Vous êtes sur la page 1sur 103

REPUBLIQUE DU SENEGAL

Un peuple - un but - une foi

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE ET DE


L’INNOVATION
DIRECTION GENERALE DE L’ENSEIGNEMENT SUPERIEUR
DIRECTION DE L’ENSEIGNEMENT SUPERIEUR PRIVE

ECOLE SUPERIEURE DE TECHNOLOGIE ET DE MANAGEMENT

RAPPORT ADMINISTRATION

RESEAUX
Présenté par : Sous la direction de :
Mlle. Khadidiatou FAYE M. OUYA
Mlle. Ndiémé MBENGUE
Mlle. Ndeye Ngarou MBAYE
Mlle. Astel Houraye SY

Année académique : 2018 – 2019


SERVICE DE MESSAGERIE

I. OBJECTIF

II. ARCHITECTURE

o Agents de messagerie
Il y a principalement trois (3) programmes dans le service de messagerie qu’on appelle
AGENTS DE MESSAGERIE

• MUA (Mail User Agent)

Il s’occupe de l’écriture ou de la lecture des mails. On l’appelle communément client de


messagerie.

Exemples: Outlook (Windows), Thunderbird (Windows et Linux)

• MTA (Mail Transfer Agent)

Il s’occupe du transfert de mail. On l’appelle Serveur SMTP


Exemples : Postfix(Linux), exchange(Windows), exim4(Linux)

• MDA (Mail Deliver Agent)

Il s’occupe de la distribution des mails dans les boites à lettres des utilisateurs

Exemples : dovecot-pop3d, dovecot-imapd

o Protocoles utilisés
a. SMTP
Tout d’abord avant d’aller plus loin, il faut savoir que SMTP (Simple Mail Transfert
Protocol) ou encore protocole simple de transfert de courrier en français est un protocole de
communication qui est utilisé pour transférer le courrier électronique vers les serveurs de
message électronique, il est simple d’ailleurs comme indiqué sur son nom, son principal
objectif est de router les mails à partir de l'adresse du destinataire, il va aussi vérifier
l'existence de celui-ci d'abord avant d'envoyer le corps du message. Un serveur SMTP est
un service qui écoute sur le port 25.
b. POP
Le protocole POP qui signifie Post Office Protocol ou encore protocole de bureau de poste
en français permet de récupérer son courrier sur un serveur distant. Ce protocole est utile
pour les personnes n’étant pas connectées à internet en permanence afin de consulter les
mails reçus hors connexion.
c. IMAP
IMAP signifie Internet Message Access Protocol, tout comme POP, c'est un protocole de
récupération de mails. Mais ce qui fait sa particularité c'est qu'avec le protocole IMAP, les
mails restent stockés dans des dossiers sur le serveur et permet de proposer de
nombreuses fonctionnalités très pratiques comme par exemple recopier sur le serveur des
messages qui sont en local, effacer ou déplacer des messages sans les lire avec des règles
de tri automatique.
d. Postfix
Postfix est le SMTP que nous allons étudier dans cet article, c’est lui que nous allons installer
afin de configurer notre serveur mail.
En effet, c’est le serveur de messagerie électronique libre le plus répandu. C’est lui qui se
chargera de la livraison des e-mails et a été conçu de façon modulaire autour de différents
programmes dévolus chacun ayant une tâche précise. Cela le rend encore plus résistant en
termes de sécurité.
Pour l’administration de postfix, nous allons utiliser quelques commandes qui sont entre
autres :

• #postfix : pour démarrer, arrêter et redémarrer postfix en mode root

• #postfixconf : affiche ou permet de modifier les paramètres du fichier main.conf

• #postalias : maintient les bases de données alias de postfix,


• #postmap : maintient les tables de correspondances de Postfix.

e. MIME

Il permet d’attacher les fichiers a des mails


Conçu à une époque où le courrier électronique se limitait à du texte, le protocole
SMTP impose certaines restrictions sur le contenu des courriers électroniques : il ne doit
être composé que de caractères ASCII, les lignes ne peuvent pas excéder 1000
caractères et la taille totale du contenu ne peut pas excéder une certaine dimension. Une
contrainte un peu problématique pour envoyer des e-mails multimédias !
L’extension MIME a donc été conçue pour remédier à cet inconvénient.
MIME est une spécification d’Internet, permettant d’échanger des textes écrits dans des
langues différentes (et utilisant des ensembles de caractères différents) ainsi que des
documents de tous types (images, sons, vidéos…), entre des machines de systèmes
différents (PC, Mac, Linux, Unix, etc.).
Avec MIME, vous pouvez donc transmettre de façon transparente à tous les destinataires
connectés à Internet des messages contenant par exemple:
• Des textes contenant des caractères autres que l’ASCII, par exemple des caractères
accentués

• Du texte enrichi (gras, souligné, couleur…)

• Des images

• Des sons

• Des fichiers

III. INSTALLATION ET CONFIGURATION

o Installation
Nous allons installer les paquets suivants :
✓ Postfix
✓ Dovecot-pop3d
✓ Dovecot-imapd
✓ Squirrelmail
✓ Vacation
On installe le serveur SMTP postfix qui gère le transfert de mails

On valide et on continue.
On choisit site internet pour que son serveur de messagerie soit utilisable en réseau
comme suit :

