MEMOIRE

DE STAGE DE FIN D’ETUDE

Pour l’obtention du

MASTERE PROFESSIONNEL
« Nouvelles Technologies des Télécommunications et Réseaux »

Présenté par :

Hadj Ahmed Hilali Kawther

Titre
Administration et sécurité du réseau de l’Institut Supérieur d’Informatique
Administration de
et sécurité
Mahdia du réseau
(ISIMa) deLinux
sous l’Institut Supérieur
d’Informatique de Mahdia (ISIMa) sous Linux

Soutenu le : 31/01/2015
Devant le jury :

Mme Idoudi Hanen Président

Mr Ghorbel Khaled Rapporteur
Mme Ben Hassine Ahlem Encadreur (UVT)
Mme Ghannay Sana Encadreur (ISIMa)

Administration et sécurité du réseau de l’ISIMa sous Linux

 Table des matières
Introduction générale..................................................................................................................................1
Chapitre I : Présentation générale...............................................................................................................3
Introduction.............................................................................................................................................4
I. Présentation de l’organisme d’accueil (ISIMa).................................................................................4
II. Contexte du projet...........................................................................................................................4
III. Problématique.............................................................................................................................5
IV. Travail à réaliser...........................................................................................................................5
V. Méthodologie adoptée....................................................................................................................6
V.1. Modèle en cascade......................................................................................................................6
V.2. Modèle en V.................................................................................................................................7
V.3. Synthèse......................................................................................................................................8
Conclusion...............................................................................................................................................8
Chapitre II :Etude Préalable.........................................................................................................................9
Introduction...........................................................................................................................................10
I. Etude de l’existant.........................................................................................................................10
I.1. Architecture du réseau existant.................................................................................................10
I.2. Gestion des authentifications......................................................................................................11
I.3. Politique d’accès aux ressources partagées................................................................................11
II. Critique de L’existant.....................................................................................................................12
III. Solution proposée......................................................................................................................12
III.1. Réseau d’égal à égal : P2P.........................................................................................................12
III.2. Réseau Client /serveur..............................................................................................................13
III.3. Synthèse...................................................................................................................................14
Conclusion.............................................................................................................................................15
Chapitre III : Installation de la plateforme et des prérequis......................................................................16
Introduction...........................................................................................................................................17
I. Choix de la plateforme..................................................................................................................17
I.1. Comparaison Windows /Linux.....................................................................................................17
I.2. Les distributions Linux.................................................................................................................18
I.3. Comparaison Ubuntu /Fedora.....................................................................................................19
II. Le service DNS (Domain Name System).........................................................................................20
II.1. Présentation du service DNS......................................................................................................20
II.2. Installation du serveur DNS........................................................................................................20

Administration et sécurité du réseau de l’ISIMa sous Linux

 II.3. Configuration du serveur DNS....................................................................................................21
II.4. Test de fonctionnement.............................................................................................................24
III. Le service DHCP (Dynamic Host Configuration Protocol)...........................................................25
III.1. Rôle du serveur DHCP...............................................................................................................25
III.2. Fonctionnement du serveur DHCP............................................................................................25
III.3. Configuration du serveur DHCP................................................................................................26
Conclusion.............................................................................................................................................28
Chapitre VI : Configuration du contrôleur de domaine.............................................................................29
Introduction...........................................................................................................................................30
I. Etude théorique.............................................................................................................................30
I.1. L’annuaire OpenLDAP..................................................................................................................30
I.2. Le Contrôleur de domaine Samba...............................................................................................32
II. Mise en œuvre des services...........................................................................................................34
II.1. Service OpenLDAP.....................................................................................................................34
II.2. Service Samba............................................................................................................................37
II.3. Gestion des dossiers et des comptes.........................................................................................40
III. Intégration et test des services..................................................................................................42
III.1. Cas d’un client Windows...........................................................................................................42
III.2. Cas d’un client Linux.................................................................................................................44
IV. Gestion des quotas....................................................................................................................45
IV.1. Quotas des comptes utilisateurs..............................................................................................45
IV.2. Serveur d’impression : CUPS.....................................................................................................46
Conclusion.............................................................................................................................................50
Chapitre V : Mise en place de la sécurité du réseau..................................................................................51
Introduction...........................................................................................................................................52
I. Concepts de la sécurité..................................................................................................................52
I.1. Firewall (pare-feu).......................................................................................................................52
I.2. Les VLANs....................................................................................................................................53
II. Mise en place de l’architecture sécurisée......................................................................................54
II.1. Configuration du firewall............................................................................................................54
II.2. Configuration du Switch..............................................................................................................57
Conclusion.............................................................................................................................................60
Conclusion générale..................................................................................................................................61

Administration et sécurité du réseau de l’ISIMa sous Linux

 Liste des figures
Figure 1 : Modèle du cycle de vie en cascade.................................................................................7
Figure 2 : Modèle du cycle de vie en V...........................................................................................8
Figure 3 : Architecture existante du réseau de l’ISIMa.................................................................11
Figure 4 : Architecture P2P...........................................................................................................13
Figure 5 : Architecture Client /serveur..........................................................................................14
Figure 6 : Architecture DNS.........................................................................................................20
Figure 7 : Recherche des paquets de bind9...................................................................................20
Figure 8 : Installation de bind9......................................................................................................21
Figure 9 : Configuration de l’interface eth0..................................................................................21
Figure 10 : Configuration du fichier « resolv.conf ».....................................................................22
Figure 11 : Déclaration des zones de serveur................................................................................22
Figure 12 : Création du fichier de la zone directe.........................................................................23
Figure 13 : Création du fichier de la zone inverse.........................................................................24
Figure 14 : Configuration des adresses IP des serveurs DNS externes.........................................24
Figure 15 : Redémarrage du service DNS.....................................................................................24
Figure 16 : Test du fonctionnement du serveur DNS....................................................................25
Figure 17 : Les étapes du fonctionnement du serveur DHCP.......................................................26
Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP......................................27
Figure 19 : Fixation de la plage d’adresses dynamiques...............................................................27
Figure 20 : Test du fonctionnement du serveur DHCP.................................................................28
Figure 21 : Exemple de la Structure d’annuaire LDAP................................................................31
Figure 22 : Installation des paquets slapd et ldap-utils..................................................................34
Figure 23 : Ajout d’un super administrateur..................................................................................35
Figure 24 : Cryptage du mot de passe du super utilisateur............................................................35
Figure 25 : Remplissage de l’annuaire LDAP...............................................................................36
Figure 26 : Redémarrage du service Slapd....................................................................................36
Figure 27 : Installation des packages d’authentification...............................................................36
Figure 28 : Ajout de LDAP comme méthode d’authentification..................................................37
Figure 29 : Installation de Samba, samba-doc et smbldap-tools...................................................38
Figure 30 : Ajout du schéma dans l’arborescence OpenLDAP.....................................................39
Figure 31 : Initialisation du mot de passe de l’administrateur samba...........................................39
Figure 32 : Création de l’arbre de base de l’annuaire LDAP........................................................40
Figure 33 : Fixation des droits d’accès au dossier partager...........................................................41
Figure 34 : Ajout d’un utilisateur..................................................................................................41
Figure 35 : Fichier texte d’utilisateurs...........................................................................................42
Figure 36 : Exécution du script shell.............................................................................................42
Figure 37 : Intégration au domaine................................................................................................43
Figure 38 : Test de Validation pour un client Windows................................................................44
Figure 39 : Test de Validation pour un client linux.......................................................................44
Figure 40 : Edition de la partition /home.......................................................................................45
Figure 41 : Quota des utilisateurs..................................................................................................46
Figure 42 : Ajout d’une Interface réseau.......................................................................................46
Figure 43 : Page Web du service CUPS........................................................................................47
Figure 44 : Page de configuration des imprimantes réseau...........................................................47
Figure 45 : Exemple d’ajout d’une imprimante.............................................................................48
Figure 46 : Fixation des utilisateurs de l’imprimante....................................................................48
Figure 47 : Fixation des quotas d’impression................................................................................48
Figure 48 : Imprimantes partagées dans le domaine.....................................................................49
Figure 49 : Surveillance des travaux d’impression.......................................................................49
Figure 50 : Emplacement du Firewall dans le réseau....................................................................52
Figure 51 : Exemple de création de VLAN « Etudiant »..............................................................55
Figure 52 : Architecture du réseau interne de l’ISIMa..................................................................55
Figure 53 : Règles de sécurité du VLAN Enseignant....................................................................56
Figure 54 : Règles de sécurité du VLAN étudiant.........................................................................56
Figure 55 : Ajout de la plage de temps pour une règle d’accès.....................................................57
Figure 56 : Architecture du réseau.................................................................................................58
Figure 57 : Test de validation du fonctionnement des VLANs.....................................................60
 Liste des tableaux
Tableau 1 : Comparaison Linux/Windows....................................................................................17
Tableau 2 : Adressage des VLANs................................................................................................54
Tableau 3 : Configuration Port/PC................................................................................................59
 Dédicaces
Du profond de mon cœur, je dédie ce travail à tous ceux qui me sont chers,

A MES CHERS PARENTS

Que ce travail soit l’expression de ma reconnaissance pour vos sacrifices

Consentis, votre soutien moral et matériel que vous n’avez cessé de prodiguer.

Vous avez tout fait pour mon bonheur et ma réussite.

Que Dieu vous préserve en bonne santé et vous accorde une longue vie

A MES FRERES, SOEURS, LEURS EPOUX ET LEURS ENFANTS

Vous étiez toujours présents pour m’aider et m’encourager.

Sachiez que vous serez toujours dans mon cœur.

A tous mes amis qui n’ont cessé de m’encourager et de me soutenir

A Toutes MES AMIES…

 Remerciement
Nous tenons à exprimer notre gratitude et nos remerciements aux membres de jury, veuillez

accepter dans ce travail notre sincère respect et notre profonde reconnaissance.

Nous tenons d’abord à exprimer notre sincère gratitude à notre encadreur de stage Mme Gannay

Sana qui n’a pas hésité un jour à nous suivre tout au long de notre projet, et à nous fournir toutes

les informations nécessaires à la réalisation de notre travail.

