Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE
SOMMAIRE .............................................................................................................................................. 1
DEDICACE ............................................................................................................................................... 2
REMERCIEMENTS ................................................................................................................................... 3
LISTE DES ACRONYMES......................................................................................................................... 4
RESUME................................................................................................................................................... 5
ABSTRACT .............................................................................................................................................. 6
AVANT-PROPOS .................................................................................................................................... 7
INTRODUCTION ..................................................................................................................................... 8
PARTIE I .................................................................................................................................................. 9
PRESENTATION...................................................................................................................................... 9
GENERALE .............................................................................................................................................. 9
CHAPITRE I : PRESENTATION DE L’ENTREPRISE .............................................................................. 10
CHAPITRE II : PRESENTATION DU PROJET ........................................................................................ 14
PARTIE II ............................................................................................................................................... 20
ETUDE TECHNIQUE ............................................................................................................................. 20
CHAPITRE III : LES CONTROLEURS DE DOMAINES ........................................................................... 21
CHAPITRE IV : PRESENTATION DE QUELQUES SOLUTIONS DE BASES D’ANNUAIRE .................. 25
CHAPITRE V : APPROCHE DES SOLUTIONS DE CONTROLEUR DE DOMAINE .............................. 32
PARTIE III .............................................................................................................................................. 40
DEPLOIEMENT DE LA SOLUTION RETENUE ..................................................................................... 40
CHAPITRE VI : IMPLEMENTATION DE LA SOLUTION RETENUE ..................................................... 41
CHAPITRE VII : VALORISATION DU PROJET ...................................................................................... 68
CONCLUSION ....................................................................................................................................... 71
REFERENCES ........................................................................................................................................ 72
ANNEXES .............................................................................................................................................. 73
TABLE DES MATIERES.......................................................................................................................... 75
DEDICACE
JJe dédie ce travail estimable :
A ma très chère Tante MEITE Bintou, vous êtes un exemple de dévouement qui n'a
cessé de m'encourager et de prier pour moi. Puisse Dieu, le tout puissant, vous
préserve et vous accorde santé, longue vie et bonheur.
REMERCIEMENTS
Nous remercions le bon DIEU qui nous a donné la vie et la santé pour pouvoir réaliser
ce mémoire et nous prions pour son prophète MOUHAMED (SAW).
AD : Active Directory
RESUME
Ce document représente le travail qui nous été confié lors du stage effectué au sein de
l’entreprise ACE-CI.
En effet dans le but d’améliorer la qualité de ses services la direction d’ACE-CI a
décidé de mettre en place une nouvelle politique de gestion de ses informations.
Cette politique vise à améliorer le mécanisme de gestion de notre système
d’information en le rendant plus accessible, stable, rapide et fiable. C’est ainsi que
nous avons décidé d’instaurer un serveur contrôleur de domaine pour ses capacités de
stockage, centralisation, et sécurisation des données.
Cette étude s’est déroulée autour de trois(3) axes.
En premier lieu nous avons fait une présentation de l’entreprise en mettant l’accent sur
le département informatique. En plus nous avons fait un inventaire des outils
informatiques de l’entreprise.
En deuxième lieu nous avons effectué une étude technique en définissant le contrôleur
de domaine, ses différentes caractéristiques et proposer différentes solutions possibles
afin de choisir la solution adéquate à notre cas.
En dernier lieu nous sommes passés à l’implémentation de la solution choisie en vue
de répondre à nos exigences.
La solution technique choisie fut le contrôleur de domaine SAMBA.
Ce choix a été motivé par la gratuité du logiciel, mais aussi par ses capacités de
d’authentification des utilisateurs, de sauvegarde durable, d’accessibilité et de
sécurisation des données. Cependant SAMBA comporte quelques limites. Parmi
lesquelles nous pouvons citer :
- Samba ne peut pas faire fonctionner des applications Windows sur une machine
Unix.
- Samba ne peut pas contrôler un domaine Active Directory.
ABSTRACT
This document is the work that we were told during the internship company ACE-CI.
Indeed, in order to revitalize its management information system ACE-CI decided to
implement a new policy for managing its information.
This policy aims to improve the management mechanism of our information system by
making it more accessible, stable, fast and reliable. Thus we decided to create a
domain controller server for storage capacity, centralization, and data security.
This study was conducted in three (3) axes.
First we made a presentation of the company focusing on the IT department. In
addition we made an inventory of computer tools for the enterprise.
Secondly we conducted a technical study by defining the domain controller, its various
features and offer different options to choose the right solution for our case.
Finally we moved to the implementation of the chosen to meet our requirements
solution.
The technical solution chosen was the SAMBA domain controller.
This choice was motivated by the free software, but also by its ability to user
authentication, backup, access and data security. However SAMBA has some
limitations. Among which we can mention:
- Samba can not run Windows applications on a Unix machine.
- Samba can not control an Active Directory domain.
