Académique Documents
Professionnel Documents
Culture Documents
CH 05 Final
CH 05 Final
CH 05 Final
Introduction
Dans ce chapitre, nous allons passer à la dernière étape de notre travail qui est la réalisation de
notre projet, il vise apporter une solution au problème de l’authentification dans le réseau de la
société CRMA de Bejaia.
Ce chapitre sera divisé en deux partie, théorique qui va définir les différents outils que nous
allons utiliser en commençant par une présentation de Windows server 2012, ou nous allons
évoquer les différentes éditions existantes. Ensuit nous présenterons LDAP (Lightweight Directory
Access Protocol) et quelques notion sur Active directory.
La deuxième partie est celle qui va décrire les différentes étapes suivis de lors l’installation
Et la configuration des différents services à commencer par l’active directory et qui va être suivie
par les différents services suivants : DNS, NPS…
1 Planification du déploiement
78
Chapitre IV
79
Chapitre IV
La vitalisation est le processus qui consiste à créer une version logicielle (ou virtuelle) d’une
entité physique. La virtualisation peut s’appliquer aux applications, aux serveurs, au stockage et
aux réseaux.
VMware (Virtual Machine) est un logiciel qui permet la création d’une ou plusieurs machines
virtuelles, quand on n’a pas beaucoup de partitions et qu’on veut exécuter plusieurs systèmes
d’exploitation et applications sur le même serveur physique, ou hôte.
Les machines virtuelles sont reliées au réseau local avec une adresse IP différentes peuvent
fonctionner en même temps, la limite dépond des performances de la machine hôte.
80
Chapitre IV
❖ Service d’annuaire.
Un annuaire est un moyen de stockage des informations. Un service d’annuaire comprend
à la fois l’annuaire même et la méthode utilisée pour le stocker sur le réseau afin qu’il soit
accessible à partir de tous les clients et serveurs. Les types d’informations stockées dans un
annuaire peuvent être répartis en trois catégories :
•ressources.
•services.
•comptes.
Dans un réseau Windows Server (2000, 2003, 2008, 2012,…), le service d’annuaire s’appelle
Active Directory. Rizcallah. M, Annuaires LDAP, 2éme édition, édition ENI, 2011.
▪ Les outils de messagerie savent interroger un annuaire LDAP pour tirer leur carnet
d’adresse.
81
Chapitre IV
▪ Les solutions d’infrastructure de sécurité (Firewall, proxy, etc.) peuvent y lire leurs
paramétrages.
▪ Une majorité des solutions logicielles du marché (gestion de contenu, portails d’entreprise,
progiciels de gestion, etc) utilisent LDAP pour l’authentification.
G. Plouin, J. Soyer, M-E. Trioullier, Ouvrage, Sécurité des architectures web, DUNOD.2004.
Microsoft Windows Server 2012 est un système d’exploitation orienté serveur, très adapté
pour la solution Client/serveur, polyvalente, puissante et complète vu qu’il se base sur les
améliorations que Microsoft a apporté à Windows server 2008 R2. Les administrateurs
bénéficient d’un environnement serveur d’avantage sécurisé et fiable. Cependant, Windows
Server 2012 est bien plus qu’une version perfectionnée des systèmes d’exploitation précédents,
il a été conçu pour offrir aux entreprises la plateforme la plus efficace pour prendre en charge
des applications, des réseaux et des services Web, ainsi il est doté de nouvelles fonctionnalités très
élaborées. William R. STANECK, Guide de l’administrateur Windows Server 2012 traduit par D.MANIEZ, Edition DUNOD, 2013
Windows Server 2012 apporte de nombreuses nouveautés, pour rendre vos serveurs plus
évolutifs, virtualisables et favoriser les évolutions vers les couds privés ou publics.
• Très simple, il comporte quatre éditions conçues pour répondre aux besoins de tous les
clients.
• Plus économique, le prix par instance diminue à mesure que votre infrastructure
grandit.
• Optimisé pour le Cloud, mobilité des applications dans des environnements hybrides.