Nous tenons également à remercier infiniment Mme Ben Hassine Ahlem pour nous avoir offert

les conditions nécessaires et nous avoir guidées dans l’élaboration de ce travail et contribuer

largement à sa réalisation avec la patience, aussi son soutien tout au long de notre projet

Nous profitons aussi de ce mémoire pour exprimer nos plus vifs remerciements envers tous les

professeurs qui nous ont apportés du soutien durant nos études et envers tous nos amis qui ont

été toujours près de nous avec leurs encouragements, critiques et conseils

Que le corps professoral et administratif et surtout le Secrétaire général de l’institut Supérieur

d’Informatique de Mahdia trouvent ici nos vifs remerciements.

 Introduction générale
Les réseaux informatiques sont devenus, depuis une dizaine d’années, un élément très important
dans toute institution: commerciale, industrielle, gouvernementale, éducative, etc. Ceci est dû
notamment à la vulgarisation de l’outil informatique et l’apport extraordinaire qu’apportent les
réseaux informatiques dans la circulation rapide de l’information.

Pour répondre au besoin de l’entreprise, l’administration de réseau ne cesse d’évoluer pour

chercher des outils d’échanges des données et de partage des informations en temps réel, en
tenant compte des mesures de sécurité et de confidentialité.

Cette technique est mise en place pour la résolution des problèmes d’anarchisme dans les
réseaux et le mal échange des données et des ressources, ainsi que le manque de la sécurité qui
présentent les principaux problèmes dans notre établissement lieu de stage.

C’est dans ce contexte que se situe notre projet intitulé «Administration et sécurité du réseau de
l'Institut Supérieur l'Informatique de Mahdia (ISIMa) sous Linux ».

L’idée de ce projet consiste à organiser le réseau informatique de l’établissement, à la mise en

place d’un contrôleur de domaine et à sécuriser la connexion Internet contre les pirates et les
attaques.

Les étapes d’élaboration de ce projet sont présentées d’une manière détaillée dans ce rapport,
dans lequel nous allons organiser notre travail sur cinq chapitres.

Dans le premier chapitre, nous allons présenter l’organisme d’accueil, ainsi que le contexte
général du projet. Ensuite, nous passons à la présentation de la problématique, le travail à réaliser
et le choix de la méthodologie de travail.

Le deuxième chapitre s’intéresse à l’étude de l’existant, la critique de l’existant et la solution

adoptée.

Le troisième chapitre explore une étude du système d’exploitation à utiliser et les prérequis
nécessaires pour assurer notre administration.

Administration et sécurité du réseau de l’ISIMa sous Linux Page 1

Dans le quatrième chapitre, nous allons présenter l’installation, la configuration et
l’implémentation du contrôleur de domaine, ainsi que le gestionnaire d’impression.

Le cinquième chapitre présente une solution de sécurité du réseau de l’entreprise basé sur la
configuration des VLANs d’une coté et la mise en place et la configuration d’un firewall
matériel d’une autre coté.

Finalement, nous terminons par une conclusion qui résume nos travaux déjà réalisé et qui
présente les perspectives à l'ensemble de travaux menés au cours de ce projet.
Chapitre I :

Présentation générale
Introduction
Dans ce premier chapitre nous mettrons le sujet dans son cadre général, en présentant
l’organisme d’accueil. Par la suite, nous allons introduire notre sujet « Administration et sécurité
du réseau de l’ISIMa sous Linux » ainsi que sa problématique. Au niveau de la troisième partie
de ce premier chapitre, nous allons expliquer le travail à réaliser. Enfin nous allons décrire la
méthodologie utilisée et nous terminerons par une conclusion.

I. Présentation de l’organisme d’accueil (ISIMa)

Notre organisme d’accueil, qui est l'Institut Supérieur d'Informatique de Mahdia - ISIMa -, est un
établissement relevant de l'Université de Monastir.

Il est dirigé par un directeur et assisté par un secrétaire général, des chefs de département, un
directeur des études et stages et de 21 cadres administratifs.

La mission d’enseignement est assurée par soixante-trois enseignants de plusieurs spécialités

(informatique, Télécommunication, physique, Math, etc.)

L’établissement accueille plus que sept cent étudiants chaque année répartie sur trois branches :

 Licence Fondamentale en informatique (LFI)

 Licence Appliquée en informatique (LAI)
 Licence Appliquée en Réseaux Informatique (LARI)

Il est doté d’une infrastructure composée des salles de cours, salles de travaux dirigés, des
laboratoires informatiques, d’une bibliothèque et des bureaux pour les services administratifs et
les enseignants répartis sur quatre étages.

II. Contexte du projet

Un réseau n’est rien de plus qu’un ensemble de machines, appelées des hôtes, reliées les unes
aux autres dans le but d’échanger des données d’une manière sûre, rapide et sécurisée. Pour
assurer cet échange dans une entreprise, nous devons avoir un système d’administration qui
assure le partage et le transfert des données d’une manière automatique et sécurisée.

Dans ce cadre se situe notre projet intitulé « Administration et sécurité du réseau de l’Institut
Supérieur d’Informatique de Mahdia sous Linux ». Dans ce projet, nous allons s’intéresser dans
une première partie, à l’organisation du réseau de l’ISIMa par la mise en place et la
configuration des différents services sous un système open source pour assurer le contrôle des
utilisateurs et le partage des ressources d’une façon hiérarchique. Ainsi, dans la deuxième partie,
nous allons s’intéresser à la sécurité des données contre les intrusions internes et externes qui
peuvent attaquer nos ressources.

III. Problématique
Après une analyse détaillée du réseau local de l’institut supérieur d’informatique de Mahdia,
nous dégageons les problématiques suivantes :

 Sécurité faible du réseau et surtout un manque de séparation entre le réseau d’étudiants,

de personnels, administratifs et d’enseignants.
 Manque de sécurité contre les intrusions externes
 Absence d'une gestion de comptes et d’utilisateurs. En effet, les étudiants travaillent et
enregistrent leurs travaux sur la machine locale, ce qui présente une perte des données en
cas d'un accès malveillant aux machines.
 Absence d’un contrôleur d’imprimante
 Sécurité faible du réseau: nous remarquons une absence de gestion des droits d'accès aux
machines et aux fichiers ainsi une absence d’authentification pour contrôler les
utilisateurs du réseau, etc.
 Absence d'utilisation d'un serveur Windows ou Linux pour gérer le réseau. Ceci
complique le travail des enseignants et des techniciens côté installation des logiciels et
gestion d'accès des étudiants

La prise en compte des problèmes évoqués précédemment a abouti à l'élaboration d'une

solution d’administration que nous allons présenter ses buts dans la partie suivante.

IV. Travail à réaliser

Le réseau d’ISIMa présente beaucoup des problèmes d’organisation et manque des serveurs et
des services d’administration. Ainsi, afin de résoudre ces problèmes, il est primordial de munir
ce réseau d’un serveur Linux pour profiter des services open source, et pour éviter les problèmes
d’authentification des systèmes d’exploitation Windows.
Ensuite, nous allons passer à la mise en place et la configuration de l’ensemble de services pour
assurer :
 le contrôle du domaine
 le contrôle des utilisateurs
 le partage des dossiers
  le partage des imprimantes
Finalement, nous passons à la sécurisation du réseau de notre institut contre les intrusions
internes par la mise en place d’une solution pour la séparation de flux des données circulant dans
le réseau. Ainsi, nous allons adopter à une solution pour la sécurité contre les attaques prévenant
du réseau externe.
Afin d’organiser les étapes de la réalisation de notre projet, il est primordial de choisir une
méthodologie de travail que nous allons la décrire dans la section suivante.

V. Méthodologie adoptée
Le cycle de développement d’un projet passe par un certain nombre de phases. Les différents
modèles de développement ont plus ou moins les mêmes phases, mais c'est l'enchaînement de
ces phases, ce qui rend ses différents modèles se distingue les uns des autres. Les deux modèles
les plus couramment utilisés sont le développement de logiciels cascade et le modèle V.

Dans cette partie, nous allons décrire ces deux modèles en choisissant le plus adopté à notre
projet.

V.1. Modèle en cascade

Le modèle de cycle de vie en cascade a été mis au point dès 1966, puis formalisé aux alentours
de 1970 [1]. Dans ce modèle le principe est très simple : chaque phase se termine à une date
précise par la production de certains documents ou logiciels. Les résultats sont définis sur la base
des interactions entre étapes, ils sont soumis à une revue approfondie et on ne passe à la phase
suivante que s'ils sont jugés satisfaisants. Le modèle original ne comportait pas de possibilité de
retour en arrière. Celle-ci a été rajoutée ultérieurement sur la base qu'une étape ne remet en cause
que l'étape précédente, ce qui est dans la pratique s'avère insuffisant. (Figure 1)
 Figure 1 : Modèle du cycle de vie en cascade

V.2. Modèle en V

Le modèle en V demeure actuellement le cycle de vie le plus connu et certainement le plus

utilisé [1]. Le principe de ce modèle est qu'avec toute décomposition doit être décrite la
recomposition, et que toute description d'un composant doit être accompagnée de tests qui
permettront de s'assurer qu'il correspond à sa description.

Ceci rend explicite la préparation des dernières phases (validation-vérification) par les premières
(construction du logiciel), et permet ainsi d'éviter un écueil bien connu de la spécification du
logiciel : énoncer une propriété qu'il est impossible de vérifier objectivement après la réalisation.
(Figure 2).
 Figure 2 : Modèle du cycle de vie en V

V.3. Synthèse
Après la description des deux modèles, nous avons constaté que le modèles-en V, est le modèle
le plus convenable pour la réalisation de notre projet. En effet, ce modèle nous permet de faire
des tests unitaires après chaque étape de réalisation. Cet avantage, diminue le nombre des défauts
dans notre application par rapport au modèle en cascade.

Conclusion
Dans ce chapitre, nous avons fait une présentation générale du cadre de projet en décrivant les
problématiques, le travail à réaliser et en choisissant la méthodologie adoptée.

Le chapitre suivant, sera consacré à l’étude de l’existant, la critique de l’existant, ainsi que la
présentation de la solution proposée.
Chapitre II :

Etude Préalable
Introduction
L’étude préalable constitue une étape préliminaire pour la réalisation d’une application. En effet,
elle permet d’analyser, d’évaluer et de critiquer le fonctionnement habituel, tout en élaborant la
liste de solutions possibles.
Ce chapitre sera réservé pour présenter l’étude préalable de notre projet. Nous commençons par
une description détaillée du réseau mis en place. Cette description nous mène à une analyse et
une critique de l’existant. Enfin, nous proposons les différentes solutions aux problèmes
soulevés.