AVANT-PROPOS
La bonne gestion des informations de l’entreprise est un souci majeur pour toutes
les entreprises existantes dans le monde. C’est même une condition indispensable au
bon fonctionnement de la structure. C’est en cela que nous nous devons de définir
une bonne politique afin d’avoir un système d’information performant et fiable nous
permettant d’assurer efficacement le partage des données et la sécurité de notre
système d’information. Tout ce mécanisme a influencé le choix d’une stratégie qui va
fait intervenir un contrôleur de domaine au sein de notre système d’information.
L’élaboration de ce mémoire aura pour but de nous permettre d’obtenir des
connaissances sur les contrôleurs de domaines d’administration, de nous amener à
étudier et implémenter une solution efficace pour faciliter la gestion adéquate des
ressources de l’entreprise.
INTRODUCTION
Ainsi le défi majeur pour toute entreprise digne de ce nom est d’avoir un système
d’information qui lui permettra d’atteindre les objectifs suivants :
C’est dans cette Optique que nous nous sommes engagés à mener une étude basé sur
une administration réseau sous Linux et en particulier sur la
Notre étude va être élaboré autour de trois axes, dans un premier temps, nous
présenterons de manière générale la structure d’accueil.
Ensuite, nous ferons une étude technique et proposerons les différentes solutions de
contrôleurs de domaine puis nous choisirons la solution adaptée à notre cas.
Et enfin dans la dernière partie, nous allons implémenter la solution choisie pour une
sauvegarde efficace des données, pour sécuriser et rendre disponible notre système.
PARTIE I
PRESENTATION
GENERALE
I- L’ENTREPRISE : ACE-CI
1- Historique
ACE : Audit Control & Expertise a été fondée en Janvier 1996 pour répondre aux
besoins grandissants de nombreuses banques, maisons de négoces et gouvernements
désireux de mieux contrôler leurs risques transactionnels, tant qualitatif, que
quantitatif. Les Activités d’inspections, supervision et de tierces détentions ont tout
d’abord couvert les matières premières avant leur embarquement, afin de vérifier la
conformité complète avec les conditions contractuelles.
Très rapidement, les activités du groupe se sont étendues à la gestion des risques
financiers des produits de base du bord champs jusqu’au produit fini ayant recours au
système de lettre de tierce détention, et d’inspection avant chargement des produits de
base, métallurgiques, produits chimiques, pétrole et dérivés ainsi qu’aux produits
agroalimentaires .
Le Groupe ACE a depuis lors continué son expansion et ouvert de nombreuses
succursales dans le monde : son réseau est à présent bien établi en Afrique, en
Amérique du Sud, en Europe de l’Est et de L’ouest, Et en Asie.
Ainsi installé en février 1999, ACE-CI est une filiale du groupe ACE en côte d’ivoire.
Elle a d’ores et déjà de l’expérience et une notoriété.
Services D’audit
Profils De Produits
Service Juridiques
Service de Formation
2- La Structure D’ACE-CI
ACE-CI se compose comme suit :
Direction Générale
Direction de Support Crédit(DCM)
Direction Technique et des Opérations (DTO)
Direction Administrative et Financière (DAF)
Département Informatique(IT)
Direction des Moyens Généraux
Direction des Ressources Humaines et Juridiques(DRH)
DIRECTION GENERALE
1- Le Département Informatique
DEPARTEMENT
IT
ETUDE, ORGANISATION
INFRASTRUCTURES
ET
INFORMATIQUES
DEVELOPPEMENT
ADMINISTRATION FORMATION ET
ETUDE DEVELOPPEMENT RESEAUX ET ASSISTANCES
ET ET GESTION DES UTILISATEURS
ORGANISATION MAINTENANCE EQUIPEMENTS
I- CONTEXTE
1- Le Contexte
ACE-CI dispose de :
Port
Port USB : 2
Port Ethernet : 1
Performances
• Matrice de commutation 32 Gbits/s
• Taux de transfert : 4,4 Gbits/s
• Taux de transfert par paquets de 64 octets :6,5 Mpps
• DRAM : 64 Mo
• Mémoire flash : 32 Mo
• Jusqu’à 8000 adresses MAC configurables
• Jusqu’à 255 groupes IGMP configurables
Connecteurs et câblage
.Ports 10BASE-T : connecteurs RJ-45, deux paires de câbles UTP (paire torsadée non
Blindée) catégorie 3, 4 ou 5
Ports 1000BASE-T : connecteurs RJ-45, quatre paires de câbles UTP catégorie 5
Dimensions
H: 4,4 L : 44,5
Poids: 3,6 kg
Environnement
• Température de service : 0 à 45 °C
• Température de stockage : -25 à 70 °C
Puissance : 0,05 kVa
Performances
• Données sécurisées
• Nombre total d’emplacements modulaires : 2
• Emplacements modulaires pour l’accès au
Réseau WAN : 2
• Support VoIP : Protocole voix sur IP (VoIP)
En transit seulement.