Renseigner le domaine du serveur de messagerie estm.sn comme suit :


o Configuration
Pour commencer, nous allons éditer le fichier /etc/postfix/main.cf

Un MTA doit avoir un paramètre lui permettant de distinguer son domaine des autres
domaines. Dans postfix, ce paramètre est mydestination.
Un MTA doit avoir un critère lui permettant de bien former l’adresse mail des expéditeurs.
Dans postfix, ce critère est myorigin
Nous allons décommenter les paramètres suivants :
myorigin = estm.sn
mydestination = estm.sn
Et ensuite ajouter une dernière ligne comme l’illustre l’image ci-dessous
home_mailbox = Maildir/
NB :il existe deux formats de boites a lettre
-Mailbox : Tous les mails d’un utilisateur sont concaténés dans un même fichier
-Maildir : A chaque utilisateur, on crée un dossier dans lequel chaque mail qui arrive
e est un fichier a part

Nous allons nous déplacer dans le dossier /etc/dovecot/conf.d et le lister


Parmi les fichiers qui apparaissent, nous allons ensuite éditer le fichier 10-mail.conf
Dans ce fichier, décommentons la première ligne encadrée en bleu et commentons la
seconde ligne mise dans le cadre bleu comme le montre l’image qui suit :

Maintenant, passons à la création des utilisateurs. Pour ce cas, nous avons créé trois
utilisateurs (directeur, mouha et dija).
Nous allons procéder comme suit :
Redémarrons les services postfix et dovecot et vérifions s’ils écoutent sur leurs ports
respectifs
Copions /etc/share/squirrelmail/ dans /var/www/html/mail
Puisque le dossier dans lequel on stocke les sites a heberger sous apache est
/var/www/html

Ouvrons un navigateur web (Firefox par exemple)

Tapons sur la barre de recherche localhost/mail/src/login.php

NB : Un client de messagerie sur le web configure par l’administrateur est appelé


WEBMAIL
La page suivante s’affichera demandant à l’utilisateur de mettre son nom d’utilisateur et
son mot de passe

Maintenant, nous allons faire un test entre les utilisateurs que nous avions créés plutôt.

L’utilisateur dija va envoyer un mail à mouha.

Dija va se connecter en mettant son nom et son mot de passe

On clique sur compose pour écrire un nouveau message puis on met l’adresse mail du
destinataire (1), l’objet du message (2) et ensuite on rédige le message (3)

Pour finir, on clique sur send (4) pour envoyer le message


Pour se déconnecter, on clique sur Sign Out (5)

Mouha va à son tour se connecter pour vérifier si la réception du message de dija

L’image suivante illustre bien la réception du message


Supposons qu’un directeur veut envoyer un mail à tous ses employés. Cela constituerait
un travail fastidieux d’envoyer un mail à tout un chacun.
Alors pour remédier à ce problème, nous allons créer un mail de groupe

Éditons d’abord le fichier /etc/aliases

Nous allons créer un groupe nomme technicien et y mettre les utilisateurs dija et mouha

Pour enregistrer les modifications faites dans ce fichier, on tape la commande newaliases

Désormais, l’utilisateur directeur envoiera un simple message dans technicien et les


utilisateurs mouha et dija recevront les mails indépendamment.

L’utilisateur directeur va se connecter et envoyer un mail dans le groupe technicien


Dija va se connecter et s’apercevoir qu’elle a reçu un message de la part de son directeur
De même que mouha
Maintenant nous allons passer à la redirection des messages

Supposons que mouha occupe maintenant le poste de dija qui a été virée. Alors on n’a
pas besoin de supprimer l’adresse mail de dija il suffit simplement de faire une redirection
des prochains messages de dija vers le compte de mouha. De ce fait dija ne recevra des
messages venant du directeur

Nous allons éditer le fichier /etc/aliases

En envoyant un message à dija depuis le compte du directeur on verra que c’est mouha
qui recevra ce message
Notre service de messagerie mis en place permet aussi le transfert de fichier

Créons d’abord un fichier qu’on nommera fichedija sur notre bureau

Mouha va envoyer ce fichier à dija

Mouha se connecte d’abord;


Cliquons sur compose
Nous allons passer au service de répondeur automatique avec vacation

Éditons le fichier .vacation.msg


SERVICE WEB

I. Présentation :

Apache est un serveur web modulaire. Les modules permettent d'ajouter de nouvelles
fonctionnalités à apache donc pour la mise en œuvre d'un serveur apache il faut connaitre
ces modules; savoir les paramétrer, les activer et les désactiver

Sur /etc/apache2 on peut trouver les fichiers de configuration suivante:

• Sites-available : pour la configuration des sites virtuels

• Sites-enabled : pour désactiver un site (une fois activer)

• Mods-available : les modules installés

• mods-enabled : pour désactiver

• Conf-available : pour la configuration de certaines applications web

• Conf-enabled : pour désactiver

Le serveur web à plusieurs méthodes :

• GET pour réclamer des ressources

• POST fournir des ressources

• CONNECT se connecter à un serveur web

• PUT envoie des fichiers sur le serveur

• DELETE supprimer un fichier sur le serveur


L'hébergement d'un site nécessite deux informations à savoir le dossier dans lequel on
mettra le contenu du site (DocumentRoot du site) qui est par défaut sur apache
/var/www/html et la page par défaut à afficher (DirectotyIndex)