I. Etude de l’existant
L'étude de l'existant est une phase importante pour bien comprendre le réseau déjà mis en place
dans notre établissement. C’est pour cela que dans cette phase, nous allons effectuer une
description précise de l'existant en énumérant les principaux composants et l’architecture actuelle
du réseau de l’ISIMa.

I.1. Architecture du réseau existant

Le réseau de l’ISIMa est composé de sept laboratoires informatiques équipés des machines, des
postes de travail des administratifs, des ordinateurs portables des étudiants et des enseignants et
un serveur d’antivirus Kaspersky. Toutes ces machines sont interconnectées au réseau local mit
en place (filaire ou WI-FI) à travers des Switch de type : Dell, HP, D-Link, etc. Ce réseau est
subdivisé en deux réseaux séparé : 192.168.1.0/22 192.168.100.0/24. Leur adressage est fait de
manière dynamique à partir de deux serveurs DHCP intégrés respectivement dans un routeur du
type Hwawi et un firewall du type Cisco ASA 5510 placé dans une salle serveur.

Les systèmes d’exploitation installés dans les postes de travails de l’institut sont soit Windows 7
soit Ubuntu 12.04, donc nous parlons d’un réseau hétérogène.

Pour mieux comprendre l’architecture du réseau existant dans l’institut, nous avons résumé tout
ce que nous avons décrit dans le schéma de la figure 3.
 Figure 3 : Architecture existante du réseau de l’ISIMa

I.2. Gestion des authentifications

Pour accéder au poste de travail de l’institut, les utilisateurs (administratifs, étudiants,
enseignants) utilisent des comptes locaux avec des droits administrateurs. Nous remarquons
aussi une absence d’un système d’authentification centralisé afin de protéger les ressources de
l’établissement comme les postes de travail, les imprimantes, etc.

I.3. Politique d’accès aux ressources partagées

La politique d’accès aux ressources partagées sur le réseau de l’ISIMa n’est pas bien
définie. En effet, les ordinateurs sont déclarés dans un seul groupe de travail et tous les
utilisateurs ont la main de partager dans le réseau. Ainsi, nous remarquons que certaines
ressources sont partagées avec un accès de lecture et écriture accordée à tout le monde.
II. Critique de L’existant
A partir de notre étude détaillée du réseau existant dans notre établissement, nous avons
remarqué l’existence de plusieurs failles dans différents niveaux. Premièrement, nous avons
constaté l’absence totale d’un contrôleur de domaine qui gère l’administration du réseau avec
une politique d’authentification et de partage claire. En effet, n’importe quelle personne peut
utiliser les ressources de l’établissement sans aucune authentification, comme il peut modifier
leurs configurations, ce qui présente un grand problème surtout que nous parlons d’un
établissement d’enseignement supérieur et la plupart des utilisateurs sont les étudiants.

Deuxièmement, tous les utilisateurs peuvent partager des documents dans le réseau de l’institut
avec une absence d’administration et de centralisation de ces ressources partagées. Ces
ressources sont partagées sans aucun droit d’accès et tout le monde peut y faire des
modifications.

Troisièmement, dans notre établissement, tous les ordinateurs que ce soit personnel, enseignant
ou étudiant sont interconnectés sous le même réseau ce qui présente une faille de sécurité et une
source d’intrusions, surtout que nous avons des services très sensibles dans l’institut comme le
service examen. En plus, nous avons constaté qu’il n’y a aucune règle de sécurité configurée sur
le firewall déjà existant.

Nous pouvons conclure de tout ce que nous avons cité que nous sommes en face d’un réseau
anarchique qui manque d’administration. Cette mauvaise organisation a engendré plusieurs
problèmes liés à la communication entre les utilisateurs du réseau et à la manière de diffusion
des informations.

III. Solution proposée

Le but de notre projet est la mise en place d’une solution fiable pour l’administration du réseau
de l’établissement et la résolution des problèmes déjà décrits dans la partie précédente.

Notre solution va être basée sur le choix de l’architecture du réseau. En effet, dans cette partie
nous allons présenter les différentes solutions déjà présentées dans la littérature. Nous focalisons
en particulier sur l’architecture égale à égale et l’architecture client/serveur.

III.1. Réseau d’égal à égal : P2P

Le réseau égal à égal ou poste à poste ou encore Peer to Peer « P2P » [2], ne comporte en général
que peu de postes, moins d’une dizaine de postes, parce que chaque utilisateur est un
administrateur de sa propre machine, il n’y a pas d’administrateur central, ni de super utilisateur.
Par ailleurs, cette architecture ne comprend pas une hiérarchie entre les postes ou bien entre les
utilisateurs. Chaque ordinateur dans un tel réseau est à la fois serveur et client comme l’indique
la figure 4. Cela signifie que nous avons la possibilité de partager les ressources de n’importe
quel ordinateur, ainsi, les imprimantes reliées à ces dernières afin d’être utilisés dans le réseau.

Figure 4 : Architecture P2P

III.2. Réseau Client /serveur

Le modèle client-serveur constitue une étape importante dans l'évolution des systèmes
d'information [3]. En effet, le principe de cette architecture est le suivant : des machines
clientes (des machines faisant partie du réseau) contactent un serveur, une machine généralement
très puissante en termes de capacités d'entrées-sorties, qui leur fournit des services (figure 5).

L’architecture client/serveur est une architecture centralisée, étant donné que le serveur est au
centre du réseau, et il peut gérer les ressources communes à tous les utilisateurs afin d’éviter les
redondances et les contradictions.

Cette architecture est particulièrement recommandée pour les réseaux étendus et qui nécessitent
un grand niveau de fiabilité vu le grand nombre d’avantages qui fournissent. Nous citons par
exemple :
  La sécurité : vu que le nombre des points d’entrée permettant l’accès aux données est
moins important

 La centralisation : l’administration du réseau se fait essentiellement au niveau du

serveur, d’où les clients ont moins d’importance et nécessitent moins d’administration.

 Un réseau évolutif : grâce à cette architecture nous pouvons supprimer ou rajouter des
clients sans perturber le fonctionnement du réseau et sans modification majeurs.

Figure 5 : Architecture Client /serveur

III.3. Synthèse
Après la présentation des deux architectures, nous synthétisons que même si un réseau peer-to -
peer est facile à installer et peu coûteuse, les systèmes client-serveur sont plus sûrs et offrent plus
de place pour l'expansion et l’évolution. Par ailleurs, l’architecture client/serveur est la seule qui
peut gérer le réseau de l’établissement constitué de plus qu’une centaine de machines. Ainsi,
nous pouvons envisager une machine serveur responsable de l’administration, la supervision et la
sécurité du réseau (machine, imprimante, équipement d’interconnexion, etc.).
Conclusion
Dans ce chapitre nous avons présenté l’architecture existante dans notre établissement. Par la
suite, nous avons passé à une critique de l’existant. Finalement, nous avons proposé un
ensemble de solutions pour la résolution de ces problèmes.

Nous passons dans le chapitre suivant à l’installation de notre plateforme de travail ainsi que les
services de base.
Chapitre III :

Installation de la plateforme et des

prérequis
Introduction
De nos jours, il existe plusieurs systèmes d’exploitation qui jouent le rôle de gestionnaire du
réseaux. Nous citons par exemple Windows Server, Unix, Linux, etc.

De ce fait, dans la première partie de ce chapitre, nous allons détailler une comparaison entre
les différents systèmes d’exploitation existants et choisir le meilleur entre eux. Par la suite, nous
allons faire une présentation détaillée deux services réseaux à savoir : DNS (Domain Name
System) qui assure la correspondance entre l’adresse IP et le nom de la machine et DHCP
(Dynamic Host Configuration Protocol) qui permet la configuration dynamique des adresses IP.
Nous exposons principalement leurs installations, leurs configurations et leurs tests de
fonctionnement.

I. Choix de la plateforme
Le choix du système d’exploitation et la mise en place de la plateforme du travail sur laquelle
nous allons travailler est une phase très importante. De ce fait dans cette partie, nous allons
procéder à une comparaison entre les différents systèmes d’exploitation existant afin de justifier
le choix du gestionnaire de notre réseau.

I.1. Comparaison Windows /Linux

Le Tableau 1 présente une comparaison entre le système d’exploitation Windows et le système
Linux dans le domaine d’administration réseau.

Critère Linux Windows

Propriété Free Propriétaire (Microsoft)

Code source Accessible Non accessible

Logiciel et mise à jour Non payant Payant
Sécurité Forte Faible
Administration Compliquée mais sécurisée, Simple mais facile à
robuste et évolutive attaquer, difficile à
maintenir

Tableau 1 : Comparaison Linux/Windows

En la comparant avec l’administration sous le système d’exploitation Windows, l’administration

réseau sous Linux et comme toute administration sous n’importe quel système d’exploitation
mais Linux offre plus de sécurité de données au sein du réseau. Par ailleurs, Linux est un
système d’exploitation libre qui permet de profiter des avantages de logiciels open source (accès
libre au code source). Aujourd’hui, les entreprises sont attirées à Linux non seulement pour son
coût de licence nul, mais aussi pour le surcoût de maintenance très bas, sa stabilité, et sa sécurité.

Nous remarquons ainsi que le système Linux répond à tous nos besoins en termes d’accès au
code source, de gratuité de licence, et de disponibilité de la documentation. Toutefois, il nous
reste à choisir une parmi ses distributions.

I.2. Les distributions Linux

Une distribution Linux, appelée aussi distribution GNU/Linux pour faire référence
aux logiciels du projet GNU [4], est un ensemble cohérent de logiciels. La plupart étant logiciels
libres, assemblés autour du noyau Linux. Il existe une très grande variété de distributions, ayant
chacune des objectifs et des caractéristiques particulières.

Dans le domaine de l’administration du réseau, il existe deux principales distributions: Debian et

Redheat. De la première distribution, nous avons choisi Ubuntu Server et de la deuxième nous
avons sélectionné Fedora Server.

I.2.1. Serveur Ubuntu

Ubuntu [5] est une distribution qui propose un système libre, gratuit, sécurisé et convivial. Ce
système est utilisable aussi bien sur des serveurs que des postes de travail. Il est toutefois orienté
grand public notamment grâce à sa simplicité d’utilisation qui favorise la prise en main. C’est
une distribution compacte (fréquemment distribué sur CD) qui assure une grande compatibilité
matérielle et dispose de nombreux logiciels, de base ou à installer.