Connecteurs et câblage
• Ports Ethernet embarqués : Deux 10/100
• Ports USB embarqués : Un (1.1)
• Port Console : 1 (jusqu’à 115,2 Kbits/s)
• Port auxiliaire : 1 (jusqu’à 115,2 Kbits/s)
Dimensions
• Hauteur sans les pieds en caoutchouc : 4,39 cm
• Hauteur avec les pieds en caoutchouc : 4,75 cm
Poids
• Maximum : 2,8 kg ; avec cartes d’interface et modules
• Minimum : 2,7 kg (sans cartes d’interface ni modules
Environnement
• Température de service de 0 à 40°C
• Température hors service de -25 à 65°C
Puissance : Dissipation de la puissance système.
FICHE TECHNIQUE
Modèle : UCS-SPR-C220-V1
PROCESSEUR ET CHIPSET
MÉMOIRE
Taille de la mémoire : 16 Go
BOÎTIER ET ALIMENTATION
CONNECTIQUE
SPÉCIFICATIONS TECHNIQUES
Ses différents Matériaux Informatiques sont repartis au sein l’entreprise comme suit :
Une Sauvegarde efficace des données en vue de les restaurer en cas de perte.
Faciliter le partage des données entre les utilisateurs du réseau de l’entreprise.
Garantir la disponibilité du système
Assurer la sécurité des accès aux informations de l’entreprise
PARTIE II
ETUDE
TECHNIQUE
I- DEFINITION
Un domaine regroupe les ordinateurs qui utilisent le même annuaire et qui partage les
ressources du réseau. Tous les serveurs d'un domaine emploient les mêmes comptes
utilisateurs. Il nous suffit alors de taper les informations relatives à un compte
d'utilisateur une seule fois pour que tous les serveurs du domaine reconnaissent ce
compte.
Ce sont des logiciels libres sous licences. Les conditions de distribution des
contrôleurs de domaine libres doivent se conformer aux redistributions libre et
gratuite, autoriser les codes sources, également sans contrainte de discrimination
contre qui conque et une distribution totale de la licence.
Donc le contrôleur de domaine est le serveur auquel tout le monde doit normalement
s'adresser pour les authentifications d'utilisateurs, de machines... Étant donné que cette
centralisation est très risquée, le serveur principal, appelé PDC, est généralement
secondé par un BDC (Backup Domain Controller) Contrôleur de domaine de secours.
Les contrôleurs de domaine ont des avantages remarquables pour assurer la sécurité
des informations et une bonne gestion des ressources réseau.
Il est aussi très risqué si un utilisateur à les mêmes privilèges que l’administrateur, il
peut nuire au bon fonctionnement du système.
I- DEFINITION
X500 désigne l'ensemble des normes informatiques sur les services d'annuaire
définies par l'UIT-T. Mais seule la partie X509 concernant l'authentification est
utilisée actuellement ; pour le reste, la plupart des services d'annuaire actuels
utilisent une norme beaucoup moins lourde : LDAP.
LDAP (Lightweight Directory Access Protocol) : est un protocole permettant
l'interrogation et la modification des services d'annuaire. Ce protocole repose
sur TCP/IP. Un annuaire LDAP respecte généralement le modèle X500 : c'est une
structure arborescente dont chacun des nœuds est constitué d'attributs associés à
leurs valeurs.
UDDI (Universal Description Discovery and Intégration) : Cette norme créée en
octobre 2000 est utilisée pour le commerce électronique.
TULLEB (Titre Uniforme Labellisé Librement et Édité pour la Bibliothèque) :
Norme destinée aux annuaires publicitaires, apparue suite à de nombreuses plaintes
de particuliers (1997). Ces derniers devant ainsi respecter un certain pourcentage
de texte destiné à d'autres sujets que le commercial.
2- Mode de Fonctionnement
Active Directory est un service d'annuaire utilisé pour stocker des informations
relatives aux ressources réseau sur un domaine.
Une structure Active Directory (AD) est une organisation hiérarchisée d'objets. Les
objets sont classés en trois grandes catégories : les ressources (par exemple les
imprimantes), les services (par exemple le courrier électronique) et les utilisateurs
(comptes utilisateurs et groupes). L'AD fournit des informations sur les objets, il les
organise et contrôle les accès et la sécurité.
2- Mode de Fonctionnement
VI- OPENLDAP
1- Description
OpenLDAP est une implémentation libre du protocole LDAP maintenue par le projet
OpenLDAP et distribuée selon les termes de la licence OpenLDAP Public Licence.
2- Mode de fonctionnement
SOLUTIONS D’ANNUAIRE
CARACTERISTIQUES ACTIVE NETWORK
DIRECTORY INFORMATION OPENLDAP
SYSTEM (NIS)
-Logiciel -Logiciel libre -Logiciel libre
COUT Propriétaire (Licence Gratuite) (licence Gratuite)
(Licence Payante)
Suite à notre étude comparative basée sur le cout, l’administration des données et la
sécurité des annuaires notre choix s’est porté sur l’annuaire OpenLDAP.