II. Architecture

III. Mise en place du serveur :

• Installation du paquet apache2, phpmyadmin, mysql-server

• Redémarrer le serveur
Hébergement par site

Pour un hébergement par dossier on créer un dossier dans le document root du serveur et
on copie le contenu du site

• Se déplacer dans le dossier /var/www/html puis éditer index.php

Pour activer le site on fait a2ensite et pour le désactiver a2dissite

• Créer deux dossier site1 et site2 dans /var/www/html

• Copier le fichier index.php sur les sites créer précédemment

Pour accéder au site on tape http://nomdossier sur le navigateur


Hébergement par nom

Pour créer un site virtuel par nom on ajoute un fichier dans /etc/apache2/sites-
avalaible. Un site virtuel par nom nécessite l'utilisation d'un DNS pour la résolution de
nom; ici n'ayant pas de DNS on va faire une correspondance dans le fichier /etc/hosts
pour tester.

• Créer boutik1 dans le fichier /var/html/boutik

• Copier index.php dans boutik1

• Se déplacer sur le dossier /etc/apache2/sites-available et éditer un fichier


boutik.conf
• DirectoryIndex est le dossier qui s’affiche sur la page d’accueil du site

DocumentRoot est le dossier root

ServeurName est le nom de domaine du site

• Sur /etc/hosts on fait la correspondance avec le nom du site

• Pour accéder au site on tape le nom du site sur le navigateur


IV. PRISE EN CHARGE DES CARACTERES ACCENTUÉS

Il faut décommenter AddDefaultCharset UTF-8 une fois après avoir éditer le fichier
/etc/apache2/conf-available/charset.conf
SERVICE DNS (Domain Name Service)

1. PRÉSENTATION

U n serveur de noms permet d'associer une adresse IP à un nom. Dans un réseau,


chaque machine se voit attribuer une adresse IP unique, qui permet de l'identifier.
C'est un peu comme une adresse postale, qui permet d'identifier une maison de
façon certaine. Mais si une adresse numérique est plus facile à manipuler par un ordinateur,
elle est difficile à mémoriser par un humain. Ainsi, on se souvient facilement
de www.estm.sn, mais plus difficilement de 212.108.83.15. Le serveur de noms va
permettre de trouver l'adresse IP à partir d'un nom (ou inversement), que l'ordinateur pourra
ensuite interroger.

Dans la suite de ce rapport, le terme DNS (Domaine Name Service, serveur de noms en
français) fait référence au serveur DNS.

Pour résoudre un nom en adresse IP, la méthode la plus simple consiste à mettre tous les
noms d'hôtes et leurs adresses associées dans le fichier /etc/hosts :

127.0.0.1 localhost.localdomain localhost


192.168.1.1 ucad.rt.chezmoi ucad
192.168.1.2 estm.rt.chezmoi estm

Cette méthode peut se révéler fastidieuse à la longue : chaque fois qu'on veut insérer une
nouvelle machine dans le réseau, il faut modifier le fichier /etc/hosts de chaque machine.
De plus, ces machines seront difficilement identifiables par des machines non Unixiennes
(comme Windows, par exemple). Enfin, un DNS rend plus facile la distribution des méls
dans un réseau local et permet de mettre plus facilement en place des alias sur des noms,
et offre la mémorisation des adresses résolues par un autre DNS (comme celui du
fournisseur d'accès, par exemple).

Le mécanisme consistant à trouver l'adresse IP correspondant au nom d'un hôte est appelé
« résolution de nom de domaine ». L'application permettant de réaliser cette opération
(généralement intégrée au système d'exploitation) est appelée « résolveur » (en anglais
« resolver »).

Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine
(par exemple « www.estm.sn »), celle-ci va interroger un serveur de noms défini dans sa
configuration réseau. Chaque machine connectée au réseau possède en effet dans sa
configuration les adresses IP de deux serveurs de noms de son fournisseur d'accès.

Une requête est ainsi envoyée au premier serveur de noms (appelé « serveur de nom
primaire »). Si celui-ci possède l'enregistrement dans son cache, il l'envoie à l'application,
dans le cas contraire il interroge un serveur racine (dans notre cas un serveur racine
correspondant au TLD « .sn »). Le serveur de nom racine renvoie une liste de serveurs de
noms faisant autorité sur le domaine (dans le cas présent les adresses IP des serveurs de
noms primaire et secondaire de estm.sn).

Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé et
retourner l'enregistrement correspondant à l'hôte sur le domaine (dans notre cas www).
2. IMPLÉMENTATION DU SERVEUR DNS

PRIMAIRE
➢ Installation du paquet bind9

Le travail d’un serveur DNS de cache et d’envoyer des requêtes aux autres serveurs DNS
et de garder en cache les réponses. Ainsi la prochaine fois que la requête sera faite, la
réponse sera récupérée directement depuis le cache. Ce cache est d’ailleurs, mise à jour
de façon régulière.
Notez que même s’il est possible de configurer Bind pour qu’il soit un serveur primaire
ainsi qu’un serveur cache, il n’est pas conseillé pour des raisons de sécurité, de le faire.
Avoir un serveur cache séparer est préférable.
➢ Maintenant, nous allons configurer bind9 comme le Master pour le domaine «
dija.sn ».
Comme première étape dans la configuration de notre serveur DNS, nous devons Forward
et Reverse la résolution de bind9.
Pour ajouter la résolution Forward et Reverse vers bind9, modifiez
/etc/bind9/named.conf.local.