Dans un jargon plus technique, Ubuntu est une "distribution GNU/Linux très globalement libre
basée sur Debian". Depuis la première version stable d'Ubuntu, sortie en 2004, la popularité de
cette distribution ne cesse de croître; elle continue de s'améliorer en terme de fonctionnalités et
de stabilité, et séduit chaque jour de nombreux utilisateurs, tant parmi les débutants que parmi les
plus chevronnes et occupe actuellement la première place à l'échelle mondiale.

I.2.2. Serveur Fedora

Fedora,[6] anciennement Fedora Core, est une distribution GNU/Linux bâtie sur le
système RPM, développée par le projet Fedora et soutenue par la société Red Hat. Cette
distribution se veut être un système d'exploitation complet, composé uniquement de logiciels
libres. Fedora dérive donc de la distribution Red Hat Linux, et est destinée à l’expert plus tôt que
les débutants ou les généralistes. Le maintien de Fedora est en grande partie redevable à sa
communauté d'utilisateurs.

Cette distribution se distingue par le très grand nombre d'architectures supportées, son
importante logithèque et par son cycle de développement relativement long, ce qui lui confère un
gage d'une certaine stabilité. Sa qualité et son sérieux sont unanimement reconnus, mais elle
garde l'image d'une distribution réservée aux experts, malgré que son ergonomie a beaucoup
évolué.

I.3. Comparaison Ubuntu /Fedora

Ubuntu et Fedora sont deux des plus grands noms quand il s'agit de distributions Linux. Les
deux distributions sont parrainées par des grandes entreprises - Canonical avec Ubuntu et Red
Hat avec Fedora - et fournissent des mises à jour régulières pour assurer la sécurité et la stabilité.

Ubuntu est souvent considérée comme la version la plus conviviale de Linux pour les nouveaux
utilisateurs, ce qui explique sans doute à ce qu'elle soit la version la plus populaire de Linux
cependant occupe Fedora la quatrième place à l’échelle mondiale. D’autre part, nous constatons
qu’avec l’utilisation du système Ubuntu, nous ne trouvons plus des problèmes de compatibilités
matériels vue que cette distribution utilise des logiciels propriétaires cependant nous ne trouvons
pas cet avantage avec la distribution Fedora et qui nous cause des problèmes de compatibilité et
par la suite l’utilisation des matérielles comme les cartes Wi-Fi ou les cartes graphiques.

Nous constatons, d’après cette comparaison, que le meilleur système qui nous aide à mettre en
place notre projet et à faire l’administration réseaux est linux et plus particulièrement la
distribution Ubuntu. En effet, ce système possède plusieurs avantages par rapport à Windows et
à d’autres systèmes et surtout au niveau de sécurité, simplicité et compatibilité. Plus
particulièrement, nous avons opté pour la version 10.04 d’Ubuntu server qui contient la
plupart des services réseau de façon stable.

Afin d’assurer le fonctionnement de notre réseau, il est nécessaire d’installer le service DNS
(Domain Name System) que nous allons présenter dans la partie suivante.
II. Le service DNS (Domain Name System)
II.1. Présentation du service DNS
DNS (Domain Name System) [7] est un système d’appellation d’ordinateurs et de services
réseau organisé selon une hiérarchie de domaines comme c’est présenté dans la figure 6.
L’attribution de noms DNS est utilisée sur les réseaux TCP/IP tel qu’Internet afin de localiser les
ordinateurs et les services au moyen de noms conviviaux. Lorsqu’un utilisateur entre un nom
DNS dans une application, les services DNS peuvent résoudre ce nom en une autre information
qui lui est associée, par exemple une adresse IP.

Figure 6 : Architecture DNS

II.2. Installation du serveur DNS

Tout d’abord, nous devons vérifier l’existence des paquetages nécessaires à l’aide de la
commande suivante : « aptitude search bind9 » (figure 7)

Figure 7 : Recherche des paquets de bind9

Dans le cas où le paquet bind9 n’est pas installé, il faut l’installer avec (figure 8):

apt-get install bind9

Figure 8 : Installation de bind9

II.3. Configuration du serveur DNS

Apres avoir installé le paquetage bind9, il faut tout d’abord commencer par la configuration de
l’interface réseau de notre serveur.

Le serveur DNS doit avoir une adresse IP statique, donc nous devons éditer le fichier
« /etc/network/interfaces » avec la commande shell : « nano » et nous ajoutons les lignes
indiquées dans la figure 9 :

Figure 9 : Configuration de l’interface eth0

Chaque élément de la configuration de l’interface eth0 (iface, address, netmask, etc) est
nécessaire pour pouvoir utiliser normalement le réseau et l’Internet.

Apres avoir fixé l’adresse IP de notre serveur, nous allons passer à la configuration des fichiers
spécifiques du serveur DNS.

La première étape consiste à la modification du fichier « /etc/resolv.conf » en déclarant le non du

domaine « isima.rnu.tn » et l’adresse IP du serveur DNS 192.168.3.100 comme l’indique la
figure 10.
 Figure 10 : Configuration du fichier « resolv.conf »

La deuxième étape consiste à déclarer les différentes zones du serveur DNS dans le fichier de
configuration « /etc/bind/named.conf.local ». Nous allons ainsi remplir notre fichier avec les
lignes suivantes (figure 11):

Zone "isima.rnu.tn " IN { // Le nom de la zone directe

Type master; // Master désigne que le type qu’on va déclarer est serveur

File "/etc/bind/db.isima.rnu.tn"; // Indique le chemin où on va enregistrer la zone principale

};

Zone "168.192.in-addr.arpa" { // le nom de la zone inverse

type master; // master désigne que le type est serveur

file "/etc/bind/db.isima.rnu.tn.rev"; // indique l’emplacement du fichier de la zone inverse

};

Figure 11 : Déclaration des zones de serveur

La troisième étape est la création et le remplissage du fichier de la zone directe déclaré
antérieurement et présenté dans la figure 12 :

Figure 12 : Création du fichier de la zone directe

 $TTL permet de définir en secondes et dans un intervalle qui va de 0 à 2147483647 le délai

maximum pendant lequel un enregistrement pourra être gardé en cache. Avec 86400, le
cache sera vidé, et les fichiers relus, toutes les 24 heures.

 Refresh, Retry, et Expire sont des délais, exprimés en secondes, qui vont piloter le
comportement des serveurs esclaves. A l'expiration du délai refresh, l'esclave va entrer en
contact avec le maître ; s'il ne le trouve pas, il essaiera de nouveau à la fin du délai Retry. Et
si, au bout du délai expire, il n'est pas parvenu à ses fins, il considérera que le serveur maître
a été retiré du service. Nous remarquons aussi la disposition des parenthèses, obligatoire
pour disposer les informations sur plusieurs lignes.

Pour la quatrième étape, nous répétons le même processus pour la zone-inverse avec la création
du fichier spécifique « /etc/bind/db.isima.rnu.tn.rev » (figure 13)
 Figure 13 : Création du fichier de la zone inverse

Pour la cinquième étape, il est conseillé (mais pas obligatoire) d’indiquer les adresses IP des
serveurs DNS externe s’il existe dans le fichier « etc/bind/named.conf.options » (figure 14)

Figure 14 : Configuration des adresses IP des serveurs DNS externes

Après avoir terminé l’installation du service DNS et la configuration de ses fichiers, il faut
redémarrer notre service.

Figure 15 : Redémarrage du service DNS

Nous passons ensuite, au test du fonctionnement de notre serveur DNS

II.4. Test de fonctionnement

Pour tester le bon fonctionnement du notre serveur, nous devons taper la commande
administrateur « nslookup ». [8]
 Figure 16 : Test du fonctionnement du serveur DNS

Dans la figure 16, la commande « nslookup » permet de donner l’adresse IP en fonction du nom
de la machine et inversement après avoir interrogé le serveur DNS déjà installé.

III. Le service DHCP (Dynamic Host Configuration Protocol)

III.1. Rôle du serveur DHCP
Le protocole DHCP, (Dynamic Host Configuration Protocol) ou (Protocole de la
configuration dynamique des hôtes), est un service réseau TCP/IP [9]. Il permet aux
ordinateurs clients l'obtention automatique d'une configuration réseau. Il évite la configuration
de chaque ordinateur manuellement. Les ordinateurs configurés pour utiliser DHCP n'ont pas
le contrôle de leur configuration réseau qu'ils reçoivent du serveur DHCP.

III.2. Fonctionnement du serveur DHCP

D’une manière générale, le fonctionnement d'un client DHCP passe par les étapes déjà
présentées dans la figure 17 et qui sont les suivantes:

 Localisation de bail IP : le client émet une diffusion générale afin de trouver l’IP d’un
serveur DHCP
 Offre de bail : Tous les serveurs DHCP disponibles envoient une offre d’adressage IP au
client.
 Demande de bail : le client sélectionne la première proposition d’adressage IP qu’il reçoit,
puis émet à nouveau une diffusion générale afin de demander un bail.
 Confirmation de bail : le serveur DHCP retenu répond alors au client, et les autres serveurs
retirent leurs offres.
Le client reçoit son adresse IP ainsi que ses paramètres optionnels (passerelle, adresse serveur
DNS).

Figure 17 : Les étapes du fonctionnement du serveur DHCP

III.3. Configuration du serveur DHCP

Dans le but de la bonne exploitation du matériel existant dans l’institut, nous avons choisi de
configurer notre Firewall Cisco ASA 5510, pour qu’il soit notre serveur DHCP.

En effet, le firewall Cisco est un équipement performant, et permet de nous donner des services
très importants pour la sécurité de notre réseau dont nous allons les présenter dans le chapitre 5
« sécurité du réseau ».

Dans cette phase, nous allons nous intéresser à la configuration du serveur DHCP. En effet, nous
allons faire la création et la configuration de l’interface « inadmin » dans notre firewall, fixer
son adresse IP à 192.168.1.1 et son masque est de 255.255.252.0 comme indique la figure 18 :
 Figure 18 : Configuration de l’interface « inadmin » du serveur DHCP

Par la suite, nous allons activer le DHCP et fixer la plage d’adresses dynamiques de l’interface
(figure 19).

Figure 19 : Fixation de la plage d’adresses dynamiques

Le reste de la plage d’adresses de l’interface « inadmin », du 192 .168.1.255 jusqu’au

192.168.3.255, est réservé pour l’adressage statique.