Il existe différentes technologies qui sont prisent en charge par Active Directory, chaque
technologie s’installe en tant que rôle de serveur dans Windows Server 2012:
Active Directory est le nom du service d’annuaire de Microsoft, il fût créé et présenté en
1996, mais il n’a commencé à être réellement utilisé qu’à partir de la version Windows Server
2000 en 1999. Le service d’annuaire Active Directory est basé sur les standards TCP/IP, DNS et
LDAP.
L’objectif principal d’Active Directory est de fournir des services centralisés d’identification
82
Chapitre IV
83
Chapitre IV
Disponibilité des informations de l’annuaire, L’annuaire peut être mis à jour à partir de tout
tolérance de panne, hautes performances contrôleur de domaine et ce, même lorsqu’un
contrôleur de domaine est indisponible. La
disponibilité et la gestion des flux de réplication
sont contrôlées grâce l’ajustement dynamique
de la topologie de réplication et au mode de
réplication
multi-maître. La structure de foret Active
directory les arbres, les domaines et les
contrôleurs de domaine –supporte des structures
comportant des milliers de sites
géographiques et des millions d’objets.
84
Chapitre IV
publiques (PKI).
Support des standards de l’internet: un domaine Entreprise est assurée d’une pérennité de ses
Windows est un domaine DNS, un domaine choix de parla participation active de Microsoft
d’authentification est un royaume aux standards de l’industrie. TCP/IP, DNS, IP
Kerberos, les certificats sont utilisables de Sec, DHCP,…
manière naturelle pour l’authentification.
Ce service ressemble à Active Directory Domain Services mais plus allégé, seul l’annuaire
est disponible. Cela est utile dans les cas où on aura besoin d’un accès à des données de l’AD sans
avoir une autorisation de lecture totale dessus. AD LDS contiendra une copie partielle (n’est
accessible qu’on lectures) de l’AD, et ne fournit pas l’authentification réseau contrairement au
AD DS.
85
Chapitre IV
La configuration de TCP/IP est faite statiquement afin d’éviter la relation entre le DHCP et
le serveur RADIUS. La figure (5.3) présente la configuration TCP/IP du serveur RADIUS.
86
Chapitre IV
87
Chapitre IV
Une fois l'installation est terminée, cliquez sur "Promouvoir ce serveur en contrôleur de
domaine".
Note : Pour les anciennes versions de Windows serveur, c'est ce que "dcpromo.exe" permettait de
faire. Sans promouvoir le serveur en contrôleur de domaine, ce dernier ne sera pas créé.
90
Chapitre IV
Le nom NetBIOS est automatiquement défini suivant le nom de domaine que nous a indiqué
précédemment.
91
Chapitre IV
Pour réaliser cette opération on accède aux outils d’administration, ensuite utilisateurs et
ordinateurs Active Directory, puis on fait un clic droit sur CRMA.Local, après nouveau
utilisateur.
On a créé un utilisateur qu’on a nommé Kenza avec nom d’ouverture de session (Kenman)et un
mot de passe puis suivant. Après Terminer.
92
Chapitre IV
Maintenant on va Crée un groupe d’utilisateurs contenant des utilisateurs autorisés pour accéder à
notre réseau Wi-Fi.
On fait un clic droit sur CRMA.Local puis Nouveau ensuit Groupe.
On a nommé notre groupe Radius users.
93
Chapitre IV
Avant de passer à la prochaine étape nous allons tester le fonctionnement de serveur DNS et celui
de Active Directory. Pour teste le serveur DNS on va Pinger notre domaine avec une machine client
(Windows 7). Par la commande Ping et le nom de domaine « CRMA.Local »
La mise en place de certificat est une première sécurité, il s’agit de carte d’identité du poste
client pour qu’il puisse s’authentifier auprès du serveur.
94
Chapitre IV
95
Chapitre IV
On clique sur suivant jusqu’à la fin de l’installation. Une fois l'installation est terminée, on
clique sur le lien "Configurer les services de certificats Active Directory" sur le serveur de
destination.
96
Chapitre IV
97
Chapitre IV
Le 2ème choix nous permettant de choisir la clé privée venant d'une ancienne installation de
notre autorité de certification si elle existe et nous permettra de garantir la continuité des certificats
émis antérieurement à cette nouvelle installation.