Ici, dija.sn.zone est le fichier de zone de transfert. dija.sn.rev est le fichier de zone
inverse. Nous faisons cela parce que le DNS secondaire va commencer à récupérer les
requêtes si le serveur principal est en panne.
Enregistrez et fermez le fichier.
khadija.sn.zone est le fichier de zone de transfert

khadija.sn.rev est le fichier de zone inverse

Nous faisons cela parce que le DNS secondaire va commencer à récupérer les requêtes si
le serveur principal est en

➢ Création des fichiers de zone

Créons maintenant les fichiers de zone que nous avons définis à l’étape précédente.
Commençons par créer un fichier de zone comme indiqué ci-dessous

o Khadija.sn.zone

Voici le contenu du fichier khadija.sn.zone par défaut

On va modifier le fichier
o Khadija.sn.rev
Pour les types d’enregistrement DNS on a :

A(Address) : C'est le type le plus courant. Cet enregistrement fait correspondre une
adresse IP à un nom de machine.

CNAME(Alias) : utilisé pour créer un alias depuis un enregistrement de type A. Il est


possible de créer un enregistrement de type CNAME qui pointe vers un autre
enregistrement CNAME, mais ceci double le nombre de requêtes qui seront faîtes au
serveur de noms. Cette méthode est donc déconseillée.

NS (Name Server): Utilisé pour définir quels serveurs répondent pour cette zone. Cet
enregistrement doit pointer vers un enregistrement de type A, non pas vers un
enregistrement de type CNAME.

Enregistrement de type MX (Mail eXchange): permet d'indiquer les serveurs de


messagerie du domaine avec leur ordre de priorité.

Enregistrement de type PTR (Point To Record): permet de faire la résolution inverse

Enregistrement de type SOA (State Of Autority): renferme 7 informations à savoir :

✓ Nom du serveur DNS primaire du domaine o l'adresse e-mail de l'administrateur du


domaine:
✓ Le numéro de série d'information stockée
✓ Durée de rafraichissement (indique au serveur secondaire quand est-ce qu’il va
revenir pour copier des informations de mise à jour
✓ Durée de réessaie (indique au serveur secondaire le nombre de fois il doit revenir
pour prendre des infos)
✓ Durée d'expiration: somme des durées de réessaie (retrie) pour indiquer au serveur
secondaire de ne plus essayer de venir.
✓ Durée minimale de validité des informations: temps pendant lequel le secondaire doit
continuer à servir pendant que le serveur principal n'est pas disponible

➢ . On modifie le fichier resolv.conf pour ajouter des configurations du serveur


➢ On fixe une adresse avant de redémarrer le serveur puis on vérifie que le serveur
marche avec la commande nslookup
DHCP (Dynamic Host Configuration Protocol)

I. PRESENTATION
Un serveur DHCP permet de fournir automatiquement une configuration IP à une
machine, par exemple à des ordinateurs, des smartphones, des imprimantes réseau, en
gros tous ceux qui peut être connecté à un réseau. Cette configuration IP est composée :
● d’une adresse IP
● d’un masque de réseau
● d’une passerelle
● d’une adresse de DNS
La machine sans configuration IP se connecte au réseau, celle-ci émet un DHCP
DISCOVER en broadcast afin de demander si un serveur DHCP existe. Le serveur DHCP
répond par un DHCP OFFER et commence à donner des premiers paramètres, la
machine envois une demande DHCP REQUEST puis le serveur DHCP envois un DHCP
ACK afin de fournir la configuration IP.
La configuration IP peut être fournie avec un bail. Ce bail indique que tel machine aura tel
IP pour une durée de 7 jours par exemple. À la date limite, si la machine est toujours sur le
réseau, elle garde la même IP pour un nouveau bail de 7 jours. Si au bout de 2 jours la
machine quitte le réseau, l’IP qu’elle utilisait sera disponible pour les autres machines à la
fin du bail.
Le serveur DHCP fournit des IP qui sont dans une plage d’IP disponibles, par exemple de
192.168.1.50 jusque 192.168.1.100.

II. ARCHITECTURE

III. PRE-REQUIS
● une machine Ubuntu.
● Une machine cliente (par exemple Windows) sans configuration IP afin de tester.
● Une connexion internet.
IV. INSTALLATION DU SERVEUR DHCP
Nous allons maintenant installer le paquet suivant :
Isc-dhcp-server

V. CONFIGURATION DU SERVEUR DHCP


Comme vous vous en doutez, installer le paquet ne suffit pas à faire fonctionner notre
serveur DHCP, il y a des petites configurations à faire. On va éditer le fichier suivant :
/etc/default/isc-dhcp-server

À la fin de ce fichier se trouve la ligne suivante :


INTERFACES=""
On va indiquer quelle interface réseau nous utiliserons. Nous choisirons enp0s3 :
On enregistre et on ferme ce fichier.