La figure 20, présente le bon fonctionnement de notre serveur DHCP sur une machine cliente
connecté dans le réseau :
 Figure 20 : Test du fonctionnement du serveur DHCP

En effet, dans cette figure nous remarquons que la machine a bien acquis une adresse IP
dynamiquement de la part de notre serveur DHCP déjà configuré.

Conclusion
Dans ce chapitre, nous avons choisi notre système d’exploitation et nous l’avons installé sur
notre serveur. Ensuite, nous avons présenté la configuration des services réseaux DHCP et DNS
et nous avons détaillé leurs tests de fonctionnement. Nous possédons ainsi un serveur qui permet
de reconnaitre et configurer dynamiquement les machines du réseau.

Le chapitre suivant, sera consacré à la présentation et la mise en place du contrôleur de domaine.

Nous allons en particulier gérer le partage de dossiers et d’imprimantes et manipuler les comptes
et les groupes des utilisateurs dans notre réseau.
Chapitre VI :

Configuration du contrôleur de
domaine
Introduction
Un domaine est une entité logique vue comme une enveloppe étiquetée. Il désigne l’ensemble de
machines réseau (stations, imprimantes,…) et les comptes utilisateurs qui sont autorisés à se
connecter.

Le domaine permet à l’administrateur réseau de gérer plus efficacement les utilisateurs des
stations installées au sein de l’entreprise car toutes ces informations sont centralisées dans une
même base de données et stockées sur un serveur particulier appelé contrôleur de domaine.

Dans ce contexte, nous pouvons citer plusieurs familles des contrôleurs des domaines existants
sur le marché comme Active Directory pour les systèmes Windows (Windows XP, Windows 7,
etc.), NIS pour les systèmes Open Source (Ubuntu, Debian, etc.) et Samba pour les réseaux
hétérogènes et ce qui est le cas dans notre projet. Toutefois, Samba doit être couplé avec
l’annuaire LDAP afin d’organiser les données et les centraliser dans un annuaire séparé.

Ainsi, dans ce chapitre, nous allons nous intéresser à la présentation du contrôleur de domaine
Samba et l’annuaire OpenLDAP dans un premier lieu. Dans un second lieu, nous détaillerons les
étapes d’installation et de configuration de ces deux services. Nous terminerons enfin par
l’explication de la gestion de quotas d’espace disque et d’ impressions.

I. Etude théorique
L’étude et la mise en place d'un serveur contrôleur de domaine centralisé comme Samba sont
indispensables pour gérer les comptes utilisateurs, les authentifications et les partages des
répertoires. Néanmoins, un annuaire open source comme LDAP permettant d’enregistrer nos
données s’avère nécessaire pour avoir un contrôleur de domaine. Dans ce qui suit, nous allons
présenter ces deux services avec leurs principales fonctionnalités.

I.1. L’annuaire OpenLDAP

I.1.1. Définition D’un annuaire
OpenLDAP [10] est un projet libre diffusé sous licence OpenLDAP Public License. Il est
supporté par la fondation OpenLDAP, créée en 1998 par une société appelée Net Boolean,
fournisseur de services professionnels liés à la messagerie.

OpenLDAP est une implémentation libre de LDAP [Lightweight Directory Access Protocol],
fonctionnant en mode Client/serveur et qui permet d'offrir des fonctionnalités variées dont une
gestion des authentifications dans un environnement réseau. Il peut également gérer les comptes
utilisateurs pour Linux et celles de Windows via un contrôleur de domaine principal.
Ce service est utilisé pour enregistrer une grande quantité d’informations dans un réseau
informatique.

I.1.2. Caractéristiques et fonctionnement

Le serveur LDAP présente l’intermédiaire entre le client et la source de données. Il définit alors
l’organisation des données qu’il présente de manière hiérarchique à travers un format de fichier
standard LDIF (LDAP Data Interchange Format).

Le modèle LDAP normalise un grand nombre d’informations :

 Le protocole : permettant d’accéder à l’information contenue dans l’annuaire

 Le modèle de nommage : définit la manière de stockage et d’organisation des données
(attributs des objets)
 Le modèle fonctionnel : définit les différents services fournis par l’annuaire
 Le modèle d’information : définit le type d’informations stockées
 Le modèle de sécurité : définit les droits d’accès aux ressources (authentifications des
accès)
 Le modèle de duplication : définit comment la base est répartie entre serveurs
 Des APIs : pour développer des applications clientes

La figure 21 présente un exemple d’un annauire LDAP .

dc=isima,dc=rnu,dc=tn

ou=utilisateur ou=machine ou= groupe

cn = kawther cn = pc cn =enseignant cn= etudiant

Figure 21 : Exemple de la Structure d’annuaire LDAP
 DC [Domain Components] : C’est une partie du nom de domaine. Dans notre cas, le
domaine que nous obtenons à partir des différentes DC est « isima.rnu.tn ».
 OU [Organizational Units] : Unité d’organisation qui présente les nœuds principaux dans
une entreprise qui sont dans notre cas: utilisateur, machine et groupe
 Cn [Commun Name] : ce sont les données spécifiques des unités d’organisations par
exemple « enseignant » pour l’unité d’organisation « groupe ».

L’annuaire LDAP doit être interconnecté à un contrôleur de domaine Samba que nous allons
présenter dans la suite.

I.2. Le Contrôleur de domaine Samba

I.2.1. Définition
Samba [11] est une suite de logiciels qui nous permettra d’interconnecter des systèmes
hétérogènes, afin d’en partager les ressources. Ces ressources sont composées d’utilisateurs, de
groupes, de machines et d’imprimantes. Ainsi toutes les machines Unix peuvent accéder à une
machine ou domaine Windows et inversement.
Cependant, Samba nous fournit les fonctionnalités d’un contrôleur de domaine ainsi qu’un
gestionnaire de fichiers.

I.2.2. Structure de Samba

Le serveur Samba est constitué de deux applications principales qui sont :
 Nmbd : qui permet de gérer la résolution de noms NetBIOS et toutes les connexions UDP. Il
est le premier serveur démarré dans le processus de démarrage de Samba. Il fonctionne sur le
port 137.
 Smbd : qui permet de gérer toutes les connexions SMB/CIFS ainsi que le partage de fichiers
et d’imprimantes. Il gère également les authentifications locales. Il est démarré juste après
Nmbd et il fonctionne sur le port 139.
Ce service fonctionne en mode client/serveur via le service SMB (Server Message Block) qui
permet la communication entre les machines sous linux et Windows.

I.2.3. Fonctionnalités de Samba

Le service Samba fournit des différentes fonctionnalités serveurs telles que serveur de fichiers,
serveur d’imprimantes et contrôleur de domaine ainsi que des fonctionnalités clientes comme la
connexion à un partage distant et le transfert des fichiers.
Ce service nous fournit encore une fonctionnalité très importante dans notre réseau hétérogène
qui est l’interconnexion bidirectionnelle entre les systèmes d’exploitation Unix et Windows.

a. Gestion des comptes

Samba permet à des comptes du type Windows de se connecter à une machine UNIX. Il fait le
lien entre les deux types de comptes pour gérer les droits d’accès aux fichiers pendant la
connexion et après la connexion. Samba fait donc une correspondance entre les utilisateurs
UNIX et les utilisateurs Windows : à chaque utilisateur Samba correspond un utilisateur UNIX.

La création d’un compte pour Samba se fait en deux étapes :

 ajout du compte utilisateur sur la machine UNIX

 ajout du compte à la base Samba

Dans notre projet, nous avons l’avantage de faire la création en une seule étape grâce à la
synchronisation avec l’annuaire LDAP.

b. Gestion des droits

Il existe deux types de droits sous Samba : les droits de connexion qui nous permettrons de
définir les utilisateurs ou groupes pouvant se connecter à un partage et les droits du système de
fichiers qui nous permettrons de définir les droits qu’aura un utilisateur ou un groupe sur les
fichiers. Il s’agit des droits de lecture, d’écriture (w) et d’exécution (x) qu’ont un utilisateur (u),
un groupe (g) ou tout autre personne (o) sur les fichiers, les répertoires et les autres ressources
partagées (imprimantes,…).

c. Gestion des imprimantes : Le serveur d’impression CUPS

Comme nous avons mentionné dans le paragraphe précédent, le service Samba nous permet le
partage et l’administration des imprimantes, mais pour un fonctionnement meilleur, nous devons
le coupler avec le serveur d’impression CUPS [Common UNIX Printing System].

Ce serveur nous permet d’organiser les tâches d’impression, les met en file d’attente, et rend
possible l’impression en réseau en utilisant le standard d’impression Internet Printing Protocol
[IPP]. Il offre un large support pour un très grand nombre d’imprimantes (imprimantes
matricielles aux imprimantes laser, etc.). CUPS offre également le support PostScript Printer
Description PPD et l’auto-détection des imprimantes réseaux, avec une interface de
configuration Web simple et accessible depuis n’importe quel ordinateur [12].
Dans suite de ce chapitre, nous allons décrire les étapes à suivre pour installer et configurer ces
différents services afin de mieux gérer le parc informatique de l’institution lieu de stage (ISIMa).

II. Mise en œuvre des services

Nous allons commencer par l’installation du service OpenLDAP pour préparer la base
d’authentification des utilisateurs. Ensuite nous allons passer à la configuration du contrôleur du
domaine Samba.

II.1. Service OpenLDAP

II.1.1. Installation et configuration
Nous commençons par l’installation du service à travers la commande suivante (figure 22)
apt-get install slapd ldap-utils

Figure 22 : Installation des paquets slapd et ldap-utils

Au cours de l’installation, le système va nous demander d’initialiser le mot de passe de
l’administrateur du serveur. Ensuite, nous allons passer à la configuration des fichiers
spécifiques du serveur. Le serveur OpenLDAP est basé sur un ensemble de fichiers qu’on les
appelle des schémas d’où la configuration du serveur consiste à la modification de ces schémas.

Pour la modification de ces fichiers, nous devons ajouter un super administrateur à la base du
serveur en ajoutant les lignes suivantes dans le
fichier:/etc/ldap/cn=config/olcDatabase={0}config.ldif (figure 23)

 OlcRootDN : cn=admin,cn=config
 OlcRootPW : XXXXXXXXXXXXXXXX
 Figure 23 : Ajout d’un super administrateur

Le mot de passe crypté « olcRootPW » est obtenu comme suit :

Figure 24 : Cryptage du mot de passe du super utilisateur

Par la suite, nous allons initialiser le nom de notre domaine et la base de l’annuaire dans le
fichier :OlcDatabase= {1}hdb.ldif (Annexe LDAP, Figure 1).