Ensuit on sélectionne un fournisseur de service de chiffrement comme ci-dessous :
Sha1 est une fonction de hachage. Elle améliore la sécurité des données en les cryptant. Cet
algorithme de hachage figure parmi les plus sécurisés.
On fait suivant jusqu’à installe.
Le serveur de certificat est à présent installé.
Le serveur RADIUS dans notre cas est Network Policy Server (NPS). NPS est
l’implémentation Microsoft de la norme RADIUS. En tant que serveur RADIUS NPS effectue de
façon centralisée l’authentification des demandes de connexion, l’autorisation et la gestion des
comptes pour divers types d’accès réseau, notamment l’accès sans fil.
Lorsqu’un serveur exécutant NPS est membre d’un domaine des services de domaine Active
Directory, NPS utilisé le service d’annuaire comme base de données des comptes d’utilisateurs et
s’intègre à une solution d’authentification unique. Dans ce cas, le même ensemble d’informations
d’identification est utilisé pour le contrôle d’accès réseau (authentification et autorisation de l’accès
réseau) et l’ouverture de session dans le domaine AD.
Le serveur NPS est présent dans :
Gestionnaire de serveur Gérer Ajouter des rôles et fonctionnalités services de stratégie
d’accès réseau Serveur NPS (Network Policy Server)
99
Chapitre IV
100
Chapitre IV
Dans notre cas on a utilisé la connexion sans fil donc il faut choisir le type de connexion
802.1X Connexions sans fil sécurisées. Après on a donné un nom à notre stratégie puis on clique
sur suivant.
Ensuite on a remplis le nom et l’adresse de point d’accès à sécuriser puis le secret partagé et on le
valide par OK.
101
Chapitre IV
Pour le type de protocole EAP on a choisi EAP Microsoft : PEAP (Protected EAP)
102
Chapitre IV
103
Chapitre IV
104
Chapitre IV
Une fenêtre de configuration s’est affichée avec l’adresse IP de l’interface de la borne Wi-Fi,
on clique sur Wireless setup puis une autre fenêtre s’affiche.
105
Chapitre IV
Il faut tout d’abord exporter le certificat d’autorité racine du serveur et ensuite l’installer sur
le poste client. Celui-ci permet de contrôler l’identité du poste-client. Le certificat délivré pour le
client sert à autoursier la machine client à faire partie des utilisateurs radius.
Sur le serveur on ouvre la console mmc (Microsoft management console) par taper Windows+R
puis la commande mmc.
106
Chapitre IV
Notre certificat est maintenant présent dans les certificats racine. Les certificats que nous
génèrerons seront donc considérés comme validés par notre serveur (uniquement).
107
Chapitre IV
Ensuite on va exporter notre certificat pour l’installer dans la machine cliente, pour cela on
va dérouler "Autorités de certification de confiance Certificats", ensuite on clique sur notre
certificat CRMA-S22-CA puis exporté.
On va exporter notre certificat au forme "X.509 binaire encodé DER (*.cer)". On sélectionne
"X.509 binaire encodé DER (*.cer)", après suivant.
109
Chapitre IV
Sur le poste client (Windows 7 dans notre cas) on va ouvrir la console mmc.
Pour importer le certificat on clique sur Fichier puis Ajouter/Supprimer un composant logiciel
enfichable.
Après on sélectionne Certificat Ajouter un compte ordinateur.
On suite on développe l’arborescence et dans le dossier Certificat on fait un clique droit sur toutes
les taches puis on clique sur importer.
110
Chapitre IV
111
Chapitre IV
Deux phases de tests ont été réalisées, la première phase en utilisant un compte d’utilisateur qui
fait partie de groupe d’utilisateurs inscrit dans le serveur RADIUS (Radius users) pour accéder à
notre réseau, la seconde on a essayé de rejoindre au domaine CRMA.Local.
Pour avoir l’accès au réseau via Wifi on va l’identifier avec un nom d’utilisateur et un mot de
passe, si l’opération s’effectue avec réussite ….
112
Chapitre IV
113
Chapitre IV
114