Nous avons maintenant un dernier fichier à configurer, c’est dans celui-là que nous
indiquerons les configurations IP à fournir :
/etc/dhcp/dhcpd.conf

Dans ce fichier, on peut trouver beaucoup d’explications et des exemples en anglais.


On décommente la ligne suivante :
#authoritative
On précise sur les options notre nom de domaine et notre DNS

On met le texte ci-dessous tout à la fin du fichier :

Alors pour les explications :


● La première ligne, on indique le réseau ainsi que le masque de réseau.
● La seconde ligne, on indique le rang d’adresses IP fournit.
● La troisième ligne, on indique l’adresse de notre passerelle.
● La quatrième ligne, on indique l’adresse broadcast du réseau.

Notre serveur est prêt à l’emploi on peut commencer par le redémarrer et on test si le
serveur est actif

On teste si ça marche

Et notre serveur est actif.


SERVICE DE TRANSFERT DE FICHIERS
TFTP
I. PRESENTATION
TFTP (pour Trivial File Transfert Protocol) est un protocole simplifié de transfert de
fichiers. Il fonctionne en UDP sur le port 69, au contraire du FTP qui utilise lui TCP et le
port 21. L'utilisation d'UDP implique que le client et le serveur doivent gérer eux-mêmes
une éventuelle perte de paquets.
Les principales simplifications visibles du TFTP par rapport au FTP est qu'il ne gère pas le
listage de fichiers, et ne dispose pas de mécanismes d'authentification, ni de chiffrement. Il
faut connaître à l'avance le nom du fichier que l'on veut récupérer. De même, aucune
notion de droits de lecture/écriture n'est disponible en standard.
On utilise le protocole TFTP notamment pour la mise à jour des firmwares sur les
équipements réseaux, la sauvegarde de la configuration de ces équipements réseau, mais
aussi pour amorcer des stations de travail sans disque dur

II. INSTALLATION
On installe les deux paquets suivants :
tftpd-hpa

tftp-hpa

III. CONFIGURATION

• Editer le fichier tftpd-hpa qui est dans /etc/default/tftpd-hpa en ajoutant –c à la


dernière ligne de ce fichier
Ajouter le port et la direction du tftpboot
• On redémarre le service tftpd-hpa

➢ Pour tester le bon fonctionnement du serveur, nous allons créer un fichier


khadija dans notre home (émetteur - client) et dans /tftpboot (serveur) (avec
l'attribut 777) puis le transférer sur le serveur tftp

• Créer le fichier khadija sur la racine

Et on met le fichier dans le serveur


• Vérifier si le serveur fonctionne

Nous allons nous connecter avec un autre compte utilisateur


Nous essayer de récupérer le fichier khadija que nous avions mis dans le serveur TFTP
SERVICE DE CONNEXION A DISTANCE

ET DE TRANFERT DE FICHIERS

Service FTP

Présentation :

A
fin de stocker des fichiers sur un serveur et de les récupérer à partir de celui-ci, le
protocole de transfert FTP (File Transfer Protocol) basé sur TCP/IP a été mise en
place. Ce protocole permet de transporter les données via les ports 20 (client) et
21 (serveur) d’une part, et de créer, éditer et lire les répertoires d’autre part. Pour utiliser
une telle structure client-serveur, les utilisateurs n’ont qu’à se connecter au serveur à
l’aide d’un client FTP et d’un compte utilisateur spécifique.

Particulièrement avec l’hébergement web, le FTP (sécurisé) jouit d’une grande popularité :
à l’aide du protocole de transport et du logiciel client approprié, le contenu de votre propre
projet est facilement téléchargé dans l’espace web et des structures de répertoire sont
créées. Si vous hébergez votre site Web chez un fournisseur, ce dernier fournit
généralement une application serveur correspondante, y compris les données d’accès
requises. Si l’hébergement web et le transfert de fichiers sont sous votre
responsabilité, vous devez vous occuper vous-même des structures matérielles et
logicielles appropriées. Dans ce guide, vous apprendrez donc configurer votre propre
serveur FTP Ubuntu et ce à quoi vous devriez absolument faire attention.
Implémentation du serveur FTP :
➢ Installer le paquet vsftpd avec la commande apt-get install vsftpd
➢ Ouvrir le fichier de configuration vsftpd.conf, qui se trouve par défaut dans
le dossier "etc".

✓ Autorisation des connexions sur le serveur ftp :


Par défaut, vsftpd est configuré pour que les utilisateurs ne puissent se
connecter au serveur FTP qu’avec un compte spécifique. Cependant, le
protocole de transfert de fichiers permet également une procédure de
connexion dans laquelle les utilisateurs se connectent anonymement sans
avoir à entrer de données personnelles. Pour activer ce mode d’accès non
spécifique, recherchez l’entrée "anonymous_enable=NO" et remplacez le
paramètre "NO" par "YES" :
✓ Connection des utilisateurs :
Pour permettre aux utilisateurs locaux d’accéder au serveur FTP, l’entrée
"local-enable=YES" doit être définie, ce qui est le paramètre par défaut. Si
vous voulez refuser aux utilisateurs locaux l’accès à votre serveur FTP
Ubuntu, vous n’avez qu’à commenter la ligne correspondante
✓ Droits des utilisateurs :
Dans la configuration par défaut, ni les utilisateurs locaux ni les utilisateurs
anonymes ne peuvent utiliser les commandes FTP. La ligne correspondante
pour l’écriture globale "#write_enable=YES" est désactivée. Si les utilisateurs
connectés doivent avoir la possibilité d’adapter le système de fichiers du
serveur vsftpd, il est donc nécessaire de commenter l’instruction
✓ Bloquer les utilisateurs dans leur répertoire de base :

