CHAPITRE I 

: ETUDE DES CONCEPTS

I- FreeIPA, DEFINITION ET FONCTIONNALITES

1. Définition

FreeIPA est une solution de gestion des informations de sécurité intégrée. La solution
propose un joli portail qui permet de déléguer une partie de la gestion des comptes utilisateurs
à des personnes non techniques.

FreeIPA fournit une solution centralisée pour l'authentification, l'autorisation et les

informations de compte, en stockant les données des utilisateurs, groupes, hôtes et autres
objets nécessaires à la gestion de la sécurité d'un réseau d'ordinateurs. Un mécanisme de
Single-Sign-On (SSO) est intégré au travers de Kerberos. Une autorité de certification étend
les capacités d'authentification en fournissant des certificats X509. Les noms de machines
sont aussi gérés au travers d'un DNS Bind, s'appuyant sur Windows Server pour stocker les
zones et enregistrements.

Plusieurs serveurs FreeIPA peuvent être configurés en mode multimaître pour assurer
la montée en charge et la redondance. Windows Server est le module de stockage principal
des données et c'est lui qui fournit nativement une réplication multimaître.

En bonus, FreeIPA s'administre au travers d'une interface web et/ou d'un utilitaire en
ligne de commandes. Ainsi, tout le monde y trouve son compte.

Et pour couronner toutes ces fonctionnalités, nous pouvons interconnecter FreeIPA

avec un domaine Active Directory pour tirer parti de toute la gestion d'identité que des
camarades administrateurs Windows (ou nous-même) ont mis en œuvre. Cela passe par la
mise en place d'une relation d'approbation, qui permet notamment d'utiliser des tickets
Kerberos sur les deux domaines.

2. Fonctionnalités
 II- WINDOWS SERVER 2012

1. Généralités

Microsoft Windows Server est le système d’exploitation serveur de Microsoft. En quelque

sorte, il s’agit d’une version améliorée du système Windows que nous connaissons sûrement
tous, installé par défaut sur une grande majorité des ordinateurs de commerce, d’étudiants.
Avec Windows Server, l’objectif est de fournir des services à de nombreux autres
équipements.

Windows Server 2012 R2 est la deuxième version de Windows Server 2012 sortie le 18
octobre 2013. Cette deuxième version prend en charge le Cloud hybride, et améliore les
machines virtuelles (VM) en termes de stockage et de portabilité. Le système Windows Server
2012 R2 est un système d’exploitation serveur puissant, souple et complet basé sur les
optimisations apportées par Microsoft afin de faciliter l’administration des systèmes
informatiques dans toutes ses formes.

2. Serveur Active Directory

Active Directory est un service d'annuaire créé par Microsoft en 1996 et destiné à être installé
sur les Windows Server 2000, 2003, 2008, 2012 et 2016. En stockant dans une base de données les
renseignements relatifs aux ressources réseau d'un domaine, Active Directory a pour objectif
premier de centraliser l'identification et l'authentification d'un réseau de postes Windows.
Active Directory est un système centralisé et standardisé qui automatise la gestion du
réseau des données utilisateur, de la sécurité et des ressources distribuées, et permet
l'interopérabilité avec d'autres répertoires. Active Directory est spécialement conçu pour les
environnements réseau.
Les objets compris dans la structure de l'Active Directory sont de trois types :
  Les ressources : poste de travail, imprimante, scanner, dossiers partagés, etc.

  Les utilisateurs : comptes individuels et groupes, c'est-à-dire des listes d'utilisateurs avec leurs
droits et leurs services, etc.

  Les services : courrier électronique, etc.

La structure Active Directory est composée d'objets hiérarchisés contenus dans des Unités

Organisationnelles (UO). Il y a trois degrés composant l'arborescence : 
 La forêt regroupe de façon hiérarchisée un ou plusieurs domaines indépendants, et donc
l'ensemble des sous domaines compris dans l'Active Directory. 

 L'arbre ou arborescence contient tous les sous-domaines dans des ramifications au sein du
domaine principal. 

 Le domaine, la plus petite unité, représente les feuilles de l'arbre. il peut s'agir de fichiers, par
exemple. 


Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et
l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les
éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes
de travail, les dossiers partagés, les imprimantes, etc.Active Directory fourni les avantages
suivants :
▪ Nom d'utilisateur et mot de passe unique – Net ID70
▪ Réduire les frais généraux grâce à la normalisation
▪ Améliorer les services grâce à des fonctionnalités de gestion centralisées
▪ Fournir des bases pour les services suivants : Exchange et SharePoint.
▪ Améliorer la sécurité des postes de travail
▪ Stockage central fourni aux particuliers et aux départements
▪ Services de sauvegarde et de restauration pour le stockage centralisé
▪ Espace de stockage du serveur pour les documents utilisateur
▪ Sauvegarde des données sur les lecteurs à domicile
Il existe 5 rôles Active Directory qui sont :
AD Domain Services (AD DS) : Annuaire
AD Certificate Services (AD CS) : PKI
AD Federation Services (AD FS) : Ressources partagées
AD Right Management Services (AD RMS) : Sécurisation des données
AD Lightweight Directory Services (AD LDS)
Dans le cadre de notre projet, il est important de comprendre les terminologies
suivantes :
Forêt Active Directory : Quand vous créez le premier contrôleur de domaine de votre
organisation, vous créez le premier domaine (ou domaine racine de la forêt) et la première
forêt. La forêt Active Directory est un regroupement d’un ou plusieurs arbres de domaine. Un
arbre peut avoir un ou plusieurs domaines et une organisation peut disposer de plusieurs
forêts. Une forêt est une limite de sécurité et d’administration pour tous les objets qu’elle
contient.
Domaine Active Directory : Un domaine est une limite d’administration destinée à faciliter
la gestion d’objets tels qu’utilisateurs, groupes et ordinateurs. De plus, chaque domaine
applique ses propres stratégies de sécurité et relations d’approbation avec les autres domaines.
Contrôleur de domaine : Un contrôleur de domaine est un serveur qui exécute le rôle AD
DS. Active Directory est une base de données centrale qui stocke les comptes d’utilisateurs,
les comptes d’ordinateurs, des unités organisationnelles, des domaines Active Directory et les
forêts. La gestion des utilisateurs, des ordinateurs ou encore l’application de politiques se font
depuis l’active directory du serveur (qu’il est possible de lancer via la commande dsa.msc).

3. Serveur DNS

Le DNS (Domain Name System) est un service dont la fonction principale est de
permettre la traduction d’un nom de domaine en une adresse IP associée. Pour accéder à un
site internet nous devons taper son adresse IP.
A titre d’exemple, pour accéder à Google, il nous faut saisir l’adresse 172.217.16.78. Par
contre pour les utilisateurs, il est moins aisé de retenir les adresses numériques du genre
172.217.16.78, mais avec un nom alphabétique il est plus facile de retenir les adresses des
sites internet, par exemple "www.google.com". Ceci est applicable pour toutes les adresses IP.

4. Serveur DHCP

Le DHCP (Dynamic Host Configuration Protocol) est un serveur qui délivre des adresses
IP de façon automatique aux ordinateurs se connectant au réseau. En plus de vous attribuer
une adresse IP, le serveur DHCP vous informe de la configuration du réseau telle que la
passerelle par défaut et le masque de sous-réseau.
Afin de mieux appréhender la notion de DHCP, il est important de comprendre certaines
terminologies :
 Étendue : Une étendue est la plage consécutive complète des adresses IP
probables d’un réseau. Les étendues désignent généralement un sous-réseau
physique unique de votre réseau auquel sont offerts les services DHCP. Les
étendues constituent également pour le serveur, le principal moyen de gérer la
distribution et l’attribution d’adresses IP et de tout autre paramètre de
configuration associé aux clients du réseau.

 Étendue globale : Une étendue globale est un regroupement administratif des

étendues pouvant être utilisé pour prendre en charge plusieurs sous-réseaux
logiques IP sur le même sous-réseau physique. Les étendues globales contiennent
uniquement une liste d’étendues membres ou d’étendues enfants qui peuvent être
activées ensemble. Les étendues globales ne sont pas utilisées pour configurer
d’autres détails concernant l’utilisation des étendues. Pour configurer la plupart
des propriétés utilisées dans une étendue globale, vous devez configurer
individuellement les propriétés des étendues membres.
 Plage d’exclusion : Une plage d’exclusion est une séquence limitée d’adresses IP
dans une étendue, exclue des offres de service DHCP. Les plages d’exclusion
permettent de s’assurer que toutes les adresses de ces plages ne sont pas offertes
par le serveur aux clients DHCP de votre réseau.