Car c’est un projet libre diffusé sous licence gratuite OpenLDAP. Il est constitué d’un
mécanisme de réplications entre les annuaires maitres et les réplicas qui assurent une
fiabilité au bon fonctionnement de l’annuaire en tout instant. En outre les différents
accès aux données sont précisés par des ACL.
2- La Structure de l’OpenLDAP
1- Description
2- Mode de fonctionnement.
Avec Windows Server 2012 on effectue une installation Server Core qui offre des
avantages en termes de sécurité et de performances.
Microsoft a en effet réalisé que la ligne de commande est formidable pour certaines
tâches, mais que l'interface graphique est préférable pour d'autres. Dans Windows
Server 2012, la GUI devient une "fonctionnalité" que vous pouvez activer et désactiver
à votre gré.
Il est composé d’un gestionnaire de serveur qui possède des capacités de multiserveur,
qui facilitent le déploiement de rôles et de fonctionnalités à distance sur des serveurs
physiques et virtuels. Il est facile de créer un groupe de serveurs, autrement dit un
regroupement de serveurs qui peuvent être gérés conjointement.
II- OPENSUSE
1- Description
SUSE est une société allemande appartenant au groupe Attachmate. Elle est connue
pour sa distribution Linux SUSE Linux Enterprise, une distribution commerciale basée
sur OpenSUSE, destinée à l'utilisation en entreprise.
2- Mode de Fonctionnement
Les nouvelles versions permettent d'utiliser quasi tous les systèmes de gestion de
paquetages (Yast, Yum, apt, Smart...), le but étant de prendre le meilleur de chacun
III- SAMBA
1- Description
Samba est un logiciel libre qui supporte le protocole CIFS (Common Internet File
System), anciennement appelé SMB (Server Message Block), sous licence GNU GPL
3, il est utilisé pour le partage de ressources (fichiers, imprimantes ...) à travers le Ceci
s'avère très utile pour partager des données très facilement entre deux systèmes
d’exploitation différents.
Depuis, nombreuses sont les personnes qui se sont intéressées au projet et y ont
contribué! Samba est un projet internationalement reconnu et de plus en plus utilisé
dans le domaine professionnel. L´engouement provoqué par un tel projet lui a vite
permis de s´étoffer, si bien que du "simple" partage de fichiers, Samba est devenu une
suite d´outils très complets permettant une interconnexion de systèmes "hétérogènes"
en implémentant des protocoles réseaux issus du monde propriétaire tels que
NETBIOS et SMB/CIFS. La plupart du temps, on utilise Samba pour interconnecter
une machine Unix à une machine Windows ou contrôler un domaine.
2- Mode de fonctionnement
Samba configure des partages réseaux pour les répertoires UNIX (y compris le
contenu de tous les sous-répertoires). Ils apparaissent pour les utilisateurs de Windows
comme des dossiers Windows classiques accessibles via le réseau. Les utilisateurs
d'Unix peuvent lire les partages avec le smbclient (libsmb) installé avec Samba.
Chaque répertoire peut avoir des privilèges d'accès différents. Par exemple : les
répertoires ayant un accès en lecture/écriture pour tous les utilisateurs définis,
permettent à chacun d'eux d'accéder à leurs propres fichiers. Mais ils n'ont pas accès
aux dossiers des autres, sauf si une autorisation est définie.
V- LA SOLUTION RETENUE
Notre choix s'est porté sur le contrôleur de domaine libre SAMBA car nous nous
sommes basés sur un facteur principal qui est le coût. Il faut dire que Samba est un
logiciel libre, distribué sous licence gratuite.
De plus SAMBA définit des niveaux d’accès très pointus aux utilisateurs, Permet le
partage des données entre des postes de travail évoluant sur des systèmes hétérogènes.
Enfin il implémente une sécurité spécifique à chaque utilisateur.
C’est ainsi que notre choix s’est porté sur le contrôleur de domaine libre SAMBA.
2- La Structure de Samba
Samba est composé de deux programmes principaux : smbd et nmbd. Ces démons, qui
tournent sur la machine serveur, ont chacun leur rôle bien déterminé.
smbd est le démon principal de Samba. C'est lui qui gère les sessions, s'occupe de
l'authentification et contrôle les accès aux fichiers et aux imprimantes. Il est bien
entendu obligatoire.
Le logiciel Samba est livré avec tout une gamme d'outils supplémentaires :
- smbclient : il permet, depuis la machine Linux, de contacter un autre serveur SMB.
Cela permet de faire des copies de fichiers ou bien d'accéder à des ressources
d'impression. Il fonctionne grâce à une interface de type FTP en mode texte.
- smbpasswd : ce petit utilitaire permet de réaliser plusieurs choses. Il permet la
modification et la gestion des mots de passe. L'administrateur peut ajouter ou
supprimer des utilisateurs et modifier les mots de passe. Enfin, c'est ce logiciel qui
permet de crypter les mots de passe quand Samba est configuré pour fonctionner ainsi.
