Académique Documents
Professionnel Documents
Culture Documents
1. Définition
FreeIPA est une solution de gestion des informations de sécurité intégrée. La solution
propose un joli portail qui permet de déléguer une partie de la gestion des comptes utilisateurs
à des personnes non techniques.
Plusieurs serveurs FreeIPA peuvent être configurés en mode multimaître pour assurer
la montée en charge et la redondance. Windows Server est le module de stockage principal
des données et c'est lui qui fournit nativement une réplication multimaître.
En bonus, FreeIPA s'administre au travers d'une interface web et/ou d'un utilitaire en
ligne de commandes. Ainsi, tout le monde y trouve son compte.
2. Fonctionnalités
II- WINDOWS SERVER 2012
1. Généralités
Windows Server 2012 R2 est la deuxième version de Windows Server 2012 sortie le 18
octobre 2013. Cette deuxième version prend en charge le Cloud hybride, et améliore les
machines virtuelles (VM) en termes de stockage et de portabilité. Le système Windows Server
2012 R2 est un système d’exploitation serveur puissant, souple et complet basé sur les
optimisations apportées par Microsoft afin de faciliter l’administration des systèmes
informatiques dans toutes ses formes.
Active Directory est un service d'annuaire créé par Microsoft en 1996 et destiné à être installé
sur les Windows Server 2000, 2003, 2008, 2012 et 2016. En stockant dans une base de données les
renseignements relatifs aux ressources réseau d'un domaine, Active Directory a pour objectif
premier de centraliser l'identification et l'authentification d'un réseau de postes Windows.
Active Directory est un système centralisé et standardisé qui automatise la gestion du
réseau des données utilisateur, de la sécurité et des ressources distribuées, et permet
l'interopérabilité avec d'autres répertoires. Active Directory est spécialement conçu pour les
environnements réseau.
Les objets compris dans la structure de l'Active Directory sont de trois types :
Les ressources : poste de travail, imprimante, scanner, dossiers partagés, etc.
Les utilisateurs : comptes individuels et groupes, c'est-à-dire des listes d'utilisateurs avec leurs
droits et leurs services, etc.
L'arbre ou arborescence contient tous les sous-domaines dans des ramifications au sein du
domaine principal.
Le domaine, la plus petite unité, représente les feuilles de l'arbre. il peut s'agir de fichiers, par
exemple.
Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et
l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les
éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes
de travail, les dossiers partagés, les imprimantes, etc.Active Directory fourni les avantages
suivants :
▪ Nom d'utilisateur et mot de passe unique – Net ID70
▪ Réduire les frais généraux grâce à la normalisation
▪ Améliorer les services grâce à des fonctionnalités de gestion centralisées
▪ Fournir des bases pour les services suivants : Exchange et SharePoint.
▪ Améliorer la sécurité des postes de travail
▪ Stockage central fourni aux particuliers et aux départements
▪ Services de sauvegarde et de restauration pour le stockage centralisé
▪ Espace de stockage du serveur pour les documents utilisateur
▪ Sauvegarde des données sur les lecteurs à domicile
Il existe 5 rôles Active Directory qui sont :
AD Domain Services (AD DS) : Annuaire
AD Certificate Services (AD CS) : PKI
AD Federation Services (AD FS) : Ressources partagées
AD Right Management Services (AD RMS) : Sécurisation des données
AD Lightweight Directory Services (AD LDS)
Dans le cadre de notre projet, il est important de comprendre les terminologies
suivantes :
Forêt Active Directory : Quand vous créez le premier contrôleur de domaine de votre
organisation, vous créez le premier domaine (ou domaine racine de la forêt) et la première
forêt. La forêt Active Directory est un regroupement d’un ou plusieurs arbres de domaine. Un
arbre peut avoir un ou plusieurs domaines et une organisation peut disposer de plusieurs
forêts. Une forêt est une limite de sécurité et d’administration pour tous les objets qu’elle
contient.