 Pool d’adresses : Une fois que vous avez défini une étendue DHCP et appliqué
des plages d’exclusion, les adresses restantes forment le pool d’adresses disponible
dans l’étendue. Les adresses de pool peuvent faire l’objet d’une affectation
dynamique par le serveur aux clients DHCP de votre réseau.

 Bail : Un bail est un intervalle de temps, spécifié par un serveur DHCP, pendant
lequel un ordinateur client peut utiliser une adresse IP affectée. Lorsqu’un bail est
accordé à un client, le bail est actif. Avant l’expiration du bail, le client doit
renouveler le bail de l’adresse auprès du serveur. Un bail devient inactif lorsqu’il
arrive à expiration ou lorsqu’il est supprimé du serveur. La durée d’un bail
détermine sa date d’expiration et la fréquence avec laquelle le client doit le
renouveler auprès du serveur.

 Réservation : Utilisez une réservation pour créer une affectation de bail d’adresse
permanente par le serveur DHCP. Les réservations permettent de s’assurer qu’un
périphérique matériel précis du sous-réseau peut toujours utiliser la même adresse
IP.
 CHAPITRE II : MISE EN PLACE DU CONTROLE
D’ACCES AVEC FREEIPA ET APPROBATION AVEC
ACTIVE DIRECTORY

I. Présentation Environnement de travail

1- Environnement Matériel

Pour la réalisation de ce projet on a disposé de :

 Un Ordinateur serveur
 4 à 5 machine virtuelles
 Un modem

2. Environnement logiciel

Les logiciels utilises sont :

 Windows Server 2012
 CentOS 7
 FreeIPA
 Fedora Workstation 27
 Un Hyperviseur
 Windows 10

II. Implémentation du serveur Freeipa

1. Installation

Nous allons découvrir et comprendre comment installer un serveur FreeIPA, un client

FreeIPA

FreeIPA est un logiciel libre et open source (GPLv3, sauf le directory server), il s’agit
du projet upstream pour Red Hat Identity Management (RH IDM), il est basé sur plusieurs
composants dont les licences peuvent varier .
 Dans notre cas l’installation de FreeIPA se fera sous une machine virtuelle (1.5Go
RAM, 1 processeur, 20Go DD). Insérer l’iso de CentOS7 dans le lecteur CD de la VM ,
installez CentOS7 et suivez les différentes étapes de l’installation.

Verifier tout d’abord notre adresse IP avec la commande ifconfig

Vérifiez que le FQDN de votre machine soit correctement indiqué dans le fichier
/etc/hostname et qu’il résout correctement avec dig (yum install bind-utils), dans notre
exemple il s’agira de freeipa0.idm.demo.local .

Éditez votre fichier /etc/hosts pour qu’il ressemble à ceci :

Ouvrez les ports nécessaires du firewall :

 Certaines machines virtuelles risquent de manquer rapidement d’entropie pour les
opérations de chiffrement de freeipa, il faudra dans ce cas installer et activer rng-tools :

Il n’y as pas de dépôts particuliers à configurer sous CentOS 7 : yum install ipa-server ipa-
server-dns

Dans notre travail nous allons faire une installation complète sur idm.demo.local. Il est
systématiquement conseillé de déclarer FreeIPA sur un nouveau sous-domaine pour éviter
tout conflit potentiel avec un autre serveur kerberos présent (AD…) Si vous n’en avez pas, il
est tout à fait possible d’installer idm directement sur votre domaine, voici la commande que
nous allons utiliser :

ipa-server-install -U -p MotDePasse1 -a MotDePasse2 --ip-address=172.16.110.60 -n

idm.demo.local -r IDM.DEMO.LOCAL -hostname=freeipa0.idm.demo.local --setup-dns --
auto-forwarders --auto-reverse

Explications des options :

-U : mode unattended, sans intervention de l’utilisateur (à désactiver en cas de soucis)