- smbstatus : permet de contrôler et de surveiller le fonctionnement de Samba. Ce petit
utilitaire indique l'état des différentes connexions actives sur le serveur. Il indique
aussi les fichiers ouverts et leurs états. Cet utilitaire permet de voir l'utilisation d'un
serveur Samba.
- smbtar : permet de sauvegarder ou de restaurer directement un fichier depuis une
archive Unix.
La majeure partie du temps, Samba est utilisé pour interconnecter une machine Unix à
une machine Windows ou contrôler un domaine. Cette interconnexion peut se faire à
de nombreux niveaux, puisque Samba offre les fonctionnalités suivantes :
Un serveur Linux équipé de samba peut être configuré comme une machine
partageant des données dans un groupe de travail Windows, Comme serveur
membre d'un domaine Windows ou comme un contrôleur de domaine principal
d'un domaine Windows.
Samba peut implémenter la sécurité au niveau de chaque utilisateur (ce qui est
recommandé) et non au niveau des ressources comme c'est le cas dans les
réseaux de type Workgroups.
La gestion de domaines.
Samba fournit donc à la fois des fonctionnalités serveur et des fonctionnalités client.
La richesse des outils fournis rendent l'interconnexion bidirectionnelle comme une
machine Windows peut se connecter à une machine Unix et vice-versa.
Après une étude approfondie sur les différentes fonctionnalités et les services que
Samba peut prendre en charge, désormais notre Serveur Samba passe à l'étape
supérieure pour un contrôleur de domaine qui prendra l'authentification de groupes des
machines et l'accès aux partages. Pour devenir cela, nous allons procéder au parcours
nécessaire, en passant d'abord par l'étude du fichier smb.conf et ensuite de sa
configuration.
Nous avons présenté l'étude du serveur samba en tant qu'un contrôleur de domaine
principale, mais il a d'autres fonctionnalités utiles surtout le service d'un contrôleur de
domaine secondaire.
Le BDC possède une base SAM en 'lecture seule' sur laquelle il est capable d'effectuer
des demandes de login réseau et d'authentification des utilisateurs. Le BDC peut
continuer à fournir ces services particulièrement si la liaison avec le PDC est coupée.
Cependant toute atteinte à l'intégrité d'un contrôleur de domaine principale ou la perte
de ce dernier dans n'importe quel environnement pourrait avoir des conséquences
graves pour les ordinateurs clients, serveurs et applications s'appuyant sur les
contrôleurs de domaine pour l'authentification, et la stratégie de groupe , voilà
l'importance du contrôleur de domaine secondaire.
PARTIE III
DEPLOIEMENT
DE LA SOLUTION
RETENUE
#Commande : ldapsearch (effectue une recherche dans l’arbre ldap) –LLL (sans les
informations inutiles) -Y EXTERNAL (sans authentification) –H ldapi:/// (spécifiant
l’url ldap, ici en partant de la racine de l’arbre) –b cn=config dn (retournant les
Informations contenant cn=config et dn ()
Afin de mieux comprendre, voici à quoi correspondent les attributs utilisé par le
protocole LDAP :
« dn » distinguasse name.
« cn » Common name.
« gn » given name c'est à dire le prénom.
« sn » surname.
« l » locality name.
« st » state or province name.
« ou » organisational unit.
« dc » domain component.
« o » organization name.
dc=local
|
dc=ACE
/ / \ \
ou=Computers ou=groups ou=Idmap ou=Users
(C’est pour cela que nous avons mis ACE. Local au-dessus)
root@LDAP1:~#slappasswd
New password : aceadmin14
Re-enter new password : aceadmin14
add: olcRootPW
olcRootPW: {SSHA}Y4m58WY9h057RZ2UbcAbW1wsT0C84jG4
Et ajouter dedans :
dn: olcDatabase= {1} hdb, cn=config
changetype : modify
replace: olcAccess
olcAccess: to attrs=userPassword by
dn="cn=admin, dc=clin,dc=local" write by anonymous auth by self
write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin, dc=clin,dc=local" write by *
read
#Commande :
dn: olcDatabase= {1}hdb,cn=config : Nous voulons changer la
configuration de base
changetype: modify : On effectue une modification
replace: olcAccess : On veut remplacer les « olcAccess »
(restriction d’accès ou encore appelé « ACL »)
olcAccess: to attrs=userPassword by
Résultat:
dn: olcDatabase= {1} hdb, cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1} hdb
olcDbDirectory: /var/lib/ldap
olcLastMod: TRUE
olcRootPW: {SSHA}XXXXXXXXXXZZZZZZZZZZZZZZZ
olcDbCheckpoint: 512 30
olcDbConfig: {0}set_cachesize 0 2097152 0
olcDbConfig: {1}set_lk_max_objects 1500
olcDbConfig: {2} set_lk_max_locks 1500
olcDbConfig: {3} set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcSuffix: dc=ACE,dc=local