Domaine Active Directory : Un domaine est une limite d’administration destinée à faciliter
la gestion d’objets tels qu’utilisateurs, groupes et ordinateurs. De plus, chaque domaine
applique ses propres stratégies de sécurité et relations d’approbation avec les autres domaines.
Contrôleur de domaine : Un contrôleur de domaine est un serveur qui exécute le rôle AD
DS. Active Directory est une base de données centrale qui stocke les comptes d’utilisateurs,
les comptes d’ordinateurs, des unités organisationnelles, des domaines Active Directory et les
forêts. La gestion des utilisateurs, des ordinateurs ou encore l’application de politiques se font
depuis l’active directory du serveur (qu’il est possible de lancer via la commande dsa.msc).
3. Serveur DNS
Le DNS (Domain Name System) est un service dont la fonction principale est de
permettre la traduction d’un nom de domaine en une adresse IP associée. Pour accéder à un
site internet nous devons taper son adresse IP.
A titre d’exemple, pour accéder à Google, il nous faut saisir l’adresse 172.217.16.78. Par
contre pour les utilisateurs, il est moins aisé de retenir les adresses numériques du genre
172.217.16.78, mais avec un nom alphabétique il est plus facile de retenir les adresses des
sites internet, par exemple "www.google.com". Ceci est applicable pour toutes les adresses IP.
4. Serveur DHCP
Le DHCP (Dynamic Host Configuration Protocol) est un serveur qui délivre des adresses
IP de façon automatique aux ordinateurs se connectant au réseau. En plus de vous attribuer
une adresse IP, le serveur DHCP vous informe de la configuration du réseau telle que la
passerelle par défaut et le masque de sous-réseau.
Afin de mieux appréhender la notion de DHCP, il est important de comprendre certaines
terminologies :
Étendue : Une étendue est la plage consécutive complète des adresses IP
probables d’un réseau. Les étendues désignent généralement un sous-réseau
physique unique de votre réseau auquel sont offerts les services DHCP. Les
étendues constituent également pour le serveur, le principal moyen de gérer la
distribution et l’attribution d’adresses IP et de tout autre paramètre de
configuration associé aux clients du réseau.
Pool d’adresses : Une fois que vous avez défini une étendue DHCP et appliqué
des plages d’exclusion, les adresses restantes forment le pool d’adresses disponible
dans l’étendue. Les adresses de pool peuvent faire l’objet d’une affectation
dynamique par le serveur aux clients DHCP de votre réseau.
Bail : Un bail est un intervalle de temps, spécifié par un serveur DHCP, pendant
lequel un ordinateur client peut utiliser une adresse IP affectée. Lorsqu’un bail est
accordé à un client, le bail est actif. Avant l’expiration du bail, le client doit
renouveler le bail de l’adresse auprès du serveur. Un bail devient inactif lorsqu’il
arrive à expiration ou lorsqu’il est supprimé du serveur. La durée d’un bail
détermine sa date d’expiration et la fréquence avec laquelle le client doit le
renouveler auprès du serveur.
Réservation : Utilisez une réservation pour créer une affectation de bail d’adresse
permanente par le serveur DHCP. Les réservations permettent de s’assurer qu’un
périphérique matériel précis du sous-réseau peut toujours utiliser la même adresse
IP.
CHAPITRE II : MISE EN PLACE DU CONTROLE
D’ACCES AVEC FREEIPA ET APPROBATION AVEC
ACTIVE DIRECTORY
1- Environnement Matériel
2. Environnement logiciel
1. Installation
FreeIPA est un logiciel libre et open source (GPLv3, sauf le directory server), il s’agit
du projet upstream pour Red Hat Identity Management (RH IDM), il est basé sur plusieurs
composants dont les licences peuvent varier .
Dans notre cas l’installation de FreeIPA se fera sous une machine virtuelle (1.5Go
RAM, 1 processeur, 20Go DD). Insérer l’iso de CentOS7 dans le lecteur CD de la VM ,
installez CentOS7 et suivez les différentes étapes de l’installation.