-p MotDePasse1 : Mot de passe du directory manager, admin ultime côté LDAP

-a MotDePasse2 : Mot de passe de l’administrateur freeipa/kerberos

–ip-address= : l’ip de votre serveur

-n : le domaine géré par freeipa

-r : le realm kerberos, par convention le nom du domaine en majuscule

–hostname= : fqdn du serveur

–setup-dns : freeipa intègre la gestion de son propre dns si vous n’en possédez pas. Il est
possible ne pas utiliser l’option pour gérer votre propre DNS

–auto-forwarders : création automatique des forwarders en se basant sur le fichier

/etc/resolv.conf du serveur, pour la résolution des noms internet

–auto-reverse : création automatique de la zone reverse DNS

Vérifiez le bon fonctionnement du serveur avec la commande kinit et ipa user-find

admin :

2. Configuration

Rendez vous sur https://freeipa0.idm.demo.local et connectez vous avec

l’administrateur freeipa définit plus tôt (admin)

a. Interface web
 L’interface de FreeIPA est scindée en 5 parties :

 Identity : Gestion des Utilisateurs, Machines/VM Clientes, Groupes

 Policy : HBAC, Sudo, SELinux User Maps, Password Policies, Kerberos Ticket
Policy
 Authentication : Certificats, Tokens OTP, Serveurs RADIUS
 Network Services : Gestion des AutoFS des machines clientes (montages NFS
automatiques)
 IPA Server : Réglages du serveur
 Les parties Policy et Authentication seront abordées en détail dans le billet dédié à la
partie cliente.

b. Création d’un utilisateur et d’un groupe de test

Nous allons créer notre premier utilisateur. Cliquez sur le bouton “Add” dans Identity
-> Users

Remplissez les champs nécessaires et cliquez sur Add. L’utilisateur devra, par défaut,
changer son mot de passe à la première connexion.

Dans le même principe, nous allons faire un groupe “group1” dans la partie groupe et
y intégrer notre utilisateur.
3. Connexion des utilisateurs
 Nos deux clients son des hotes Fedora 27 Workstation a jour.
Nous ajoutons nos clients avec cette commande, directement en root sur la VM.
Avant l’ajout nous vérifions le bon fonctionnement des DNS, il est important
d’arriver à résoudre le FQDN du serveur ipa et du client pour que l’opération se
passe correctement, le reverse-dns du client est facultatif à ce stade :
Yum install ipa-client
ipa-client-install -U --domain=idm.demo.local --realm=IDM.DEMO.LOCAL --
server=freeipa1.idm.demo.local --mkhomedir -p admin -w MotDePasse2

Même chose sur notre 2ème client.

Explication des options :

 -U : mode unattended, sans intervention de l’utilisateur (à désactiver en cas de soucis)

 —domain= : domaine à rejoindre

 —realm= : realm à rejoindre

 —server= : serveur à utiliser par le client

 —mkhomedir : créer automatiquement un dossier dans /home quand un nouvel

utilisateur se connectera

 -p : utilisateur autorisé à intégrer des hôtes (ici admin)

 -w : mot de passe admin freeipa définit au début

Nos deux clients sont maintenant dans le domaine, nous devrions pouvoir nous connecter sur
l’une ou l’autre avec des Utilisateurs FreeIPA :

III. INSTALLATION ET CONFIGURATION DE

WINDOWS SERVER 2012

1. Installation

Nous allons apprendre comment installer et activer Windows Server 2012.

Avant de commencer, vérifiez que vous disposez des conditions minimales requises pour
installer Windows Server.
Maintenant que nous avons tout ce dont nous avons besoin, nous pouvons commencer :

i. Insérez le DVD Windows Server 2012 et, une fois que vous avez reçu le message
suivant, appuyez sur Entrée pour démarrer à partir de la configuration.

ii. Patientez quelques instants jusqu'à ce que l'installation charge tous les fichiers
nécessaires (selon votre machine, cela prendra quelques minutes)
 iii. Une fois les fichiers d'installation chargés, l'installation commencera par l'écran
suivant. Vous pouvez les modifier pour répondre à vos besoins.
iv. Une fois que vous avez cliqué sur Suivant, vous pouvez démarrer l'installation, cliquez
sur "Installer maintenant".
  
