Académique Documents
Professionnel Documents
Culture Documents
Service Annuaire Et D'authendification
Service Annuaire Et D'authendification
Objectifs :
1. service annuaire
une annuaire nous permet de stocker des informations ;
● Structure arborescente;
● Langage de recherche ;
● l'échange de données se fait par le format LDIF ;
● Class d’objet:
est un modèle qui définit les caractéristiques et le comportement d'un type
spécifique d'objet. Les objets sont des instances de classes, et les classes
définissent les propriétés (attributs) et les actions (méthodes) associées à ces
objets.
● Attribut:
Ce sont les variables qui stockent les données associées à un objet. Les attributs
représentent les caractéristiques de l'objet.
● Schéma:
Dans le domaine de l'informatique, le terme schéma est relatif à l'organisation
de données, en particulier dans les annuaires et les bases de données en général.
2 .Langage de Requête :
Caractéristique Annuaire LDAP SGBD (Tableaux)
Utilisation
Gestion des identités, Gestion des données
authentification structurées
Principale
● Création des fichiers ldif pour sauvegarder les comptes sur linux
fig:alimentation de l’annuaire
fig:
la sortie:
le compte maria a été bien supprimer
Exercice de recherches :
R3:
Les commandes LDAP telles que ldapadd, ldapsearch, ldapmodify, et ldapdelete
sont utilisées pour manipuler des données dans un annuaire LDAP. Voici un
aperçu des options couramment utilisées pour chacune de ces commandes :
ldapadd
La commande ldapadd est utilisée pour ajouter de nouvelles entrées dans un
annuaire LDAP.
Options courantes :
Options courantes :
ldapmodify
La commande dapmodify est utilisée pour modifier des entrées existantes dans
un annuaire LDAP.
Options courantes :
ldapdelete
La commande ldapdelete est utilisée pour supprimer des entrées de l'annuaire
LDAP.
Options courantes :
SASL, qui signifie Simple Authentication and Security Layer, est un framework
d'authentification standardisé permettant aux protocoles de communication de
réaliser des échanges sécurisés sans avoir à modifier le protocole sous-jacent
Recherche:
● donner la signification de ces différentes règles
Pour plus d’information lisez le document
https://www.openldap.org/doc/admin23/slapdconf2.html
Prérequis:
● Outils de gestion securité : openssl, certtool, tinyca openssl :
clé privée et clé publique
1. Je fixe le nom de mon serveur à mamaec2lt.sn
cn = Universite de Dakar
ca cert_signing_key expiration_days = 3650
fig:génération du certificat
fig:la correspondance
Test de TLS :
# wireshark &
Analyse des transactions via l’outil wireshark
Actualisons la capture:
fig:réactualisées en cliquant sur l’icône verte
fig:en faisant un filtre sur ldap on voit des données concernant bouki
Fig : en filtrant sur tls, on constate que les messages ldap sont encapsulés
dans TLS ( voir 2 ème fenêtre de la capture)
NB:
fig:connexion à distance
fig:connexion reussi
Mise en oeuvre:
Allons dans le répertoire
/var/www/html
fig:voici la page
fig:
On fait la correspondance:
#nano /etc/hosts
fig:
fig:Demande d'authentification
Créons 4 comptes utilisateurs directement à la racine de notre annuaire :
On va alimenter l’annuaire
fig:on voit les compte creer
fig:avnt connexion
NB:
On pose la question pourquoi les comptes qui ont été spécifié par
l’unité organisationnelle ’ou’ n’arrivent pas à se connecter?
Pour résoudre cela on se rend dans notre site virtuel ,et modifier le
paramètre “AuthLDAPURL ldap:”
Ainsi,cela est faite on pourra se connecter avec les comptes dans “ou”
On test
fig:
fig:contenu
fig:accès avec un bon mot de passe
fig:notre site
fig:affichage des infos du certificat
Conclusion partielle:
on a sécurisé la transaction entre le navigateur et le serveur web
Le protocole Radius
Correction td:
1. Définir ces différentes
notions:Radius,802.1x,EAP,PEAP,MSCHAPV1,MSCHA
PV2
Radius: c’est un protocole client/serveur permettant de centraliser des
données des utilisateurs .Son rôle principal est d'authentifier les
utilisateurs. C’est un protocole de type AAA.
tp2:
1. Donner le format des paquets du protocole radius
Reponse1:
● Code;
● ID;
● Longueur;
● Authentificateur;
● Attributs/valeurs;
TP : Paramétrage d’une application pour qu’elle accède à un serveur
ldap cas1 : serveur freeradius :
server AAA( Authentication Authorize Accounting)
Rappel:
le service Radius a trois entités :
• le terminal de l’utilisateur qui cherche à se connecter au réseau ( on
l’appelle supplicant)
• L’équipement qui permet d’accéder au réseau ( Point d’accès WIFI,
Switch ou routeur, MSAN ou DSLAM de l'opérateur de télécoms) ;
on l’appelle client Radius ou NAS( Network Access Server)
• le Serveur radius :
On se déplace dans:/etc/freeradius/3.0/
on y met
client
IpdupointAcces{ secret =mot_de_passe }
fig:access request
fig:access-accept
control:Cleartext-Password += 'userPassword'
Fig : mapping entre Cleartext-Password et userPassword
Fig : filtre de recherche de login qui est par defaut sur uid
fig:
analyse sur wireshark avec le compte mendy
client 192.168.0.50
{ secret=Passer123 }
fig : création de compte à l'AP avec le secret partagé passer123
on redemarre le serveur Radius
# systemctl restart freeradius
on test
fig:la passerelle