Vérifiez que le FQDN de votre machine soit correctement indiqué dans le fichier
/etc/hostname et qu’il résout correctement avec dig (yum install bind-utils), dans notre
exemple il s’agira de freeipa0.idm.demo.local .
Il n’y as pas de dépôts particuliers à configurer sous CentOS 7 : yum install ipa-server ipa-
server-dns
Dans notre travail nous allons faire une installation complète sur idm.demo.local. Il est
systématiquement conseillé de déclarer FreeIPA sur un nouveau sous-domaine pour éviter
tout conflit potentiel avec un autre serveur kerberos présent (AD…) Si vous n’en avez pas, il
est tout à fait possible d’installer idm directement sur votre domaine, voici la commande que
nous allons utiliser :
2. Configuration
a. Interface web
L’interface de FreeIPA est scindée en 5 parties :
Nous allons créer notre premier utilisateur. Cliquez sur le bouton “Add” dans Identity
-> Users
Remplissez les champs nécessaires et cliquez sur Add. L’utilisateur devra, par défaut,
changer son mot de passe à la première connexion.
Dans le même principe, nous allons faire un groupe “group1” dans la partie groupe et
y intégrer notre utilisateur.
3. Connexion des utilisateurs
Nos deux clients son des hotes Fedora 27 Workstation a jour.
Nous ajoutons nos clients avec cette commande, directement en root sur la VM.
Avant l’ajout nous vérifions le bon fonctionnement des DNS, il est important
d’arriver à résoudre le FQDN du serveur ipa et du client pour que l’opération se
passe correctement, le reverse-dns du client est facultatif à ce stade :
Yum install ipa-client
ipa-client-install -U --domain=idm.demo.local --realm=IDM.DEMO.LOCAL --
server=freeipa1.idm.demo.local --mkhomedir -p admin -w MotDePasse2
1. Installation
i. Insérez le DVD Windows Server 2012 et, une fois que vous avez reçu le message
suivant, appuyez sur Entrée pour démarrer à partir de la configuration.
ii. Patientez quelques instants jusqu'à ce que l'installation charge tous les fichiers
nécessaires (selon votre machine, cela prendra quelques minutes)
iii. Une fois les fichiers d'installation chargés, l'installation commencera par l'écran
suivant. Vous pouvez les modifier pour répondre à vos besoins.
iv. Une fois que vous avez cliqué sur Suivant, vous pouvez démarrer l'installation, cliquez
sur "Installer maintenant".
Figure 2:Début de la configuration
Figure 4: Fin d’installation
2. Configuration de l’annuaire
Avant toute chose, un rapide rappel s’impose: le but principal d’Active Directory est de
fournir un service centralisé d’identification et d’authentification à un réseau de machines
utilisant l’OS de Microsoft, tout en permettant également la création et l’application de
stratégies de groupes, l’installation à distance de logiciels ou de mises à jour Windows
Update. Active Directory répertorie et classe aussi les « objets » d’un réseau tels que les
utilisateurs, les workstations, les serveurs, les imprimantes, etc.
Pour l’installer (comme 90% des services sur un Windows Server), allez dans
le Gestionnaire de serveur, puis Gérer et enfin Ajouter des rôles et fonctionnalités.
Arrivé ici, il ne vous reste qu’à cliquer sur Installation basée sur un rôle ou une
fonctionnalité puis sélectionner votre serveur, et enfin sélectionner les 3 rôles dont nous
auront besoin:
DNS
DHCP
Active Directory (AD DS)
Si vous recevez un message d’avertissement disant que vous n’avez pas d’adresse IP
statique, ignorez-le: il vous faut simplement redémarrer la VM pour que vos changements
d’IP soient effectués (ou alors c’est que vous aviez oublié de le faire…).
Pour finaliser l’installation de nos différents services, cliquez successivement
sur Suivant puis cochez la case Redémarrer automatiquement le serveur cible.
Vos services sont désormais installés, mais vous aurez remarqué l’icône en haut à
droite de votre gestionnaire de serveur : il nous faut finaliser la configuration post-
déploiement de notre Active Directory et DNS pour finaliser leurs installations.