➢ Redémarrer le service vsftpd après la configuration

➢ Creer des utilisateurs toto et bouki avec la commande adduser userName


➢ Afficher l’adresse ip avec la commande ifconfig

➢ Bouki se connecter par Telnet à partir de windows en utilisant putty avec l’adresse
ip du serveur sur le port 23
➢ Ici on peut visualiser le login et le mot de passe de l’utilisateur connecter . On
constate aussi que FTP fonctionne en mode caractére .
➢ Bouki se connecter par FTP à partir de windows en utilisant WinSCP avec
l’adresse ip du serveur, son login et son mot de passe
➢ Se connecter à wireshark

➢ Ici on peut visualiser le login et le mot de passe de l’utilisateur connecter . On


constate aussi que FTP fonctionne en mode message .
SERVICE D’ANNUAIRE ET
AUTHENTIFICATION SOUS LINUX

MISE EN PLACE D’UN SERVEUR D’AUTHENTIFICATION


RADIUS

1. PRESENTATION
➢ Le protocole RADIUS (Remote Authentication Dial-In User Service) a évolué au fil

des années. Il intègre aujourd'hui de nombreuses fonctionnalités.

Auparavant ce protocole répondait uniquement aux besoins d'authentification et de

traçabilité.

➢ Il s'est calqué sur le modèle du protocole AAA qui permet de réaliser trois
fondamentaux de l'accès à une ressource informatique :
✓ « Authentication » (Authentification) : c'est la fonction principale de sécurité
qui consiste à prouver qu'une identité appartient bien à celui qui la présente.
Elle peut être réalisée en comparant des « credentiels » (nom d'utilisateur/mot
de passe), certificat numérique, etc… ;
✓ « Authorization » (Autorisation) : c'est la capacité à accéder, une fois
l'authentification validée, à un service ou des ressources du système
d'information ;
✓ « Accounting » (Compatibilité) : c'est « journaliser » les accès, les temps de
session, les ressources consommées, etc... Afin de garantir la traçabilité des
informations
➢ RADIUS est un protocole client-serveur permettant de centraliser des demandes

d'authentification relayées par des équipements de réseau, comme des commutateurs ou

bornes Wifi, considérés alors comme ses clients.


➢ Par extension, un serveur qui centralise des demandes d'authentification et les
soumet à un service d'annuaire LDAP ou à un service de base de données SQL est
appelé serveur RADIUS
➢ On trouvera 4 types de paquets permettant d’effectuer une authentification Radius :
✓ Access-Request : Ce paquet est envoyé par le NAS qui contient les informations
d’authentification du client.
✓ Acess-Accept : Ce paquet est envoyé par le serveur afin d’autoriser la connexion
par vérification préalable des informations de l’utilisateur souhaitant se
connecter.
✓ Access-Reject : Le serveur envoie ce paquet lorsqu’il refuse une connexion si
l’authentification échoue ou si la connexion doit prendre fin.
✓ Access-Challenge : Le serveur envoie ce paquet afin de demander une
réémission du

Paquet « Access-Request » ou pour obtenir des informations complémentaires.

➢ Le protocole 802.1x est une solution standard de sécurisation de réseaux mise au


point par l'IEEE en 2001. 802.1x permet d'authentifier un utilisateur souhaitant
accéder à un réseau (câblé ou Wifi) grâce à un serveur central d'authentification.
➢ Le protocole 802.1x permet de sécuriser l'accès à la couche 2 (liaison de donnée)
du réseau. Ainsi, tout utilisateur, qu'il soit interne ou non à l'entreprise, est dans
l'obligation de s’authentifier avant de pouvoir faire quoi que soit sur le réseau.
➢ Le protocole 802.1x a recours au protocole EAP (Extensible Authentification
Protocol) qui constitue un support universel permettant le transport de différentes
méthodes d'authentification qu'on retrouve dans les réseaux câblés ou sans-fil.
➢ EAP est la couche protocolaire de base de l'authentification. Elle va servir à faire
passer un dialogue d'authentification entre le client final et le serveur RADIUS alors
que le port de connexion est fermé à toute autre forme de communication. C'est un
protocole extensible, au sens où il va permettre l'évolution de méthodes
d'authentification transportées, de plus en plus sûres au cours du temps.
2. OBJECTIFS

-installer le paquet freeradius-utils

-configurer le client radius

-créer des utilisateurs

- Test de connexion avec les utilisateurs créés

3. INSTALLATION ET CONFIGURATION

#apt-get install freeradius-utils

➢ Nous editons le fichier /etc/freeradius/clients.conf pour declarer le Point d'accès Wifi


comme suit :
➢ La déclaration d'un point d'accès consiste à préciser son adresse IP ou son adresse
réseau et son mot de passe qui permettent de l'authentifier auprès du serveur
freeradius.
➢ Il reste à créer les utilisateurs dans le fichier /etc/freeradius/users pour se connecter
avec ces comptes :