 Le nom du domaine : isima.rnu.tn

 Base de l’annuaire : dc=isima,dc=rnu,dc=tn

II.1.2. Test de fonctionnement

Apres l’initialisation des fichiers de configuration du serveur, nous allons passer au remplissage
de l’annuaire. La communication avec LDAP ne se fait que par l’intermédiaire des fichiers de
l’extension « .ldif », ainsi, nous allons créer un fichier exemple.ldif (annexe LDAP, Figure 2).
Dans ce fichier nous allons ajouter quelques enregistrements pour tester notre annuaire. Il faut
ensuite insérer les données du fichier par la commande suivante :

ldapadd –X –D cn=admin,dc=isima,dc=rnu,dc=tn –W -f /chemin du fichier.ldif

 Figure 25 : Remplissage de l’annuaire LDAP
Pour afficher le contenu de notre annuaire on utilise la commande suivante :

ldapsearch –x –b “dc=isima,dc=rnu,dc=tn”
Enfin nous allons redémarrer notre serveur LDAP (Figure 26).

Figure 26 : Redémarrage du service Slapd

II.1.3. Packages d’authentification

Une fois que nous avons notre annuaire LDAP en cours d’exécution, nous devons indexer notre
système Ubuntu pour authentifier ses clients via LDAP. Les packages responsables à ce service
sont : libnss-ldap et libpam-ldap [13].ces packages nous allons les installer à travers la
commande présentée dans la figure suivante :

Figure 27 : Installation des packages d’authentification

Au cours de l’installation, une boîte de dialogue de menu est affichée et nous demande
quelques renseignements à propos de la connexion de notre serveur LDAP.
 Adresse du serveur LDAP : ldap : //127.0.0.1
DN de la base de recherche
Version de LDAP a utilisé : 3
Utilisation de PAM pour les mots de passe locaux : oui
Connexion authentifié : Non
Configuration :cn=admin,dc=isima,dc=rnu,dc=tn
Mot de passe : même qu’admin LDAP
Configuration de libnss-ldap : ok
Ensuite, nous allons passer à la configuration du fichier /etc/nswitch.conf et nous allons ajouter
Ldap comme méthode d’authentification pour les lignes correspondant à passwd, group,
shadow et netgroup (Figure 28).

Figure 28 : Ajout de LDAP comme méthode d’authentification

A ce point, l’installation et la configuration de l’annuaire LDAP sont terminées avec succès.
Nous passons maintenant à la mise en œuvre du contrôleur de domaine.

II.2. Service Samba

II.2.1. Installation
La mise en place du serveur Samba se fait par la commande :

apt-get install samba

Toutefois, ce service nécessite d’autres packages pour la connexion à l’annuaire LDAP qui sont
« samba-doc » et « smbldap-tools » (figure 29), [14]:

Figure 29 : Installation de Samba, samba-doc et smbldap-tools

II.2.2. Package samba-doc

Nous avons déjà expliqué que l’annuaire LDAP fonctionne avec des schémas qui sont déjà
installés. Pour l’intégration de samba avec LDAP, il faut encore ajouter un nouveau schéma que
nous devons obligatoirement l’installer.

Apres son installation, il faut décompresser ce schéma par les commandes suivantes :

cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz
/etc/ldap/schema/ gunzip /etc/ldap/schema/samba.schema.gz

Ensuite, nous devons faire une série de manipulations pour intégrer le schéma samba dans
l’arborescence.

Première étape : créer un fichier « schema_new.conf » (Annexe Samba, Figure 1)

Deuxième étape : convertisser les schémas dans un répertoire temporaire

mkdir /tmp/ldif_output

slaptest –f schema_new.conf –F /tmp/ldif_output

Troisième étape: modifier le fichier générer “cn={12}samba.ldif

 DN : cn=samba,cn=schema,cn=config
 Cn : samba
 Supprimer les Cinque derniers lignes

Quatrième étape : Ajouter le schéma généré par la commande suivante :

 Figure 30 : Ajout du schéma dans l’arborescence OpenLDAP

II.2.3. Package smbldap-tools

Cet outil est un ensemble de scripts permettant de créer les utilisateurs POSIX, samba et LDAP
d'une manière automatique via des commandes.
La configuration se fait entièrement dans les deux fichiers « smbldap.conf » et «
smbldap_bind.conf » qui se trouvent dans le répertoire « /etc/smbldap-tools ».

Avant la configuration, nous devons décompresser le script en utilisant la commande suivante :

gunzip –d /usr/share/doc/smbldap-tools/configure.pl.gz

En terminant, nous passons à la configuration du fichier du serveur samba « smb.conf » situé

dans « /etc/samba ».Par défaut, ce fichier n’est pas vide, mais il faut le configurer pour qu’il
s’adapte à nos besoins (Annexe Samba, Figure 2).

Le fichier de configuration « smb.conf » contient une section globale et une section de partage.
Parmi les paramètres les plus importantes que nous devons les configurer dans le fichier sont :

 WORKGROUP : Nom du domaine

 Netbios : Nom de notre serveur Samba
 L’adresse IP du serveur LDAP : Pour l’authentification des comptes
 Ldap admin dn : administrateur de la base de données LDAP
 Admin users : administrateur de contrôleur de domaine Samba

Par la suite, nous devons définir le mot de passe de l’administrateur Samba par la commande
smbpasswd (Figure 31):

Figure 31 : Initialisation du mot de passe de l’administrateur samba

Apres nous lançons la commande perl afin d’exécuter le fichier configure.pl.

perl /usr/Share/doc/smbldap-tools/configure.pl

Certaines informations vont être demandées au cours de cette phase concernant le domaine
Samba (Annexe Samba, Figure 3).

Créons maintenant l'arbre de base au niveau de LDAP pour Samba avec la commande
smbldap- populate comme suit:

Figure 32 : Création de l’arbre de base de l’annuaire LDAP

A ce stade, l’installation de notre contrôleur de domaine Samba et sa liaison avec l’annuaire

LDAP sont terminées. Nous passons ainsi à la création des dossiers partagés et les comptes des
utilisateurs.

II.3. Gestion des dossiers et des comptes

Comme c’est indiqué dans le fichier « smb.conf », nous avons partagé plusieurs dossiers tels
que :

 /var/samba/netlogon : contient les éventuels scripts qui sont exécutés à chaque connexion
d’un utilisateur (.bat)
 /var/samba/home : contient les profils Windows à chaque utilisateur, aussi les répertoires
Linux.

Donc, nous devons créer ces répertoires avec la commande mkdir :

mkdir nom_dossier
Apres la création des répertoires, il faut les donner les droits d’accès comme suit :

Figure 33 : Fixation des droits d’accès au dossier partager

Par la suite nous passons à la création des groupes.

Ajout d’un groupe : smbldap-groupadd –a nom_groupe

Suppression d’un groupe : Smbldap-groupdel nom_groupe

Ajout d’un utilisateur à un groupe : Smbldap-groupmod –m nom_utilisateur nom_groupe

Dans notre cas, nous avons créé trois groupes qui sont
principalement « Etudiant », « Enseignant » et « Administratif ».
Puis nous passons à la création des comptes des utilisateurs avec la commande smbldap_useradd
(figure 34).

Figure 34 : Ajout d’un utilisateur

Suppression d’un utilisateur : Smbldap-userdel nom_utilisateur

La création manuelle des comptes système est un peu classique et a des points faibles au niveau
du temps si nous désirons créer plusieurs comptes. Pour cela, nous allons améliorer cette
technique à travers la réalisation d'un script Shell qui va créer les comptes système. Il prend ses
informations à travers un fichier texte, ce fichier texte contient les noms et les mots de passe et
les groupes séparés par un « : ». La première colonne pour les noms de compte, la deuxième
pour les mots de passe et la troisième pour les groupes (figure 35). Ce script fait la création en
se basant sur ce fichier texte (Annexe Samba, Figure 4).
 Figure 35 : Fichier texte d’utilisateurs
L’exécution de ce script se fait avec la commande suivante :

Figure 36 : Exécution du script shell

III. Intégration et test des services

III.1. Cas d’un client Windows
Pour intégrer les machines Windows au domaine Samba nous devons passer par les étapes
suivantes :

1er Etape : Cliquer sur le bouton droit sur ordinateur puis propriétés

2ème étape : cliquer sur le lien « modifier les paramètres » du paragraphe Paramètres de nom
d’ordinateurs, de domaine et de groupe de travail

3ème étape : Cliquer sur modifier le nom d’ordinateur et groupe de travail

4ème étape : Sélectionner membre d’un domaine et entrer le nom de domaine puis OK (figure
37)
 Figure 37 : Intégration au domaine

Nous remarquons la création d’un nouveau lecteur H : dans l’explorateur Windows. Ce lecteur
pointe sur l’espace propre à l’utilisateur dans notre serveur.
 Figure 38 : Test de Validation pour un client Windows

Remarque
:
Pour intégrer les machines Windows 7, il faut modifier la base de registres du système. Pour cela
SAMBA propose un script téléchargeable [15].

III.2. Cas d’un client Linux

Pour un client Linux la commande « smbclient » nous permet d’accéder aux ressources partagées
du serveur. (Figure 39)

Figure 39 : Test de Validation pour un client linux

IV. Gestion des quotas
Dans ce paragraphe nous allons nous intéresser à la configuration des comptes des utilisateurs en
fixant une taille d’espace disque maximal (quota) dans un premier lieu et dans un second lieu,
nous allons gérer les quotas d’impression pour les accès des enseignants aux imprimantes réseau.