Figure 2:Début de la configuration

Figure 3: Configuration du mot de passe

Figure 1 : Installation du serveur

 v. Une fois l'installation terminée, il redémarre et démarre votre Windows Server 2012
pour la première fois. Il vous demandera alors de configurer un mot de passe pour
l'utilisateur administrateur.

L'installation finalise vos paramètres. Cela peut prendre quelques minutes.

vi. Une fois la configuration terminée, vous pouvez vous connecter pour la première fois
à votre serveur Windows, comme l'indique l'écran.
vii. Appuyez sur Ctrl + Alt + Suppr pour vous connecter, et utilisez le mot de passe que
vous avez défini dans le processus d'installation
Une fois connecté, Windows Server 2012 affiche le Gestionnaire de serveur

     
Figure 4: Fin d’installation

2. Configuration de l’annuaire

Avant toute chose, un rapide rappel s’impose: le but principal d’Active Directory est de
fournir un service centralisé d’identification et d’authentification à un réseau de machines
utilisant l’OS de Microsoft, tout en permettant également la création et l’application de
stratégies de groupes, l’installation à distance de logiciels ou de mises à jour Windows
Update. Active Directory répertorie et classe aussi les « objets » d’un réseau tels que les
utilisateurs, les workstations, les serveurs, les imprimantes, etc.
Pour l’installer (comme 90% des services sur un Windows Server), allez dans
le Gestionnaire de serveur, puis Gérer et enfin Ajouter des rôles et fonctionnalités.
Arrivé ici, il ne vous reste qu’à cliquer sur Installation basée sur un rôle ou une
fonctionnalité puis sélectionner votre serveur, et enfin sélectionner les 3 rôles dont nous
auront besoin:

 DNS
 DHCP
 Active Directory (AD DS)

a) Configuration du service Active Directory et DNS

Figure 6: Configuration du DNS

Si vous recevez un message d’avertissement disant que vous n’avez pas d’adresse IP
statique, ignorez-le: il vous faut simplement redémarrer la VM pour que vos changements
d’IP soient effectués (ou alors c’est que vous aviez oublié de le faire…).
 Pour finaliser l’installation de nos différents services, cliquez successivement
sur Suivant puis cochez la case Redémarrer automatiquement le serveur cible.

Figure 5:Ajout des services

Vos services sont désormais installés, mais vous aurez remarqué l’icône en haut à
droite de votre gestionnaire de serveur : il nous faut finaliser la configuration post-
déploiement de notre Active Directory et DNS pour finaliser leurs installations.
Pour le DNS, il vous suffit de cliquer successivement sur Suivant, mais pour
l’annuaire en revanche, il vous faudra le promouvoir en tant que contrôleur de domaine.

Figure 6:Actualisation des services

Dans un domaine, il y a toujours au moins un contrôleur de domaine : son rôle sera de

vérifier l’identification des objets, traiter les demandes d’authentification, veiller à
l’application des stratégies de groupe ou encore stocker une copie de l’annuaire Active
Directory. Il est donc indispensable au fonctionnement de notre infrastructure.
 Nous allons donc cliquer sur Promouvoir ce serveur en contrôleur de domaine, puis
choisir l’option Créer une nouvelle forêt, et renseigner notre nom de domaine
(notamax.local par exemple) ainsi qu’un mot de passe pour l’annuaire. Si vous obtenez un
message d’avertissement à propos du DNS, ignorez-le.

Figure 7: Promouvoir en contrôle de domaine

Voilà, notre domaine est à présent fonctionnel ! Il ne nous reste plus qu’à configurer notre
serveur DHCP (configurer les plages d’adresses disponibles pour être précis) :
b) Configuration du service DHCP
Rendez-vous dans le gestionnaire de serveur, cliquez sur DHCP se trouvant à gauche,
puis clic droit et Gestionnaire DHCP :

Figure 8: Configuration du DHCP

Ici, nous allons créer une étendue pour IPv4, donc nous sélectionnions cette dernière,
puis clic droit de nouveau, et choisissez Nouvelle étendue:
 Figure 9:Parametres DHCP