➢ Test de connexion avec les utilisateurs créés avec l’utilitaire radtest : Pour tester nous

allons démarrer le serveur pour voir les différentes requêtes échangées


➢ Access-Accept prouve que la connexion est acceptée
MISE EN PLACE D’UN SERVEUR ANNUAIRE
LDAP

➢ Objectif de LDAP

Centraliser les informations d’une entreprise qui seront utilisées a des fins d’authentification

➢ Cas d’utilisation
- Base d’authentification de connexion a un réseau WIFI
- Base d’authentification de connexion a un commutateur
- Base d’authentification de connexion a des machines sous Windows(ADDS) ou
Linux(LDAP)
- Base d’authentification de connexion a des applications telles que Postfix et Dovecot,
openfire, …

➢ Les étapes de déploiement d’un annuaire


- installation les paquets slapd et ldap –utils
- configurer le serveur ldap
- configurer le client ldap
- générer les fichiers
-redémarrer le serveur ldap
-alimenter l’annuaire à partir du fichier ldif
-faire les requêtes ldap
➢ Concept LDAP
- Montrée
- Les entrées sont des objets
- Dans les classes on définit les attributs
- L’ensemble des classes est un schéma de l’annuaire
- Chaque entrée est identifiée par un dn (Distingued Name)
- Toute information qui entre dans le serveur d’annuaire est appelée entrée
- Les données dans l’annuaire sont stockées sous forme d’objet
- Une classe peut avoir des attributs obligatoires et optionnels
➢ Déploiement d’un annuaire ldap
-Avoir l’organigramme de l’entreprise

dc=estm dc=sn

ou=telecom dc=estm dc=sn ou=teleinfo dc=estm dc=sn

uid=dija ou=telecom dc=estm dc=sn uid=mouha ou=teleinfo dc=estm dc=sn


=sndc=sn

➢ .Installation des paquets slapd et ldap-utils

➢ Configuration du serveur LDAP

Il y a deux (2) méthodes de configuration d’un annuaire openLDAP. L’une des méthodes
que nous allons adopter est celle qui consiste à faire la configuration dans un fichier TEXT

-Déplaçons-nous dans le dossier /etc/ldap puis listons-le


-renommer le dossier slapd.d car pour cette méthode le dossier slapd.d ne doit pas
exister

- Copions un exemple de fichier de configuration du serveur de qui se trouve dans


/usr/share/slapd/slapd vers /etc/ldap

➢ Éditons le fichier slapd.conf

NB : Plusieurs types de base de données existent pour les annuaires LDAP


On peut citer : LDBM, BDB, HDB
➢ Vérification d’écoute sur port 389
netstat -anp | grep -w 389
➢ Créer des fichiers LDIF définissant les entrées

Créer un fichier LDIF pour créer la racine

nano racine.ldif

➢ Créer 2 unités organisationnelles en éditant le fichier ou.ldif


➢ Créer des utilisateurs en éditant le fichier users.ldif

➢ Configuration du client LDAP

Éditons le fichier /etc/ldap/ldap.conf

Mettons le dn et l’adresse 127.0.0.1


➢ Démarrer le service slapd

➢ Utiliser les fichiers LDIF pour alimenter réellement l'annuaire


Utiliser le client pour alimenter le server
Nous allons verifie le contenu de notre

annuaire avec la commande ldapsearch


SERVICE D’ANNUAIRE ET AUTHENTIFICATION SOUS WINDOWS
I. OBJECTIF :
Contrôler l’accès au réseau wifi pour permettre à des clients de s’authentifier pendant une durée limitée

II. Prérequis
a) Installer Windows 2012

b) Activation ADDS

c) Activation du DNS (ADDS exige un DNS pour permettre l’enregistrement de type SRV
de renseigner l’adresse IP du contrôleur de domaine à partir du nom de domaine)

d) Activation NPS

III. Installation de Windows Serveur 2012 R2

1.1 Caractéristiques de la machine virtuelle

L'installation de Windows Server 2012 R2 est réalisée sur une machine virtuelle ayant les
caractéristiques suivantes :

Mémoire vive : 2048 Mo ;


Processeurs : 2 ;
Mémoire vidéo : 128 Mo (Avec accélération 3D) ;
Disque dur 1: 40 Go;
Adresse IP: 192.168.0.1/24.

1.2 Installer Windows Server 2012 R2

Insérez le DVD d'installation dans le lecteur de DVD.


Démarrez le serveur.
Sélectionnez la langue, le format horaire et le clavier puis cliquez sur "Suivant".
Cliquez sur "Installer Maintenant".

Sélectionnez "Windows Server 2012 R2 Standard (serveur avec une interface graphique utilisateur)"
puis cliquez sur "Suivant".
Cochez "J'accepte les termes du contrat de licence" puis cliquez sur "Suivant".

Cliquez sur "Personnalisé : installer uniquement Windows (avancé).

Sélectionnez le "lecteur 0" puis cliquez sur "Suivant".


Après quelques minutes, vous devez obtenir l'image écran suivante :
Tapez le mot de passe pour le compte "Administrateur" puis cliquez sur "Terminer".
1.3 - Se connecter sur Windows Server 2012 R2
L'écran de connexion se présente de la manière suivante :
Appuyez simultanément sur [Ctrl+Alt+Suppr].
Vous obtenez l'écran suivant :

Tapez le mot de passe du compte "Administrateur" puis validez.