Pour le DNS, il vous suffit de cliquer successivement sur Suivant, mais pour
l’annuaire en revanche, il vous faudra le promouvoir en tant que contrôleur de domaine.
Voilà, notre domaine est à présent fonctionnel ! Il ne nous reste plus qu’à configurer notre
serveur DHCP (configurer les plages d’adresses disponibles pour être précis) :
b) Configuration du service DHCP
Rendez-vous dans le gestionnaire de serveur, cliquez sur DHCP se trouvant à gauche,
puis clic droit et Gestionnaire DHCP :
Ici, nous allons créer une étendue pour IPv4, donc nous sélectionnions cette dernière,
puis clic droit de nouveau, et choisissez Nouvelle étendue:
Figure 9:Parametres DHCP
Tapez le nom de votre étendue (à titre informatif donc), puis commencez à encoder la
plage d’adresses que vous souhaitez rendre disponible pour vos clients. Vous pouvez aussi
choisir le masque de sous-réseau, et si vous cliquez sur Suivant, vous pourrez choisir de de
configurer les options DHCP, comme par exemple renseigner l’adresse IP de la passerelle par
défaut sur votre réseau ou encore renseigner le serveur DNS (qui est donc l’adresse IP de
notre contrôleur de domaine).
Pour que notre serveur DHCP fonctionne pleinement, veillez à l’autoriser depuis
le Gestionnaire DHCP (clic droit puis Autoriser):
Bien ! Le DHCP est fonctionnel et en service, l’annuaire est créé et fonctionnel lui aussi,
et le DNS aussi ! Il ne nous reste plus qu’à créer un utilisateur dans l’annuaire et démarrer une
VM Windows 10 pour rejoindre le domaine et vérifier que tout est bon. Sans oublier le
partage réseau en dernier
c) Création d’utilisateurs dans l’annuaire AD
Pour gérer vos utilisateurs Active Directory, rien de plus simple: rendez-vous sur le
gestionnaire de serveur, puis cliquez sur AD DS, et enfin clic droit sur votre serveur
puis Utilisateurs et ordinateurs Active Directory :
Bien, il ne vous reste plus qu’à sélectionner votre domaine (notamax.local ici), puis de
réaliser un clic droit pour pouvoir créer toute une série d’objets dans votre annuaire… ici nous
allons créer un simple utilisateur de base, pour tester notre infrastructure:
Et voilà, vous n’avez qu’à remplir les informations nécessaires et cliquez de suivant en
suivant…
Figure 13: Configuration d un Client
Par la suite, vous pouvez très bien modifier l’utilisateur nouvellement créé pour y
rajouter des informations supplémentaires, suspendre son compte, ou encore le rendre
itinérant .
Nous allons connecter notre cluster FreeIPA à un serveur AD, il porte un seul domaine racine
dans une forêt unique.
Le domaine AD est un sous domaine de notre domaine principal porté la zone IPA.
De façon générale, les serveurs AD doivent pouvoir résoudre la zone IPA, l’inverse est
également vrai, sinon le trust ne fonctionnera pas.
Nous allons ajouter sur notre DNS FreeIPA une “DNS Forward Zone” pour ad.acme.com, qui
utilisera le serveur AD comme résolveur.
il nous faut faire la même chose du côté de l’AD, pour pouvoir résoudre la zone IPA :
Nous devrions résoudre les enregistrements de service de l’IPA :
Une fois que les 2 serveurs peuvent résoudre leur zone respective et celle de son voisin c’est
terminé pour le DNS.
Comme vu dans la partie précédente, il y a des ports supplémentaires à ouvrir pour un trust,
en plus des ports standards IPA. En pratique il suffira de cette commande :
Il y a un paquet supplémentaire à installer pour pouvoir créer des trusts avec FreeIPA :
Au terme de ces quelques pages, nous avons pu expérimenter FreeIPA dans notre
environnement et de découvrir plusieurs fonctionnalités. Comme cela ne consomme que peu
de ressources, nous pouvons nous entraîner sur des machines virtuelles.