IV.1. Quotas des comptes utilisateurs

La gestion des comptes des utilisateurs nécessite l’installation du paquet « quota » en exécutant
la commande suivante :

Apt-get install quota

Nous devons éditer le fichier « /etc/fstab » afin d'ajouter usrquota dans les options pour avoir
une gestion au niveau utilisateur et grpquota pour une gestion par groupe. Puisque nos comptes
des utilisateurs sont enregistré dans la partition « /home », nous allons éditer juste cette partition
comme c’est présenté dans la figure 40:

Figure 40 : Edition de la partition /home

Afin de permettre aux quotas de fonctionner, il faut créer un fichier pour les quotas utilisateur, et
un autre pour les quotas du groupe dans la racine du dossier à protéger « /home», puis les
donner les droits d’accès avec la commande « chmod ».

nano /home/quota.group //création du fichier pour le groupe

nano /home/quota.user //création du fichier pour
l’utilisateur chmod 600 /home/quota.*

Par la suite, nous passons à la fixation des quotas des utilisateurs et des groupes en accèdant au
fichier spécifique de chacun via la commande suivante :

Fixation des quotas des groupes

edquota –g groupe

Fixation du quota des utilisateurs

edquota –u utilisateur
 Figure 41 : Quota des utilisateurs

 La colonne blocks correspond à la taille actuellement utilisée par l'utilisateur

 Les premières colonnes souple & stricte correspondent aux limites "block"

 La colonne inodes correspond au nombre de fichiers de l'utilisateur

Une fois que les quotas sont définis pour un utilisateur, on peut les répliquer pour d'autres
utilisateurs en utilisant l'option -p de la commande « edquota ».

edquota –p utilisateur 1 utilisateur2

IV.2. Serveur d’impression : CUPS

Comme nous avons précisé dans la première partie de ce chapitre, pour la gestion des
imprimantes nous allons installer le serveur CUPS puis le lier avec notre serveur Samba.

IV.2.1. Installation et Configuration

Pour installer CUPS, nous utilisons la commande suivante :

Apt-get install cups

Ensuite, nous passons à la configuration du fichier « /etc/cups/cupsd.conf » du serveur. Par

défaut sur Ubuntu, le serveur CUPS n'est en écoute que sur l'interface de bouclage à l'adresse
IP 127.0.0.1, par contre dans notre cas , nous ne pouvons pas consulter l’interface de ce service
dans notre serveur car nous utilisons la version « Server » du Ubuntu. D’où il faut que ce service
soit à l’écoute d’une interface réseau pour que nous pouvons le consulter depuis un hôte externe.
Pour cela nous avons ajouté la ligne suivante dans notre fichier de configuration :

Figure 42 : Ajout d’une Interface réseau

A cette étape, nous pouvons consulter l’interface de notre serveur CUPS depuis un PC Windows.
Cette interface nous simplifie l’ajout et la gestion des imprimantes réseaux.

Pour consulter l’interface, nous tapons l’adresse de notre serveur suivi de numéro de port de
serveur dans la barre d’adresse de n’importe quel navigateur Web:
 Figure 43 : Page Web du service CUPS
Pour ajouter une imprimante, nous passons à l’onglet « administration », puis, nous choisissons
« add printer » (Figure 44).

Figure 44 : Page de configuration des imprimantes réseau

Par la suite, nous devons choisir le nom de l’imprimante à ajouter et sa localisation et nous
devons installer son pilote.

Ci-dessous un exemple d’ajout et configuration d’une imprimante Epson-EPL-N3000 dans notre

serveur CUPS.
 Figure 45 : Exemple d’ajout d’une imprimante
Notre serveur CUPS, nous donne la possibilité de donner la main ou bien exclure certains
utilisateurs ou groupes pour utiliser l’imprimante à partir de la fenêtre présentée dans la (figure
46). Dans notre institut, nous avons mis les imprimantes seulement à la disposition des groupes
des enseignants.

Figure 46 : Fixation des utilisateurs de l’imprimante

Pour fixer les quotas d’impressions des utilisateurs de chaque imprimante, nous devons
configurer le fichier suivant « /etc/cups/printer.conf » et éditer les lignes suivantes :

Figure 47 : Fixation des quotas d’impression

Apres la configuration du serveur CUPS, il faut l’intégrer avec notre contrôleur de domaine
Samba à travers l’édition de son fichier de configuration « /etc/samba/smb.conf » et éditer les
lignes suivantes : (voir annexe 4)

Printing = cups
Printcap =
cups
IV.2.2 Test de Validation
Toutes les imprimantes partagées sont affichées dans le réseau à côté des dossiers des utilisateurs
partagés (figure 48).

Figure 48 : Imprimantes partagées dans le domaine

Le serveur CUPS nous donne un rapport détaillé sur tous événements survenus sur notre
imprimante (nom de la page imprimé, utilisateur, taille, nombre de pages, date) :

Figure 49 : Surveillance des travaux d’impression

Conclusion
Dans ce chapitre, nous avons présenté puis détaillé l’installation et la configuration des différents
services pour la création de notre contrôleur de domaine.

Ainsi, notre travail est testé avec succès au sein de l’institut ISIMA et prêt pour l’utilisation de la
part de nos étudiants et enseignants dans l’établissement.

Après la mise en place de notre contrôleur de domaine, nous nous intéressons dans la partie
suivante à sa sécurité des données partagées par ce réseau. Ainsi, dans le chapitre suivant nous
allons présenter une étude complète de la sécurisation du réseau d’ISIMa.
Chapitre V :

Mise en place de la sécurité du

réseau
Introduction
De nos jours, toutes les entreprises possédant un réseau local et possédant aussi un accès à
Internet. Cette ouverture est indispensable et dangereuse en même temps car elle donne la
possibilité aux attaques externes et au vol des informations. Ces attaques peuvent être aussi de
l’intérieur surtout quand nous parlons d’une diversification des catégories des utilisateurs tels
que celle qui existe dans notre réseau de l’ISIMa qui est composé des étudiants, des enseignants
et des cadres administratifs. Pour parer à ces attaques, une architecture sécurisée est nécessaire.

Dans ce contexte, nous allons présenter notre proposition d’architecture du réseau qui est basé
sur un matériel Firewall Cisco, sur lequel nous allons activer des VLANs pour chaque groupe
d’utilisateurs pour la protection interne et des règles de sécurité pour mieux gérer et surveiller le
système d’information contre les attaques externes au sein de notre établissement.

Dans ce chapitre, nous allons commencer par définir le concept de firewall et présenter les
différents types de VLANs. Par la suite, nous allons créer les VLANs et configurer les règles de
sécurité sur notre firewall. Enfin, nous allons présenter une simulation sur le logiciel packet
tracert pour la configuration des Switchs.

I. Concepts de la sécurité

I.1. Firewall (pare-feu)

Un firewall (ou pare-feu) est outil informatique conçu pour protéger les données d'un réseau
(protection d'un ordinateur personnel relié à Internet par exemple, ou protection d'un réseau
d'entreprises) [16].
Il joue le rôle d’une barrière entre les deux réseaux interne et externe (figure 50) .Cet outil nous
permet d'assurer la sécurité des informations d'un réseau en filtrant les entrées et en contrôlant
les sorties selon des règles définies par son administrateur.

Figure 50 : Emplacement du Firewall dans le réseau

Un firewall peut être un outil matériel comme il peut se présenter sous forme d’un logiciel
intégré dans un tel système.

I.1.1. Firewall logiciel

Ils sont présentés à la fois sur les serveurs et les routeurs et nous pouvons les classer en deux
catégories :

Les Firewalls personnels : Ce type de firewall est souvent commercial et a pour but de protéger
un seul ordinateur. Il est simple à utiliser mais sécurisé.

Les firewalls plus « sérieux » : Ils sont généralement intégrés avec le système d’exploitation
Linux. Il offre une sécurité très élevée et un contrôle adéquat.

I.1.2. Firewall matériel

Ces types de Firewalls sont trouvés souvent dans les routeurs des grandes entreprises comme
Cisco et ils sont intégrés directement dans le Mariel. Les Firewalls matériels sont souvent très
compliqués à configuré mais leur taux de sécurité est élevé. Ainsi, leur présence sur le même
équipement, nous simplifie l’intégration avec le routeur.

I.2. Les VLANs

Un Vlan [Virtual Local Area Network] est un réseau local virtuel [17]. C’est un réseau logique
de niveau 2, qui permet de créer des domaines de diffusion gérés par les commutateurs
indépendamment de l’emplacement où se situent les nœuds et de se connecter avec un matériel
adapté à un groupe logique de stations se trouvant au même endroit ou dans des zones
géographiquement éloignées .Il permet aussi de regrouper les utilisateurs qui ont besoin
d’accéder aux mêmes ressources. Nous distinguons trois principaux types des VLANs.

I.2.1. Vlan par port

Le principe de ce type est d’affecter chaque port des commutateurs à un VLAN. L’appartenance
d’une trame à un VLAN est alors déterminée par la connexion de la carte réseau à un port du
commutateur. En effet, les ports sont affectés statiquement à un VLAN.

I.2.2. Vlan par MAC

Son principe est le suivant : nous affectons chaque adresse MAC à un VLAN. L’appartenance
d’une trame à un VLAN est déterminée par l’adresse MAC de la machine. En fait il s’agit, à
partir de l’association Mac/VLAN, d’affecter dynamiquement les ports des commutateurs à
chacun de VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port.
I.2.3. Vlan niveau 3
Pour ce type, l’appartenance d’une trame à un VLAN est déterminée par l’adresse de niveau 3
ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait, il
s’agit à partir de l’association adresse niveau 3/VLAN d’affecter dynamiquement les ports des
commutateurs à chacun des VLANs.

II. Mise en place de l’architecture sécurisée

Pour avoir une architecture sécurisée dans notre entreprise, nous devons configurer les différents
matériaux du réseau. Pour ce fait, notre premier paragraphe va être réservé à la configuration de
notre firewall matériel Cisco. Par la suite, nous allons passer à détailler les étapes de la
configuration des Switchs.

II.1. Configuration du firewall

Dans notre établissement, nous avons déjà un Firewall Cisco ASA 5510. Dans une première
étape nous allons créer les VLANs pour chaque groupe d’utilisateurs et par la suite nous allons
créer les règles de sécurité qui convient avec chacun.

II.1.1. Création des VLANs

Pendant l’administration de notre établissement, nous avons déclaré l’existence de 3 groupes
d’utilisateurs dans notre réseau, qui sont les étudiants, les enseignants et les administratifs.
Nous allons faire une séparation de flux de données de chacun avec la création des trois VLANs
qui sont déclarés dans le tableau 2 :
Numéro de VLAN Nom @ IP Masque de sous réseau
11 Etudiant 192.168.2.1 255.255.255.0
12 Enseignant 192.168.3.1 255.255.255.0
13 Administratif 192.168.4.1 255.255.255.0

Tableau 2 : Adressage des VLANs

Nous avons créé des VLANs sur notre firewall à travers une interface graphique de la façon
suivante :
 Figure 51 : Exemple de création de VLAN « Etudiant »
De la même manière nous allons créer les deux autres VLANs « Enseignant » et Administratif »
sur notre Firewall pour avoir un réseau séparé comme c’est présenté dans la figure 52.