IV. ACTIVATION ET CONFIGURATION DE ACTIVE DIRECTORY

Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les
systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services
centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système
Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels,
et l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les
éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail,
les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources
partagées, et les administrateurs peuvent contrôler leur utilisation grâce à des fonctionnalités de
distribution, de duplication, de partitionnement et de sécurisation de l’accès aux ressources
répertoriées. Si les administrateurs ont renseigné les attributs convenables, il sera possible d'interroger
l'annuaire pour obtenir, par exemple, « toutes les imprimantes couleurs à cet étage du bâtiment ».
Installation du Service AD DS

Entrée – clavier – envoyer ctrl+alt+delt

Et voici la page qui s’affiche ensuite

Cliquez sur le "Gestionnaire de serveur".


Cliquez sur le menu "Gérer".
Cliquez sur l'option "Ajouter des rôles et fonctionnalités".

Passez l'introduction, cochez l'option "Installation basée sur un rôle ou une fonctionnalité" puis
cliquez sur "Suivant".
Sélectionnez, dans le pool de serveurs, le nom de votre serveur local (Ici : servwin.technocom.km) puis
cliquez sur "Suivant".
Cochez l'option "Services AD DS" puis cliquez sur "Suivant".
Passez l'écran "Fonctionnalités" puis cliquez sur "Suivant".
Lisez l'information sur l'Active Directory puis cliquez sur "Suivant".

Confirmez l'installation en cliquant sur le bouton "Installer".


Ne fermez pas le "Gestionnaire de serveur" ...

Cliquer sur suivant


Cliquer sur suivant

Cliquer sur suivant


Cliquer sur suivant

Cliquez sur l'option "Promouvoir ce serveur en contrôleur de domaine".


L'assistant "Configuration des services de domaine Active Directory" s'ouvre.
Activation DNS

ADDS exige un DNS pour permettre l’enregistrement de type SRV de renseigner l’adresse IP du contrôleur de
domaine à partir du nom de domaine

Le serveur DNS
L'ajout des services AD DS a entraîné l'installation automatique d'un serveur DNS. Or, ce serveur
DNS n'est pas pleinement fonctionnel.
Qu'appelle-t-on DNS ?
Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de
traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en
adresses IP de la machine portant ce nom.

Cochez l'option "Ajouter une nouvelle forêt".


Tapez le nom de domaine racine ;
Cliquez sur "Suivant".
• Sélectionnez le "Niveau fonctionnel de la forêt" et le "Niveau fonctionnel du domaine" ; ici,
sélectionnez "Windows Server 2012 R2".

• Les options "Serveur DNS" et "Catalogue global" sont sélectionnées par défaut.

• Tapez le mot de passe de restauration puis cliquez sur "Suivant".

• "Options DNS" : cliquez sur "Suivant".


"Options supplémentaires" : attendez la vérification automatique du nom de domaine NetBIOS puis cliquez
sur "Suivant".
Acceptez l'emplacement de la base de données, des fichiers, des journaux et de SYSVOL puis cliquez
sur "Suivant".

Vérifiez vos choix puis cliquez sur "Suivant".


Cliquez sur "Installer".
Le serveur doit redémarrer automatiquement.
Cliquer sur outils et suivre ce qu’on a choisit
Cliquer sur suivant
Cliquer sur zone principale

Cliquer sur l’option qu’on a choisie ensuite suivant


Cliquer sur la zone de recherche inversée IPv4

On met notre adresse


Cliquer sur terminer

Intégration users crées dans le domaine Active Directory :

Pour ce fait au niveau de la machine client, on doit tapez la touche « Windows + R » et lancer

« ncpa.cpl ». Ensuite on va faire cliquer droit sur la carte réseau et choisir « propriété »

Choisir « protocole internet version 4 » et choisir « propriétés » et cliquer sur « avance » comme suit :
Après avoir cliqué sur « avancé » on clique sur le bouton « DNS » et on clique sur « ajouter »

Afin d’ajouter l’adresse IP de notre serveur 2012 comme serveur DNS. Il faut cocher « utiliser le suffixe
DNS_____________ » et cliquer sur le bouton « ok » et cocher « valider les paramètres en quittant » et
cliquer sur « fermer » comme nous le montre l’image qui suit.

Après on fera clic droit sur ordinateur et ensuite « propriétés » et ensuite cliquer sur
« modifier les paramètres » et après cliquer sur « modifier » et on a la fenêtre qui suit :

On va ensuite cocher « domaine » et mettre notre nom de domaine comme suit :


Vérifier si le client est intégré dans le domaine en allant :
Panneau configuration-système securite-systeme

Création groupe utilisateur dans l’annuaire ADDS

Cliquer sur outils – utilisateur et ordinateurs Active Directory – nom de domaine- choisir l’utilisateur
wifi- groupe wifi
Activation NPS
ETAPE 1:

ETAPE 2:
ETAPE 3:

ETAPE 4:
ETAPE 5:

ETAPE 6:
V. CONFIGURATION CLIENT RADIUS
VI. Configuration du point d’accès
VII. Test avec le serveur radius on va se connecter sur TPLink/L3RT