olcRootDN: cn=admin, dc=clin,dc=local
olcAccess: {0}to attrs=userPassword by dn="cn=admin, dc=ACE,dc=local" write
by anonymous auth by self write by * none
olcAccess: {1}to attrs=shadowLastChange by self write by * readolcAccess: {2}to
dn.base="" by * read
olcAccess: {3}to * by dn="cn=admin, dc=ACE,dc=local" write by * r
Dé-zipper l’archive :
root@LDAP1:~#gzip -d /etc/ldap/schema/samba.schema.gz
Nous allons créer un fichier où nous allons inclure tous les schémas déjà présents sur
OpenLDAP sans oublier de rajouter celui de Samba :
root@LDAP1:~#vi schema_convert.conf
Grâce à la commande qui va suivre, nous allons prendre toutes les lignes du ficher
schema_convert.conf afin de créer un fichier de configuration des attributs de Samba
pour
OpenLDAP :
root@LDAP1:~#mkdir /etc/ldap/ldif_output
root@LDAP1:~#slapcat -f schema_convert.conf -F
/etc/ldap/ldif_output -n0 -s
"cn= {12} samba, cn=schema,cn=config" > /etc/ldap/cn=samba.ldif
Ceci nous a donc créé le fichier de configuration nommé cn=samba.ldif, nous devons
effectuer tout de même quelques modifications :
root@LDAP1:~#vi /etc/ldap/cn=samba.ldif
Dans les première lignes du fichier il faut effacer les « {12} » afin d’obtenir ceci :
dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba
Résultat :
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0, cn=peercred, cn=external, cn=auth
SASL SSF: 0
adding new entry "cn=samba,cn=schema,cn=config"
La définition du schéma étant faite, il ne reste plus qu’à créer les indexes (ce sont des
sortes d’attributs que Samba utilise pour, par exemple, associer un utilisateur à un
groupe) utilisés pas Samba.
Résultat:
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0, cn=peercred, cn=external, cn=auth
SASL SSF: 0
modifying entry "olcDatabase= {1}hdb,cn=config"
Afin d’être sûr qu’OpenLDAP a bien pris en considération toutes nos modifications (et
malgré le fait que les fichiers.ldif sont là pour ça), nous redémarrons tout de même le
démon :
root@LDAP1:~#/etc/init.d/slip restart
Stopping OpenLDAP: slip.
Starting OpenLDAP: slip.
À partir de là, je suis allé vérifier les logs afin de savoir si il y avait présence d’erreurs.
Pour se faire utiliser la commande suivante :
root@LDAP1:~#vi + /var/log/syslog
#Commande : vi est un éditeur de texte, + permet d’aller directement à la fin du
Fichier et /var/log/syslog est le chemin pour accéder aux logs d’OpenLDAP (et de
Samba).
En scrutant le fichier, je me suis rendu compte qu’il manquait des olcDbIndex, nous
allons donc les rajouter en utilisant une autre méthode que l’injection de fichiers.ldif
(moins conseillée car plus propice aux erreurs) afin de montrer cette autre possibilité
(comme ce n’est pas un fichier.ldif, il n’y aura donc pas son avantage principal qui est
la modification instantané de la configuration LDAP, il nous faudra donc arrêter le
démon pour effectuer la modification).
On commence par arrêter le démon OpenLDAP :
root@LDAP1:~#service slip stop
On parcourt ensuite ce fichier jusqu’à trouver les lignes débutants par olcDbIndex
(elles se trouvent sous les lignes olcDbConfig),
Il suffit de les supprimer et de copier les lignes ci-dessous
(Contenants tous les types d’olcDbIndex possibles dont nous pourrions avoir besoin)
Autre petite erreur que j’ai pu faire ici : exécuter la commande slapindex avec le super
utilisateur root. En effet, OpenLDAP fonctionne avec l’utilisateur openldap qui fait
parti du groupe openldap, or le fait d’avoir exécuté cette commande avec root va
changer les droits groupe et l’utilisateur de certains fichiers qui passeront de openldap
à root (OpenLDAP ne pourra donc plus les lire ou exécuter ce qui provoquera de
nombreuse erreurs).
Afin de réattribuer les bons droits utilisateur/groupe aux fichiers il suffit de ce placer
dans les bons répertoires et d’exécuter la commande ls –l (qui liste les fichiers en
affichant aussi les droits), puis de redonner les bon droits :
root@LDAP1:~#cd /var/lib/ldap
root@LDAP1:~#ls –l
root@LDAP1:~#chown openldap: openldap *
root@LDAP1:~#cd /etc/ldap/slapd.d/cn\=config/
root@LDAP1:~#ls -l
root@LDAP1:~#chown openldap: openldap *
#Commande : cd pour se placer dans le répertoire, ls –l pour lister et chown pour
Changer le groupe et l’utilisateur du fichier.
1- L’installation de SAMBA
Nous allons configurer Samba de telle sorte qu’il soit contrôleur de domaine, mais
aussi en tant que serveur de fichiers (partage de fichiers ou sauvegarde de données via
un disque réseau).
Pour ce faire, nous allons installer Samba, puis nous créerons des zones de stockages
Privées et publiques.
Il faut maintenant configurer Samba pour qu'il intègre LDAP et les outils SMBLDAP
que l'on installera dans la foulée. Un fichier de configuration /etc/samba/smb.conf est
déjà présent, nous modifions son nom en smb.conf.back afin d’avoir une sauvegarde la
configuration originel au cas où :
root@LDAP1:~#mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
Nous avons donc configuré le fichier de configuration de Samba et avons donné des
chemins vers des répertoires (netlogon, public, profiles et home), il nous faut donc
créer les dossiers (en leur attribuant les bon droits) au bon endroit afin que ces chemins
pointent vers leur bonne destinations :
root@LDAP1:~#mkdir /home/netlogon
root@LDAP1:~#chmod 775 /home/netlogon
root@LDAP1:~#mkdir /home/profiles
root@LDAP1:~#chmod 773 /home/profiles
root@LDAP1:~#mkdir /home/public
root@LDAP1:~#chmod 777 /home/public
Remarque : Nous n’avons pas créé le répertoire « home » car il s’agit d’un répertoire
automatiquement créé qui pointe vers le répertoire personnel de l’utilisateur
authentifié (ce répertoire est automatiquement créé à la création d’un utilisateur).
2- La Configuration de Smbldap
Ces outils sont des scripts perl qui permettront de créer les utilisateurs Samba et LDAP
de manière automatisée. Par exemple, nous pourrions dorénavant utiliser la commande
smbldapuseradd.
(Voir plus bas dans création d’un utilisateur), qui grâce à ces outils permettra de créer
en même temps. Le compte de l’utilisateur LDAP, Samba et Linux (avec création du
répertoire Personnel).
Ceci nous facilite grandement la vie, car sans lui nous devrions créer un compte sur
Samba (avec appartenance à un groupe etc…), le même sur OpenLDAP et le même
sur Linux (avec création du répertoire privé).
Nous avions installé ces outils avec Samba afin de récupérer un exemple de fichier de
Configuration smb.conf, passons maintenant à leurs configurations :
root@LDAP1:~#gzip -d /usr/share/doc/smbldaptools/configure.pl.gz
root@LDAP1:~#perl
/usr/share/doc/smbldap-tools/configure.pl
Un écran s’affiche et si le smb.conf est bien configuré (ce qui est notre cas), il suffit
d’appuyer sur la touche « ENTRER » car le script de configuration va pré-remplir les
champs.
(par exemple le nom du domaine) grâce aux mêmes champs que sur le smb.conf.
Attention toutefois à ne pas aller trop vite car il faudra tout de même saisir à la main le
mot de passe de l’administrateur LDAP (« aceadmin ») et le type d’encryption des
mots de passe des utilisateurs linux (« l’encryption of the unix password »), pour ce
dernier taper « MD5 ».
Il est maintenant temps d’initialiser la base de données LDAP de base pour Samba. On va le
faire en utilisant la commande smbldap-populate :
root@LDAP1:~#smbldap-populate
Vous devez saisir deux fois votre mot de passe root (« heinzo »). Cette commande créée:
Les différentes OU (Organisation Unit) qui contiendront vos Machines, Users et
Deux UID : root (super utilisateur) et nobody (utilisateur avec peu de droits que prenne les
invités) qui seront dans OU = Users,
Plusieurs CN (Common Name): Les groupes qui seront dans OU = Groups.
Il faut configurer ce qui suit afin de notre PDC puisse stocker les profils itinérants en
Français, sinon les utilisateurs auront leur dossiers en Anglais (« Images » se
transformera en « Pictures » par exemple), pour ce faire :
root@CI_LDAP1:~#apt-get install attr
root@CI_LDAP1:~#mount /home –o remount, user_xattr
Ajouter user_xattr à fstab afin que l’option reste même après un redémarrage.
Nous allons maintenant créer un groupe d’utilisateurs (par exemple, ici le groupe «
Atelier de
saisie ») et nous verrons par la suite comment l’exploiter.
Pour ce faire nous allons utiliser l’une des commandes de la suite smbldap-tools :
root@LDAP1:~#smbldap-groupadd -a 'Groupe test'
Commande permettant de vérifier que l’utilisateur à bien pris en compte les paramètres
Samba (smb.conf) lors de sa création:
root@LDAP1:~#pdbedit –v pdupont
Nous poursuivons par la définition des scripts qui permettront de créer les différents
lecteurs réseaux des utilisateurs en fonction de leur groupe. Mais avant, nous allons
nous intéresser à la logique de la configuration permettant la création des lecteurs
réseaux en finalité.
Dans notre smb.conf nous avions mis plusieurs informations très importantes :
D’après les informations ci-dessus, on peut donc en déduire qu’il faut créer un dossier
portant le nom de chaque groupe d’utilisateurs dans le dossier /home/netlogon.
De plus, il faudra dans chacun de ces dossiers créer un script nommé logon.bat.
(Attention de bien mettre les bons droits spécifiés plus haut, à la création du dossier
/home/netlogon)
L'idée est d'utiliser l’annuaire LDAP pour authentifier les utilisateurs qui se
connecteront sur la machine Linux. L'approche classique sur des systèmes Unix pour
avoir une base centrale d'utilisateurs est d'utiliser NIS.
Nous allons voir comment utiliser une base LDAP pour faire le même travail.
Maintenant que les librairies sont configurées, on doit activer la recherche LDAP en
modifiant le fichier de configuration /etc/nsswitch.conf. Pour cela il faut simplement
ajouter ldap à passwd, group et shadow :
root@LDAP1:~#vi /etc/nsswitch.conf
On redémarre ensuite le serveur afin d’être sûr que toutes les configurations soient
prises en compte : root@LDAP1:~#reboot
Chez Windows la marche à suivre est différente, il ne suffit pas simplement de lui
indiquer d’aller s’authentifier sur le serveur LDAP mais il faut le faire appartenir au
domaine (notre domaine est ACE ).
Il faut d’abord ajouter le serveur Samba en tant que serveur WINS afin de pouvoir
résoudre le nom de domaine, pour ce faire, il faut aller dans Panneau de
configuration/Réseau et Internet/Connexions réseaux et suivre ci-dessous :
Puis pour appartenir au domaine, appuyer sur les touches Windows+Pause et cliquer sur
Modifier les paramètres puis suivre ci-dessous :
Attention : il existe un bug, une fois le compte root saisit, il se peut que le pc ne soit
Pas ajouté au domaine. Dans ce cas, retenter la jonction au domaine, si échec relancer
Les services Samba et OpenLDAP (service samba restart et service
Ldap restart) et retenter.
Une fois le client Windows sur le domaine, il suffit de le redémarrer l’ordinateur, et,
arrivé à l’interface de connexion, cliquer sur « Autre utilisateur » et dans le champ «
Identifiant », entrer l’utilisateur de la façon suivante : domaine\utilisateur.
Pour l’exemple, avec l’utilisateur TANO, on entre ACEinfo\pTANO (puis le mot de
passe de pTANO) et nous voilà connecté au domaine.
Sur le serveur Samba, dans le dossier /home/profiles sera automatiquement créé un
dossier nommé pTANOt.v2 contenant le profile (fond d’écran, préférences,
raccourcis…) de l’utilisateur pTANO. Si jamais l’utilisateur pTANO essai de se
connecter sur un autre ordinateur, Samba ira voir dans le dossier /home/profiles si un
dossier pTANO.v2 s’y trouve, comme il s’y trouve il exportera directement le profil sur
le nouvel ordinateur (au lieu décrier le profil et d’importer les préférences comme
précédemment).
3- L’installation de Phpldapadmin
Phpldapadmin est une interface écrite en PHP qui permet de visualiser et de modifier
Facilement (via une interface Web) un annuaire LDAP (Openldap principalement), sur
le même principe que phpMyAdmin pour les bases de données MySQL.
Personnellement, je n’ai utilisé phpldapadmin seulement pour visualiser mon arbre et
non pour le modifier, je préférais effectuer les modifications en lignes de commandes
ce qui permettait une « auto mappage » de certaines caractéristiques (comme le SID de
Samba) qui n’était pas faisable via phpldapadmin.
Après authentification avec le mot de passe root (« aceroot »), vous pourrez voir une
interface avec un arbre semblable à celui-là, avec la racine (dc=ACE,dc=local),
l’administrateur (cn=admin), les unités organisationnels (Computers, Groups…) et le
nom de domaine Samba (ACE) :
I- LE COUT DU PROJET
A la date du 22 Aout 2014 dans le Magasin Virus Technologie sise au plateau le cout
du matériel nécessaire à l’élaboration de notre projet se présente comme suit :
Un Antivirus KASPERSKY
Linux For file Server 1 450 000 450 000
Notre projet va s’effectué sur une période de 1 mois 8 jours (Environ 38Jours)
Etude de l’existant : 14 Jours
Acquisition du Matériel : 7Jours
Installation et configuration : 7Jours
Test de Vérification du bon fonctionnement du Serveur Samba : 10Jours
CONCLUSION
En somme nous pouvons dire que l'objectif de notre travail a été atteint avec succès d'
après un accomplissement sur :
- L'étude des contrôleurs de domaines suivi d'une étude comparative entre les
contrôleurs de domaines propriétaire et libre en se basant sur le coût sans négligé la
sécurité et l'efficacité des annuaires étudiés.
- Ensuite une solution détaillée sur Samba qui nous conduit à un choix du contrôleur
de domaine.
- En dernier lieu, on s'achève à une implémentation du serveur samba avec les tests de
validation.
REFERENCES
BIBLIOGRAPHIE
WEBOGRAPHIE
ANNEXES