Figure 52 : Architecture du réseau interne de l’ISIMa

II.1.2. Définition des règles de sécurité

Les règles de sécurité se diffèrent d’un groupe d’utilisateurs à une autre selon leurs utilisations.
En effet, la configuration des règles de sécurité pour le groupe d’étudiants doit être plus
sécurisée que celle des enseignants et cadres administratifs.
En effet, pour le réseau des enseignants et des cadres administratifs, nous avons interdit le
protocole « ICMP » [Internet Control Message Protocol] pour interdire le contrôle et l’écoute
de flux de données entrant et sortant, aussi, nous avons interdit l’accès à quelques sites web des
réseaux sociaux comme le facebook et youtube .(figure 53)

Figure 53 : Règles de sécurité du VLAN Enseignant

Pour le VLAN des étudiants, nous avons maintenu ces règles en programmant notre firewall
pour bloquer les deux protocoles « «http » et « https » dans des périodes bien défini comme la
période des examens de TP ou dans pendant quelques séances de TP (figure 54 et 55)

Figure 54 : Règles de sécurité du VLAN étudiant

 Figure 55 : Ajout de la plage de temps pour une règle d’accès

II.2. Configuration du Switch

Vu que nous n’avons pas encore des Switch de deuxième ou de troisième niveau dans notre
établissement qui supporte notre configuration des VLAN sur le firewall Cisco, nous avons
essayé de réaliser cette configuration à l’aide du simulateur Paquet tracert. Notre exemple de
simulation va être selon le schéma présenté dans la figure 56.
 Figure 56 : Architecture du réseau
Pour la configuration des Vlan sur les Switchs, nous allons suivre la configuration mise en place
dans notre firewall (tableau 2).

Pour créer un VLAN sur le Switch nous tapons les lignes suivantes :

Switch>enable

Switch#configure

terminal

Switch(config)#vlan 11

Switch(config-vlan)#name

Etudiant Switch(config-vlan)#exit

De la même façon, nous allons créer les deux autres VLAN sur le premier switch. Par la suite,
nous répétons ces étapes pour configurer les deux autres.

Après la configuration des VLANs sur les Switch, nous passons à la configuration des switch-
port pour effectuer le trunking ou la tunnellisation .Cette technique permet à un port du
commutateur de gérer le trafic du plusieurs VLANs.
Donc, dans cette étape nous allons permettre l’agrégation sur les ports connectés aux liens entre
le switch 0 et le Firewall, entre le switch 0 et le switch 1 et entre le switch 0 et le switch 2 à
l’aide des commandes suivantes :

Switch(config)#interface FastEthernet0/4

Switch(config-if)# switchport mode

trunk Switch(config-if)# no shutdown

Par la suite nous allons configurer les ports des Switch connectées à la machine selon
l’architecture présentée dans le tableau 3 :

Switch Pc Interface Vlan

Switch 1 Pc0 Fa 0/2 Etudiant
Switch 1 Pc 1 Fa 0/3 Enseignant
Switch 2 Pc 2 Fa 0/2 Etudiant
Switch 2 Pc 3 Fa 0/3 Enseignant
Tableau 3 : Configuration Port/PC
Pour affecter une interface de switch à un VLAN nous exécutions les commandes suivantes :

Switch(config)#interface FastEthernet0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan

11

Après que nous avons terminé la configuration des switchs et leurs interconnexions avec les
machines, nous pouvons tester leurs bons fonctionnements. En effet, nous remarquons d’après la
figure 57, que nous pouvons connecter les deux machines PC0 et PC2 qui appartient au même
VLAN mais pas sur le même Switch, ainsi que les deux machines PC1 et PC3, toutefois, la
connexion ne peut pas être établie entre les deux machines PC0 et PC 2 qui n’appartiennent pas
au même Vlan alors qu’ils sont connectés entre le même Switch.
 Figure 57 : Test de validation du fonctionnement des VLANs

Conclusion
Dans ce chapitre, nous avons essayé de mettre en place une solution adéquate pour la
sécurisation de notre réseau contre les intrusions interne et externe qui peuvent attaquer notre
réseau local. Cette solution est basée sur la création des VLANs correspondant à chaque groupe
d’utilisateurs dans notre réseau dans le firewall, à la définition des règles de sécurité spécifiques
à chaque groupe et à la configuration des Switch afin d’assurer la séparation entre les flux
relatifs à chaque groupe.
 Conclusion générale
L’administration est un aspect crucial dans les réseaux informatiques afin de garantir
l’organisation, l’extensibilité et l’efficacité d’un réseau. Afin de mieux gérer les ressources d’un
réseau (machine, équipement d’interconnexions, utilisateurs, imprimantes, etc…), une
administration basée sur un système d’exploitation performant et des protocoles réseaux
efficaces s’avère nécessaire. Par ailleurs, l’administrateur réseau doit aussi assurer la sécurité de
son parc contre les attaques internes et externes.

Dans ce projet, nous avons commencé par l’administration du réseau de l’entreprise à travers la
mise en place d’une architecture client/serveur basée sur un système Linux pour profiter de ses
avantages de gratuité, stabilité et sécurité. Précisément, nous avons choisi le système Ubuntu au
sein duquel nous avons installé le service DNS qui fait la correspondance entre le nom de la
machine et son adresse IP. Par la suite, nous avons passé à la configuration de notre contrôleur
de domaine Samba qui permet de gérer les utilisateurs au sein de l’entreprise, de centraliser les
informations, de partager des dossiers et des imprimantes dans un réseau hétérogène. Samba est
couplée avec un annuaire LDAP pour simplifier plus la diffusion des informations.

Dans la deuxième partie de notre projet, nous avons présenté une solution pour la sécurité interne
du réseau basée sur la technique des VLANs, simulée avec succès par le logiciel packet tracert.
Ainsi, pour la sécurité externe nous avons mis en place un firewall Cisco et nous l’avons
configuré selon la spécification de chaque interface.

Toutefois, notre travail reste ouvert à des extensions possibles telles que l’ajout d’autres services
comme par exemple le serveur web Apache, le serveur de clonage et le serveur de transfert de
fichier FTP et la réalisation de notre solution de sécurité dès la disposition des matériels
manquants.
Annexe LDAP
Figure 1 : Fichier de Configuration de l’administrateur de l’annuaire LDAP
Figure 2 : Fichier d’initialisation de l’annuaire LDAP
Annexe
Samba
Figure 1 : Insertion des schémas dans l’arborescence LDAP
Figure 2 : Fichier de Configuration du serveur Samba
Figure 3 : Fenêtre d’exécution de script « configure.pl »
Figure 4 : Script Shell permettant la création automatique des utilisateurs
 Netographie

[4] : http://factooor.fr/cataloguedeformation/linux/ consulté le 15/07/2014

[5]: http://doc.ubuntu-fr.org/ubuntu_distribution consulté le 15/07/2014

[6]: http://doc.fedora-fr.org/ consulté le 15/07/2014

[7]: http://technet.microsoft.com/fr-fr/library/cc730775.aspx consulté le 20/07/2014

[8] : http://doc.ubuntu-fr.org/ consulté juillet/2014

[9]: http://doc.ubuntu-fr.org/dhcp3-server consulté

juillet/2014 [12]: http://doc.ubuntu-fr.org/cups-pdf consulté

août/2014

[13] : https://help.ubuntu.com/10.04/serverguide/openldap-server.html consulté juillet/2014

[15]: https://bugzilla.samba.org/attachment.cgi?id=4988&action=view consulté août/2014

 Bibliographie

[1] :« Conception et Developpement d'un logiciel de gestion commerciale » par Mchangama

Ismaila -ISIMM - Maitrise 2007

[2]: Mémoire en ligne « Etude des méthodes et protocoles d'accès au support dans un réseau
informatique. Cas de LAN » par Hervé MISHIDI

[3] : Projet FreeNet « Réseau hétérogène gérer par un serveur Linux Fedora » par M.Ben Jlijel
Chakib et M.Arfaoui Majed, Tunis 2004

[10] : PFE « Etude et mise en place d'un serveur contrôleur de domaine Samba sur dministration
réseaux sous Linux » par Mahamat Adam Abdou -Université Cheikh Anta Diop de Dakar

[11] : Mémoire de fin de formation « projet de mise en place et configuration de samba en tant
que serveur de fichiers et contrôleur de domaine sur le réseau de la chambre de commerce et
d’industrie du togo (ccit) » Par DOLA KOSSI SEYRAM – Université Africain d’Administration et d’Etude
Professionnelle

[14]: Ubuntu Linux, Création, Configuration et gestion d’un réseau local d’entreprise (BTS,
DUT Informatique) -3ème édition

[16] : « la sécurité sur l’Internet-Firewalls » par D.Brent chapman & Elizabeth D.Zwicky - 2003

[17]: « Les VLANS » par Ingrid Dhoneure BOUITY -MASTER1- EC2LT

 Administration et Sécurité du réseau de l’ISIMa sous Linux

Hadj Ahmed Hilali KAWTHER

Résumé : Ce projet de fin d’étude intitulé « Administration et sécurité du réseau de l’ISIMa

sous Linux » a pour objectif d’installer et de configurer des services réseaux tels que DHCP et
DNS d’une part, ainsi qu’un contrôleur de domaine SAMBA couplé avec un annuaire LDAP
permettant le partage des dossiers et des imprimantes. D’autre part, ce projet présente une
solution pour la sécurité du réseau basée sur la technique des VLANs et configurée sur un
firewall Cisco

Mots clés : Administration, DHCP, DNS, SAMBA, LDAP, sécurité, VLAN, Firewall

Abstract: This final project study is entitled "Management and security of ISIMa Network
under Linux". The objective was to install and configure network services such as DHCP and
DNS first, so that a domain controller SAMBA coupled with an LDAP directory for sharing files
and printers. On the other hand, this project presents a solution for network security based on the
technique of VLANs and configured on a Cisco firewall

Key-words: Administration, DHCP, DNS, Samba, LDAP, security, VLAN, Firewall