Tapez le nom de votre étendue (à titre informatif donc), puis commencez à encoder la
plage d’adresses que vous souhaitez rendre disponible pour vos clients. Vous pouvez aussi
choisir le masque de sous-réseau, et si vous cliquez sur Suivant, vous pourrez choisir de de
configurer les options DHCP, comme par exemple renseigner l’adresse IP de la passerelle par
défaut sur votre réseau ou encore renseigner le serveur DNS (qui est donc l’adresse IP de
notre contrôleur de domaine).
Pour que notre serveur DHCP fonctionne pleinement, veillez à l’autoriser depuis
le Gestionnaire DHCP (clic droit puis Autoriser):

Figure 10:Verification du DHCP

Bien ! Le DHCP est fonctionnel et en service, l’annuaire est créé et fonctionnel lui aussi,
et le DNS aussi ! Il ne nous reste plus qu’à créer un utilisateur dans l’annuaire et démarrer une
VM Windows 10 pour rejoindre le domaine et vérifier que tout est bon. Sans oublier le
partage réseau en dernier
c) Création d’utilisateurs dans l’annuaire AD
 Pour gérer vos utilisateurs Active Directory, rien de plus simple: rendez-vous sur le
gestionnaire de serveur, puis cliquez sur AD DS, et enfin clic droit sur votre serveur
puis Utilisateurs et ordinateurs Active Directory :

Figure 11:Interface De services

Bien, il ne vous reste plus qu’à sélectionner votre domaine (notamax.local ici), puis de
réaliser un clic droit pour pouvoir créer toute une série d’objets dans votre annuaire… ici nous
allons créer un simple utilisateur de base, pour tester notre infrastructure:

Figure 12:Ajout d un client

Et voilà, vous n’avez qu’à remplir les informations nécessaires et cliquez de suivant en
suivant…
 Figure 13: Configuration d un Client

Par la suite, vous pouvez très bien modifier l’utilisateur nouvellement créé pour y
rajouter des informations supplémentaires, suspendre son compte, ou encore le rendre
itinérant .

IV. Relation d’approbation entre FreeIPA et Active Directory de Windows Server

2012

Nous allons connecter notre cluster FreeIPA à un serveur AD, il porte un seul domaine racine
dans une forêt unique.

Le domaine AD est un sous domaine de notre domaine principal porté la zone IPA.
De façon générale, les serveurs AD doivent pouvoir résoudre la zone IPA, l’inverse est
également vrai, sinon le trust ne fonctionnera pas.
Nous allons ajouter sur notre DNS FreeIPA une “DNS Forward Zone” pour ad.acme.com, qui
utilisera le serveur AD comme résolveur.

Nous devrions résoudre les enregistrements de service de l’AD :

il nous faut faire la même chose du côté de l’AD, pour pouvoir résoudre la zone IPA :
Nous devrions résoudre les enregistrements de service de l’IPA :

Une fois que les 2 serveurs peuvent résoudre leur zone respective et celle de son voisin c’est
terminé pour le DNS.
Comme vu dans la partie précédente, il y a des ports supplémentaires à ouvrir pour un trust,
en plus des ports standards IPA. En pratique il suffira de cette commande :
Il y a un paquet supplémentaire à installer pour pouvoir créer des trusts avec FreeIPA :

Après installation du paquet, initiez la configuration du mode trust côté IPA :

Avec un compte approprié, initiez le trust côté FreeIPA :

Le Trust est établi, nous pouvons essayer de vérifier un utilisateur de l’AD :

Si les règles HBAC le permettent, un utilisateur AD doit désormais pouvoir se connecter

directement en SSH sur un client FreeIPA 
C’est terminé pour cette série sur FreeIPA, nous avons passé en revue les différentes
fonctionnalités de la solution et les avons mises en pratique, 
 CONCLUSION

Au terme de ces quelques pages, nous avons pu expérimenter FreeIPA dans notre
environnement et de découvrir plusieurs fonctionnalités. Comme cela ne consomme que peu
de ressources, nous pouvons nous entraîner sur des machines virtuelles.

FreeIPA apporte les fondements d'une infrastructure DNS, une authentification

centralisée, voire du SSO, basée sur Kerberos et la possibilité de mettre en place une politique
de contrôle d'accès riche.