

Solution Wifi Visiteurs

Solution Wifi Visiteurs 5/12/2012 Solution Wifi Visiteurs Lycée Bahuet - Sodecaf Brive la Gaillarde Sommaire I. Le portail captif. 3 a) Présentation d Alcasar 3 b) Les composants logiciels.. 4 c) Schéma de principe. 7 d) Fonctionnement

Plus en détail

UE5A Administration Réseaux LP SIRI

UE5A Administration Réseaux LP SIRI UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés

Plus en détail

SAMBA. Claude Duvallet. Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX. Claude.Duvallet@gmail.

SAMBA. Claude Duvallet. Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX. Claude.Duvallet@gmail. Claude Duvallet Université du Havre UFR Sciences et Techniques 25 rue Philippe Lebon - BP 540 76058 LE HAVRE CEDEX Claude.Duvallet@gmail.com Claude Duvallet 1/28 Plan de la présentation 1 Introduction

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

Introduction. 1 P a g e. Khalid BOURICHE

Introduction. 1 P a g e. Khalid BOURICHE Introduction Basé sur FreeBSD, pfsense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses

Plus en détail

Configuration de SquidGuard sous Fedora Core 4-1 / 6 -

Configuration de SquidGuard sous Fedora Core 4-1 / 6 - Configuration de SquidGuard sous Fedora Core 4-1 / 6 - I. Installation des packages A. Installation de Squid Le package Squid peut être installé à partir de la console Gestion des paquetages : system-config-packages

Plus en détail

Installation du proxy squid + squidguard grâce à pfsense

Installation du proxy squid + squidguard grâce à pfsense Installation du proxy squid + squidguard grâce à pfsense Après avoir récupéré votre matériel l installation peut commencer. A noter qu il est impossible d'installer Pfsense sur un disque contenant une

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Sécurité sous Windows 2000 Server

Sécurité sous Windows 2000 Server Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN : 2-212-11185-1 Table des matières Remerciements..............................................

Plus en détail

Windows 2003 server. Active Directory. Rudolf Pareti. Version 1.0

Windows 2003 server. Active Directory. Rudolf Pareti. Version 1.0 Windows 2003 server Active Directory Rudolf Pareti Version 1.0 Domaine Windows Définitions Contrôleur de domaine Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de

Plus en détail

IPTables Analyse et réalisation

IPTables Analyse et réalisation IPTables Analyse et réalisation Page 1 sur 15 Table des matières IPTables - analyse...3 Qu est-ce que c est?...3 Vocabulaire...3 Chaîne...3 Motif de reconnaissance...3 Cible...3 Policy...3 Policy Accept...3

Plus en détail

Programmation GNU/Linux. Squid : Proxy Web

Programmation GNU/Linux. Squid : Proxy Web Programmation GNU/Linux Squid : Proxy Web By ShareVB Table des matières I.Définitions...2 1.Cache Web...2 2.Serveur mandataire ou Proxy...2 3.Les implémentations de serveurs proxy modernes...2 II.Installation

Plus en détail

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition) Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution

Plus en détail

Services de Bureau à Distance

Services de Bureau à Distance Services de Bureau à Distance 02 février 2015 TABLE DES MATIERES PRESENTATION DU SYSTEME RDS... 2 DEFINITION... 2 MODE DE FONCTIONNEMENTS... 4 AVANTAGES ET INCONVENIENTS... 4 AVANTAGES... 4 INCONVENIENTS...

Plus en détail

Société : CAPGIMINI. Auteur : Oussama DAICHE

Société : CAPGIMINI. Auteur : Oussama DAICHE 2014 Société : CAPGIMINI Auteur : Oussama DAICHE Lycée Polyvalent Ella Fitzgerald 4 RD 502 BP 40 69560 SAINT ROMAIN EN GAL Tél. : 04 74 53 74 53 Fax : 04 74 53 74 54@ : EllaFitzgeraldSIO@orange.fr [INSTALL_CONFIG_OMV_OWN

Plus en détail

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS Journée Josy/PLUME Outils logiciels libres utiles à tout ASR SAMBA Maurice Libes Centre d'océanologie de Marseille UMS 2196 CNRS Plan - Présentation de Samba Contexte d'utilisation Laboratoire Objectifs,

Plus en détail

Comment déployer l'active Directory sur Windows Server 2008 R2

Comment déployer l'active Directory sur Windows Server 2008 R2 ENSAT 2014-2015 Le 29 septembre 2014 Administration Système : Active Directory Génie Informatique 2 ème année cycle ingénieur Comment déployer l'active Directory sur Windows Server 2008 R2 Département

Plus en détail

AGR3r Administration et gestion des réseaux Samba

AGR3r Administration et gestion des réseaux Samba AGR3r Administration et gestion des réseaux Samba Pierre BETTENS pbettens(à)heb.be ESI - École Supérieure d Informatique 08/10/2010 Pierre BETTENS AGR3r Administration et gestion des réseaux Samba 1 /

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

Mandataires, caches et filtres

Mandataires, caches et filtres Mandataires, caches et filtres Pascal AUBRY IFSIC - Université de Rennes 1 Pascal.Aubry@univ-rennes1.fr Plan : mandataires caches filtrage serveur de proxy exemple de mise en œuvre Mandataire (proxy) Mandataire

Plus en détail

Proxy : PfSense. Installation Configuration de PfSense. Version : 2.0.3. 26/05/2014 M2L AUDOUY Gauthier

Proxy : PfSense. Installation Configuration de PfSense. Version : 2.0.3. 26/05/2014 M2L AUDOUY Gauthier Proxy : PfSense Installation Configuration de PfSense Version : 2.0.3 26/05/2014 M2L AUDOUY Gauthier SOMMAIRE 1. Installation 2. Configuration des cartes réseau 3. Interface WEB 1 6 7 I. Connexion 7 II.

Plus en détail

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall RTE Technologies RTE Geoloc Configuration avec Proxy ou Firewall 2 Septembre 2010 Table des matières Introduction... 3 Présentation de RTE Geoloc... 3 Configuration des paramètres de sécurité... 3 Configuration

Plus en détail

Retour d expérience sur l utilisation de Kerberos à l INRIA

Retour d expérience sur l utilisation de Kerberos à l INRIA INRIA - DSI Journées Réseau 2011 Plan 1 2 3 4 Plan 1 2 3 4 Intégration LDAP Composants Heimdal OpenLDAP smbk5pwd Gestion mot de passe synchronisation au changement de mot de passe opération spécifique

Plus en détail

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0 M I N I - P K I SRS Epita Promo 2009 SÉCURITÉ DU SI SUJET (3): Mini PKI Version : 1.0 Denoun Jérémy De Daniloff Cyril Bettan Michael 1 4-1 6 r u e v o l t a i r e 9 4 2 3 0 K r e m l i n B i c ê t r e

Plus en détail

TP : installation de services

TP : installation de services TP : installation de services Ce TP a été rédigé rapidement. Il ne donne certainement pas toutes les explications nécessaires à la compréhension des manipulations. Assurez vous de bien comprendre ce que

Plus en détail

Introduction à Samba sous Gnu/Linux #C22

Introduction à Samba sous Gnu/Linux #C22 Introduction à Samba sous Gnu/Linux #C22 by tontonfred - jeudi, mai 21, 2015 http://www.tontonfred.net/blog/?p=1364 Samba est un logiciel libre qui supporte le protocole CIFS (Common Internet File System),

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail