42 0 1MB
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
SOMMAIRE SOMMAIRE .............................................................................................................................................. 1 DEDICACE ............................................................................................................................................... 2 REMERCIEMENTS ................................................................................................................................... 3 LISTE DES ACRONYMES......................................................................................................................... 4 RESUME................................................................................................................................................... 5 ABSTRACT .............................................................................................................................................. 6 AVANT-PROPOS .................................................................................................................................... 7 INTRODUCTION ..................................................................................................................................... 8 PARTIE I .................................................................................................................................................. 9 PRESENTATION...................................................................................................................................... 9 GENERALE .............................................................................................................................................. 9 CHAPITRE I : PRESENTATION DE L’ENTREPRISE .............................................................................. 10 CHAPITRE II : PRESENTATION DU PROJET ........................................................................................ 14 PARTIE II ............................................................................................................................................... 20 ETUDE TECHNIQUE ............................................................................................................................. 20 CHAPITRE III : LES CONTROLEURS DE DOMAINES ........................................................................... 21 CHAPITRE IV : PRESENTATION DE QUELQUES SOLUTIONS DE BASES D’ANNUAIRE .................. 25 CHAPITRE V : APPROCHE DES SOLUTIONS DE CONTROLEUR DE DOMAINE .............................. 32 PARTIE III .............................................................................................................................................. 40 DEPLOIEMENT DE LA SOLUTION RETENUE ..................................................................................... 40 CHAPITRE VI : IMPLEMENTATION DE LA SOLUTION RETENUE ..................................................... 41 CHAPITRE VII : VALORISATION DU PROJET ...................................................................................... 68 CONCLUSION ....................................................................................................................................... 71 REFERENCES ........................................................................................................................................ 72 ANNEXES .............................................................................................................................................. 73 TABLE DES MATIERES.......................................................................................................................... 75
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
1
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
DEDICACE JJe dédie ce travail estimable : A ma très chère Tante MEITE Bintou, vous êtes un exemple de dévouement qui n'a cessé de m'encourager et de prier pour moi. Puisse Dieu, le tout puissant, vous préserve et vous accorde santé, longue vie et bonheur.
santé, longue vie et bonheur.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
2
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
REMERCIEMENTS
Nous remercions le bon DIEU qui nous a donné la vie et la santé pour pouvoir réaliser ce mémoire et nous prions pour son prophète MOUHAMED (SAW). En préambule à ce mémoire, nous souhaitons adresser nos remerciements les plus sincères aux personnes qui nous ont apporté leur aide et qui ont contribué à l'élaboration de ce modeste travail ainsi qu'à la réussite de cette formidable formation. A notre encadreur M. DOMAGNI Denankpon de nous avoir encadré tout au long de l’étude, pour sa disponibilité, ses conseils et ses différentes remarques. Au responsable du département Informatique, également à tous les membres du personnel du service Informatique d’ACE-CI qui nous ont accueillis, sans oublié tous les enseignants de l’Institut Supérieur des Technologies(ISTECH). A tous mes proches et amis TANO Marc Lewis, KOUASSI Herman, TRAORE Tiemoko, et à tous les connaissances que je n’aurais pas pu citer. Je vous adresse mes plus sincères remerciements.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
3
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
LISTE DES ACRONYMES ACL
: Access Control List
AD
: Active Directory
BDC
: Backup Domain Controller
CIFS
: Common Internet File Service
DBM
: DataBase Management
DNS
: Domain Name Server
FTP
: File Transfert Protocol
GDB
: Genome DataBase
LDAP
: Lightweight Directory Access Protocol
NetBIOS
: Network Basic Input-Output System
NIS
: Network Information System
NFS
: Network File Service
NSS
: Network Service Switch
PAM
: Pluggable Authentication Modulation
PDC
: Primary Domain Controller
RPC
: Remote Procedure Call
SAM
: Security Accounts Manager
SMB
: Service Message Block
TCP/IP
: Transmission Control Protocol/Internet Protocol.
TULLE B : Titre Uniforme Labélisé Librement et Edité par la Bibliothèque. UDDI
: Universal Description Discovery and Intégration
UIT
: Union National des Télécommunications
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
4
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
RESUME Ce document représente le travail qui nous été confié lors du stage effectué au sein de l’entreprise ACE-CI. En effet dans le but d’améliorer la qualité de ses services la direction d’ACE-CI a décidé de mettre en place une nouvelle politique de gestion de ses informations. Cette politique vise à améliorer le mécanisme de gestion de notre système d’information en le rendant plus accessible, stable, rapide et fiable. C’est ainsi que nous avons décidé d’instaurer un serveur contrôleur de domaine pour ses capacités de stockage, centralisation, et sécurisation des données. Cette étude s’est déroulée autour de trois(3) axes. En premier lieu nous avons fait une présentation de l’entreprise en mettant l’accent sur le département informatique. En plus nous avons fait un inventaire des outils informatiques de l’entreprise. En deuxième lieu nous avons effectué une étude technique en définissant le contrôleur de domaine, ses différentes caractéristiques et proposer différentes solutions possibles afin de choisir la solution adéquate à notre cas. En dernier lieu nous sommes passés à l’implémentation de la solution choisie en vue de répondre à nos exigences. La solution technique choisie fut le contrôleur de domaine SAMBA. Ce choix a été motivé par la gratuité du logiciel, mais aussi par ses capacités de d’authentification des utilisateurs, de sauvegarde durable, d’accessibilité et de sécurisation des données. Cependant SAMBA comporte quelques limites. Parmi lesquelles nous pouvons citer : -
Samba ne peut pas faire fonctionner des applications Windows sur une machine Unix. Samba ne peut pas contrôler un domaine Active Directory.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
5
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
ABSTRACT This document is the work that we were told during the internship company ACE-CI. Indeed, in order to revitalize its management information system ACE-CI decided to implement a new policy for managing its information. This policy aims to improve the management mechanism of our information system by making it more accessible, stable, fast and reliable. Thus we decided to create a domain controller server for storage capacity, centralization, and data security. This study was conducted in three (3) axes. First we made a presentation of the company focusing on the IT department. In addition we made an inventory of computer tools for the enterprise. Secondly we conducted a technical study by defining the domain controller, its various features and offer different options to choose the right solution for our case. Finally we moved to the implementation of the chosen to meet our requirements solution. The technical solution chosen was the SAMBA domain controller. This choice was motivated by the free software, but also by its ability to user authentication, backup, access and data security. However SAMBA has some limitations. Among which we can mention: - Samba can not run Windows applications on a Unix machine. - Samba can not control an Active Directory domain.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
6
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
AVANT-PROPOS La bonne gestion des informations de l’entreprise est un souci majeur pour toutes les entreprises existantes dans le monde. C’est même une condition indispensable au bon fonctionnement de la structure. C’est en cela que nous nous devons de définir une bonne politique afin d’avoir un système d’information performant et fiable nous permettant d’assurer efficacement le partage des données et la sécurité de notre système d’information. Tout ce mécanisme a influencé le choix d’une stratégie qui va fait intervenir un contrôleur de domaine au sein de notre système d’information. L’élaboration de ce mémoire aura pour but de nous permettre d’obtenir des connaissances sur les contrôleurs de domaines d’administration, de nous amener à étudier et implémenter une solution efficace pour faciliter la gestion adéquate des ressources de l’entreprise.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
7
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
INTRODUCTION Un système d’information est l’ensemble des moyens humains, matériels et procédures permettant de recueillir, de conserver, et de traiter l’information. Toutefois, l’information est un support fondamental pour toute entreprise. C’est ainsi que la mise en œuvre d’un système d’information performant permettant d’assurer une gestion adéquate des données de l’entreprise est indispensable. Face à ce constat de nombreuses entreprises se posent la question de savoir quel système mettre en place pour assurer une bonne planification de la gestion de ses données numériques. Ainsi le défi majeur pour toute entreprise digne de ce nom est d’avoir un système d’information qui lui permettra d’atteindre les objectifs suivants : -
Assurer la disponibilité du système en tout instant. Permettre l’échange des données entre les utilisateurs du réseau d’entreprise. Définir un mécanisme de sauvegarde des données lui permettant de les restaurer en cas de perte. Garantir une sécurité matérielle et logicielle de son système d’information
Dans le but de répondre à cette problématique le Groupe ACE-CI a chargé son département informatique de définir une stratégie adéquate pour la gestion de ses ressources lui permettant d’atteindre les objectifs énumérés ci-dessus en vue d’améliorer la qualité de ses services. C’est dans cette Optique que nous nous sommes engagés à mener une étude basé sur une administration réseau sous Linux et en particulier sur la
Mise en place d’un serveur contrôleur de domaine sous linux. Notre étude va être élaboré autour de trois axes, dans un premier temps, nous présenterons de manière générale la structure d’accueil. Ensuite, nous ferons une étude technique et proposerons les différentes solutions de contrôleurs de domaine puis nous choisirons la solution adaptée à notre cas. Et enfin dans la dernière partie, nous allons implémenter la solution choisie pour une sauvegarde efficace des données, pour sécuriser et rendre disponible notre système.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
8
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
PARTIE I PRESENTATION GENERALE
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
9
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE I : PRESENTATION DE L’ENTREPRISE I-
L’ENTREPRISE : ACE-CI
1- Historique ACE : Audit Control & Expertise a été fondée en Janvier 1996 pour répondre aux besoins grandissants de nombreuses banques, maisons de négoces et gouvernements désireux de mieux contrôler leurs risques transactionnels, tant qualitatif, que quantitatif. Les Activités d’inspections, supervision et de tierces détentions ont tout d’abord couvert les matières premières avant leur embarquement, afin de vérifier la conformité complète avec les conditions contractuelles. Très rapidement, les activités du groupe se sont étendues à la gestion des risques financiers des produits de base du bord champs jusqu’au produit fini ayant recours au système de lettre de tierce détention, et d’inspection avant chargement des produits de base, métallurgiques, produits chimiques, pétrole et dérivés ainsi qu’aux produits agroalimentaires . Le Groupe ACE a depuis lors continué son expansion et ouvert de nombreuses succursales dans le monde : son réseau est à présent bien établi en Afrique, en Amérique du Sud, en Europe de l’Est et de L’ouest, Et en Asie. Ainsi installé en février 1999, ACE-CI est une filiale du groupe ACE en côte d’ivoire. Elle a d’ores et déjà de l’expérience et une notoriété.
Les services offerts par le groupe sont les suivants : Financements structurés de produits Contrôle des garanties d’ACE Entreposage et Stockage Tierce Détention Services de contrôle (Inventaire, Appui au crédit pour comptes clients) Services d’inspection Services de due diligence – Connaître le client de votre client (Due Diligence) Garantie de crédit d’ACE MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
10
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Services D’audit Profils De Produits Service Juridiques Service de Formation
2- La Structure D’ACE-CI ACE-CI se compose comme suit : Direction Générale Direction de Support Crédit(DCM) Direction Technique et des Opérations (DTO) Direction Administrative et Financière (DAF) Département Informatique(IT) Direction des Moyens Généraux Direction des Ressources Humaines et Juridiques(DRH)
DIRECTION GENERALE
DIRECTION DE SUPPORT DE CREDIT
DIRECTION TECHNIQUE ET OPERATION
DIRECTION DES MOYENS GENERAUX
DEPARTEMENT INFORMATIQUE
DIRECTION ADMINISTRATIVE ET FINANCIERE
DIRECTION DES RESSOURCES HUMAINES ET JURIDIQUES
Figure 1 : ORGANIGRAMME D’ACE-CI
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
11
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
II-
LA STRUCTURE D’ACCUEIL
1- Le Département Informatique La Présence de l’informatique dans l’ensemble des services et son utilisation par près de 90% du personnel donne au département informatique un rôle primordial dans le bon fonctionnement de l’entreprise. Cependant pour être plus performant le Département Informatique d’ACE-CI s’est subdivisé en 2 services dont les tâches sont reparties comme suit : Le Service Infrastructure dont le rôle est de : Administrer le réseau de l’entreprise Gérer les équipements informatiques Définir une politique de sécurité de l’entreprise Gérer les serveurs et autres systèmes Former et encadrer les utilisateurs à l’outil informatique Le Service d’étude, organisation et développement a pour rôle de : Initier et/ou coordonner la réalisation des différentes études au développement des applications d’ACE-CI et/ou ACE Globale Garantie la disponibilité des logiciels et systèmes applicatifs à même de faciliter l’exécution des opérations ACE. En effet en tant qu’Etudiant en Systèmes Réseaux Informatique et Télécommunications
j’ai effectué mon stage au sein du Département
Informatique mais plus précisément au Service Infrastructure.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
12
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
2- La Représentation de la Structure du Département IT DEPARTEMENT IT
ETUDE, ORGANISATION ET DEVELOPPEMENT
ETUDE ET ORGANISATION
DEVELOPPEMENT ET MAINTENANCE
INFRASTRUCTURES INFORMATIQUES
ADMINISTRATION RESEAUX ET GESTION DES EQUIPEMENTS
FORMATION ET ASSISTANCES UTILISATEURS
Figure 2 : Organigramme du Département Informatique
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
13
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE II : PRESENTATION DU PROJET I-
CONTEXTE
1- Le Contexte Dans le cadre de la formation des Systèmes Réseaux Informatiques et Télécommunications à HETEC, il est demandé de réaliser un projet de fin de cycle. Après réflexion, notre choix s’est porté sur la Mise en place d’un serveur contrôleur de domaine sous linux. Pour deux raisons, à savoir répondre à un besoin et combler une lacune dans la gestion de l’information au sein de l’entreprise, mais surtout avec le fort sentiment que cette technologie est en pleine expansion et qu’elle nécessite une étude avisée.
II-
ETUDE DE L’EXISTANT
1- Etude de l’existant matériel ACE-CI dispose de :
50 Desktop HP pavillon 2030 Processeur : Intel Core i3 Mémoire RAM : 4Go Capacité Disque Dur : 1Go Clavier : Interface USB Ecran Format : 16:9 Résolution : 1920 x 1080 pixels Port Port USB : 2 Port Ethernet : 1
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
14
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
9 Switch Cisco Catalyst 2960-24TT
Performances • Matrice de commutation 32 Gbits/s • Taux de transfert : 4,4 Gbits/s • Taux de transfert par paquets de 64 octets :6,5 Mpps • DRAM : 64 Mo • Mémoire flash : 32 Mo • Jusqu’à 8000 adresses MAC configurables • Jusqu’à 255 groupes IGMP configurables Connecteurs et câblage .Ports 10BASE-T : connecteurs RJ-45, deux paires de câbles UTP (paire torsadée non Blindée) catégorie 3, 4 ou 5 Ports 1000BASE-T : connecteurs RJ-45, quatre paires de câbles UTP catégorie 5 Dimensions H: 4,4 L : 44,5 Poids: 3,6 kg Environnement • Température de service : 0 à 45 °C • Température de stockage : -25 à 70 °C Puissance : 0,05 kVa
3 Routeurs Cisco 1841 Performances • Données sécurisées • Nombre total d’emplacements modulaires : 2 • Emplacements modulaires pour l’accès au Réseau WAN : 2 • Support VoIP : Protocole voix sur IP (VoIP)
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
15
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
En transit seulement. Connecteurs et câblage • Ports Ethernet embarqués : Deux 10/100 • Ports USB embarqués : Un (1.1) • Port Console : 1 (jusqu’à 115,2 Kbits/s) • Port auxiliaire : 1 (jusqu’à 115,2 Kbits/s) Dimensions • Hauteur sans les pieds en caoutchouc : 4,39 cm • Hauteur avec les pieds en caoutchouc : 4,75 cm Poids • Maximum : 2,8 kg ; avec cartes d’interface et modules • Minimum : 2,7 kg (sans cartes d’interface ni modules Environnement • Température de service de 0 à 40°C • Température hors service de -25 à 65°C Puissance : Dissipation de la puissance système.
2 Serveurs CISCO UCS 220 FICHE TECHNIQUE Désignation : Cisco UCS C220 Marque Modèle
: Cisco Systems : UCS-SPR-C220-V1
PROCESSEUR ET CHIPSET Processeur
: Intel Xeon E5
Support du processeur : Intel 2011 Fréquence CPU : 2 GHz Nombre de processeur(s) installé(s) :2
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
16
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Nombre de CPU supportés : 2 MÉMOIRE Taille de la mémoire : 16 Go Type de mémoire : DDR3 Taille de mémoire Max : 256 Go Nombre total de slots mémoire : 16 Nombre de slots mémoire disponibles : 15 BOÎTIER ET ALIMENTATION Format du boitier : Rack 1U CONNECTIQUE Connecteurs panneau arrière : 1 x Fast Ethernet 10/100 - RJ45 Femelle, 2 x
Gigabit
Ethernet 10/100/1000 - RJ45 Femelle, 2 x USB 2.0, VGA (D-sub 15 Femelle) SPÉCIFICATIONS TECHNIQUES Système d'exploitation fourni : Non Barebone serveur : Non Ses différents Matériaux Informatiques sont repartis au sein l’entreprise comme suit : -La Réception : 1 Desktop -Salle de photocopie : 1 Desktop -Département Informatique : 10 Desktop, 2 Switch, 1 Routeurs - Direction Générale : 3 Desktop, 1 Switch -Direction Technique et des Operations : 5 Desktop, 1 Switch - Direction Administrative et Financière : 5 Desktop, 1 Switch -Direction des Ressources Humaines : 5 Desktop, 1 Switch
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
17
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
-Direction de Services Généraux : 5 Desktop, 1switch - Salle De Réunion : 15 Desktop, 1Switch, 1 Routeur -Salle Serveur : 2 Serveur, 3 Desktop, 2 switch, 1 routeur, 2 Pare feu
2- Etude de l’existant logiciel Au sein de ACE-CI sont installés sur -Les Desktop : Windows 7 Intégrale, Un Antivirus Kaspersky end point -Les Serveurs : La distribution Ubuntu de Linux
3- Architecture du réseau existant
Figure 3 : Architecture Réseaux D’ACE-CI
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
18
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
4- Critique du réseau existant Après avoir observé longuement l’architecture du réseau existant nous pouvons noter quelques failles : -
L’absence d’un Backup pouvant récupérer les données du serveur de fichiers en vue de les restaurer en cas de perte.
-
L’implémentation du serveur de Fichiers sous Network File Service ne permettant pas le partage des données entre des postes de travail qui fonctionnent sur des systèmes d’exploitation différents.
-
Manque d’un équipement pouvant contrôler flux venants de l’extérieur vers l’entreprise (Liaison FAI-Réseau Entreprise).
-
III-
Manque de redondance entre les liens
CAHIER DE CHARGE
Pour aboutir à notre objectif principal qui vise à définir une politique adéquate pour améliorer la qualité de service de notre système d’information nous nous devons d’atteindre les objectifs spécifiques suivants : Une Sauvegarde efficace des données en vue de les restaurer en cas de perte. Faciliter le partage des données entre les utilisateurs du réseau de l’entreprise. Garantir la disponibilité du système Assurer la sécurité des accès aux informations de l’entreprise
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
19
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
PARTIE II ETUDE TECHNIQUE
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
20
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE III : LES CONTROLEURS DE DOMAINES I-
DEFINITION
Un contrôleur de domaine est un serveur sur lequel on a installé un annuaire et qui s'occupe de l'authentification des utilisateurs dans un domaine. Un contrôleur de domaine est nécessairement implémenté dans les grandes entreprises pour bien gérer et centraliser leurs ressources du réseau en intégrant la sécurité et la performance. Il est constitué d'unité de base en matière de sécurité et d'administration centralisée. Un domaine regroupe les ordinateurs qui utilisent le même annuaire et qui partage les ressources du réseau. Tous les serveurs d'un domaine emploient les mêmes comptes utilisateurs. Il nous suffit alors de taper les informations relatives à un compte d'utilisateur une seule fois pour que tous les serveurs du domaine reconnaissent ce compte.
II-
LES TYPES DE CONTROLEURS DE DOMAINE
1- Les Contrôleurs de domaine Propriétaires Les contrôleurs de domaine propriétaires ce sont des logiciels dont la duplication, la modification ou l'usage est limité ; autrement dit un annuaire qui ne correspond pas aux critères définissant le contrôleur de domaine libre. Ceci se matérialise par des limitations légales, matérielles, ou logicielles dans l'utilisation, la diffusion, la modification, ou l'évolution.
2- Les Contrôleurs de domaine Libres Ce sont des logiciels libres sous licences. Les conditions de distribution des contrôleurs de domaine libres doivent se conformer aux redistributions libre et gratuite, autoriser les codes sources, également sans contrainte de discrimination contre qui conque et une distribution totale de la licence. MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
21
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
III-
LES FONCTIONNALITES DES CONTROLEURS DE DOMAINE
Les contrôleurs de domaine sont constitués de plusieurs fonctionnalités : Chaque contrôleur de domaine stocke une copie complète de toutes les informations de l'annuaire relatives à un domaine. Ils gèrent les modifications apportées à ces informations et les répliqua vers les autres contrôleurs du même domaine. Les contrôleurs d'un domaine répliquent automatiquement les objets d'un domaine vers les autres contrôleurs.
Le fait d'avoir plusieurs contrôleurs de domaine dans un domaine permet d'assurer toutes les fonctions requises : Un domaine ne comprend généralement qu'un seul contrôleur mais il peut en avoir plusieurs lorsqu'il est suffisamment important, par exemple un contrôleur de domaine supplémentaire est un contrôleur de domaine enfant. Le contrôleur de domaine racine ou le contrôleur de domaine principal est également appelé serveur de catalogue global du domaine. Le serveur de catalogue global contient des informations sur chaque objet du domaine. Donc le contrôleur de domaine est le serveur auquel tout le monde doit normalement s'adresser pour les authentifications d'utilisateurs, de machines... Étant donné que cette centralisation est très risquée, le serveur principal, appelé PDC, est généralement secondé par un BDC (Backup Domain Controller) Contrôleur de domaine de secours.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
22
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
IV-
LES AVANTAGES D’UN CONTROLEUR DE DOMAINE
Les contrôleurs de domaine ont des avantages remarquables pour assurer la sécurité des informations et une bonne gestion des ressources réseau. La sécurité des informations : La sécurité est parfaitement intégrée au niveau de chaque contrôleur de domaine. Et se diffère selon les plateformes et les constructeurs. Le contrôle d'accès peut être défini sur chaque propriété de chacun des objets. Administration basée sur les stratégies : Le service de l'annuaire pour les contrôleurs de domaines comprend à la fois un magasin de données et une structure logique hiérarchique. Extensibilité : La possibilité pour les administrateurs d’ajouter de nouvelles classes d'objets au schéma et de nouveaux attributs aux classes d'objets existantes. Supporte la Flexibilité : On peut inclure un ou plusieurs domaines, chacun avec un ou plusieurs contrôleurs de domaine, qui permettent de faire évoluer l'annuaire en fonction des besoins du réseau. Réplication des informations : La réplication garantit la disponibilité des informations, la tolérance de panne, l'équilibre de la charge et de meilleures performances pour l'annuaire. Souplesse des recherches : Les utilisateurs et les administrateurs peuvent rechercher rapidement un objet sur l'ensemble de réseau à l'aide des propriétés des objets. L'avantage majeur si on peut le dire, c'est la centralisation de la gestion des utilisateurs et des machines.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
23
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
V-
LES LIMITES D’UN CONTROLEUR DE DOMAINE
Comme limites nous parlerons de la sécurité au niveau du contrôleur de domaine. En effet elle n’est pas parfaitement assurée, car pour un hacker bien équipé d’outils sophistiqués, il peut pirater les données et cela peut causer des failles du contrôleur de domaine. Il est aussi très risqué si un utilisateur à les mêmes privilèges que l’administrateur, il peut nuire au bon fonctionnement du système.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
24
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE IV : PRESENTATION DE QUELQUES SOLUTIONS DE BASES D’ANNUAIRE I-
DEFINITION
Dans le monde de l'informatique, un annuaire est un système de stockage de données, dérivé des bases de données hiérarchisées, permettant en particulier de conserver les données pérennes, c'est-à-dire les données n'étant que peu mises à jour (historiquement, sur une base annuelle, d'où le nom), comme les coordonnées des personnes, des partenaires, des clients et des fournisseurs d'une entreprise, les adresses électroniques. La recherche peut se faire selon de multiples critères et les données peuvent être utilisées par des logiciels clients comme des applications serveurs (serveur de messagerie : Postfix, Sendmail, etc…).
II-
LES CARACTERISTIQUES D’UN ANNUAIRE
C'est un système qui organise des informations physiques ou numériques ; tout annuaire électronique comprend notamment: Un index qui facilite la communication entre des entités. Une organisation hiérarchique optimisée pour un accès rapide à de nombreuses informations en petits volumes Des entités et objets sous la forme de personnes, de communautés, de ressources ou d'équipements Des accès aux bases de données mises à jour par les utilisateurs des applications informatiques.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
25
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
III-
LES PRINCIPALES NORMES D’UN ANNUAIRE
On distingue différentes normes d’annuaire sont : X500 désigne l'ensemble des normes informatiques sur les services d'annuaire définies par l'UIT-T. Mais seule la partie X509 concernant l'authentification est utilisée actuellement ; pour le reste, la plupart des services d'annuaire actuels utilisent une norme beaucoup moins lourde : LDAP. LDAP (Lightweight Directory Access Protocol) : est un protocole permettant l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Un annuaire LDAP respecte généralement le modèle X500 : c'est une structure arborescente dont chacun des nœuds est constitué d'attributs associés à leurs valeurs. UDDI (Universal Description Discovery and Intégration) : Cette norme créée en octobre 2000 est utilisée pour le commerce électronique. TULLEB (Titre Uniforme Labellisé Librement et Édité pour la Bibliothèque) : Norme destinée aux annuaires publicitaires, apparue suite à de nombreuses plaintes de particuliers (1997). Ces derniers devant ainsi respecter un certain pourcentage de texte destiné à d'autres sujets que le commercial.
IV-
ACTIVE DIRECTORY
1- Description Active Directory est un annuaire au sens informatique et technique chargé de répertorier tout ce qui touche au réseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers partagés, etc. L'utilisateur peut ainsi trouver facilement des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
26
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
2- Mode de Fonctionnement Active Directory est un service d'annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine. Une structure Active Directory (AD) est une organisation hiérarchisée d'objets. Les objets sont classés en trois grandes catégories : les ressources (par exemple les imprimantes), les services (par exemple le courrier électronique) et les utilisateurs (comptes utilisateurs et groupes). L'AD fournit des informations sur les objets, il les organise et contrôle les accès et la sécurité. Chaque objet représente une entité unique (utilisateur, ordinateur, imprimante ou groupe) ainsi que ses attributs. Certains objets peuvent également être des conteneurs pour d'autres objets. Un objet est identifié de manière unique dans l'AD par son nom et possède son propre jeu d'attributs ; les caractéristiques et les informations que l'objet peut contenir est défini par un schéma, qui détermine également le type d'objets qui peuvent être stockés dans l'AD.
V-
NETWORK INFORMATION SYSTEM (NIS)
1- Description Le NIS a été développé par SUN Microsystems. Il s'accompagne souvent du service NFS pour permettre le partage de fichiers. Il fonctionne sur le mode Client/serveur à partir d'une base de données. Ce service consiste à centraliser et de distribuer un certain nombre de fichiers sur un serveur afin qu'ils soient disponibles sur l'ensemble des machines du même réseau. Sur un réseau comportant des machines Linux permet de centraliser les comptes et les mots de passe pour que les utilisateurs puissent être reconnus sur l'ensemble des machines dans le réseau.
2- Mode de Fonctionnement NIS comporte un serveur, une bibliothèque d'accès client et des commandes d'administration. Le serveur NIS génère des cartes (aussi appelé maps) stockées dans des fichiers de base de données (en général DBM ou GDB) à partir des fichiers de configuration. Le client récupère les informations en interrogeant le serveur à partir d'appels RPC.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
27
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
VI-
OPENLDAP
1- Description OpenLDAP est une implémentation libre du protocole LDAP maintenue par le projet OpenLDAP et distribuée selon les termes de la licence OpenLDAP Public Licence. C’est un annuaire fonctionnant en mode Client/serveur qui permet d'offrir des fonctionnalités variées dont une gestion des authentifications dans un environnement réseau. Il peut également gérer les comptes utilisateurs pour Linux et celles de Windows via un contrôleur de domaine principal. Il contient les informations de toute nature à travers une organisation hiérarchique. En générale il est utilisé pour enregistrer une grande quantité d'utilisateurs ou des services dans un réseau informatique. 2- Mode de fonctionnement Le service d’annuaire LDAP est basé sur un modèle client/serveur. Un ou plusieurs Serveurs LDAP contiennent les données. Un client LDAP se connecte `a un serveur et lui pose sa question. Il reçoit en retour une réponse ou un pointeur (On parle de referral) sur l’endroit (typiquement un autre serveur) ou le client pourra trouver plus d’informations. Quelque soit le serveur auquel le client se connectera, il aura la même vue de l’annuaire : un nom référera a une même entrée quelque soit le serveur accédé, comme pour DNS.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
28
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
VII- COMPARAISON DES SOLUTIONS D’ANNUAIRE
SOLUTIONS D’ANNUAIRE CARACTERISTIQUES
COUT
ACTIVE DIRECTORY -Logiciel Propriétaire (Licence Payante) -Authentification requise à la connexion sur le réseau.
ACCESSIBILITE
ADMINISTRATION
SECURITE
-Ajout rapide des comptes administrateurs -Bonne évolutivité pour les environnements regroupant de nombreux utilisateurs.
-Mise en place d’une politique centralisée - Stockage et protection des identités.
NETWORK INFORMATION SYSTEM (NIS) -Logiciel libre (Licence Gratuite)
OPENLDAP -Logiciel libre (licence Gratuite)
-Centralisation de tous les utilisateurs d’un même réseau sur un serveur
-Authentification dans un réseau hétérogène -Support de nombreux environnements de développements -Réplication totale -Mécanisme de de l’annuaire sur réplication entre plusieurs serveurs les annuaires - Partage des maitres et les fichiers entre les réplicas. utilisateurs d’un -La gestion des même réseau. comptes d’utilisateurs pour Unix et Windows Via le PDC (Primary Domain Controller). -Manque d’un mécanisme de contrôle d’accès -Impossible d’effectuer des chiffrements de données
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
-Les droits d’accès aux données sont précisés par des ACL
23 octobre 2014
29
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
VIII- LA SOLUTION D’ANNUAIRE RETENUE 1- La Justification du choix d’OpenLDAP Suite à notre étude comparative basée sur le cout, l’administration des données et la sécurité des annuaires notre choix s’est porté sur l’annuaire OpenLDAP. Car c’est un projet libre diffusé sous licence gratuite OpenLDAP. Il est constitué d’un mécanisme de réplications entre les annuaires maitres et les réplicas qui assurent une fiabilité au bon fonctionnement de l’annuaire en tout instant. En outre les différents accès aux données sont précisés par des ACL.
2- La Structure de l’OpenLDAP OpenLDAP est constitué de 3 éléments principaux :
Slip (Stand-alone LDAP Daemon): démon LDAP autonome. Il écoute les connexions LDAP sur n'importe quel port (389 par défaut) et répond aux opérations LDAP qu'il reçoit via ces connexions. Typiquement, slip est appelé au moment du boot.
des bibliothèques implémentant le protocole LDAP.
des utilitaires, des outils et des exemples de clients.
Le projet OpenLDAP propose également des bibliothèques LDAP en java : JLDAP : bibliothèque d'accès à LDAP en Java. JDBC-LDAP driver JDBC faisant office de pont JDBC-LDAP
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
30
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
3- Les Fonctionnalités de l’OpenLDAP L'annuaire déployé sous OpenLDAP à diverses fonctions dont : L’authentification dans un réseau hétérogène. La gestion des comptes d’utilisateurs pour Unix et Windows Via le PDC (Primary Domain Controller). La Prise en charge du mécanisme de réplication. L’organisation des informations contenues dans l’annuaire de façon hiérarchique.
4- Les Principales Versions de l’OpenLDAP Les versions d'OpenLDAP qui ont été marquantes :
OpenLDAP Version 1 (1998) : première version publique
OpenLDAP Version 2 (août 2000) : prise en charge de LDAPv3, d'IPv6, du TLS,
OpenLDAP Version 2.1 (juin 2002) :
OpenLDAP Version 2.2 (décembre 2003) :
OpenLDAP Version 2.3 (juin 2005) : possibilité d'avoir la configuration accessible dans l'annuaire (cn=config)
OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maître; réplication Proxy Sync; extensions LDAP v3
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
31
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE V : APPROCHE DES SOLUTIONS DE CONTROLEUR DE DOMAINE I- WINDOWS SERVER 2012 1- Description En succédant à Windows Small Business Server et Windows Home Server, Windows Server 2012 Essential a la lourde tâche de répondre aux plus petites structures qui auront besoin d'un serveur - hébergé dans un environnement physique ou virtuel - mais sans la pléthore d'options dont peuvent avoir besoin grands comptes et Data Center. Les droits sont ici limités à 25 utilisateurs et 50 appareils maximum. Cette édition permet la sauvegarde automatisée complète des PC et l'accès à des services basés sur le Cloud mais sans virtualisation.
2- Mode de fonctionnement. Avec Windows Server 2012 on effectue une installation Server Core qui offre des avantages en termes de sécurité et de performances. Microsoft a en effet réalisé que la ligne de commande est formidable pour certaines tâches, mais que l'interface graphique est préférable pour d'autres. Dans Windows Server 2012, la GUI devient une "fonctionnalité" que vous pouvez activer et désactiver à votre gré. Il est composé d’un gestionnaire de serveur qui possède des capacités de multiserveur, qui facilitent le déploiement de rôles et de fonctionnalités à distance sur des serveurs physiques et virtuels. Il est facile de créer un groupe de serveurs, autrement dit un regroupement de serveurs qui peuvent être gérés conjointement. Les améliorations apportées à l'administration à distance vous permettent de mettre en service des serveurs sans avoir à établir une connexion RDP.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
32
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
II-
OPENSUSE
1- Description SUSE est une société allemande appartenant au groupe Attachmate. Elle est connue pour sa distribution Linux SUSE Linux Enterprise, une distribution commerciale basée sur OpenSUSE, destinée à l'utilisation en entreprise. Le système d'exploitation SUSE est par définition, un code open source, et le processus de développement est ouvert aux développeurs ainsi qu'aux utilisateurs. Le but du projet OpenSUSE est de procurer un environnement rendant la distribution SUSE la plus facile d'accès, et la plus adaptée aux goûts de l'utilisateur moyen et du développeur expérimenté, pour en faire la distribution et la plateforme de développement open-source la plus utilisée.
2- Mode de Fonctionnement Elle évolue vite et présente trois caractéristiques originales :
Une version strictement Open Source ne comportant aucun élément propriétaire ou soumis à licence contraignante (pas de MP3...). Des compléments disponibles en téléchargement comportant tous ces éléments, par ailleurs livrés intégrés dans une version commerciale "en boîte" complète Plusieurs versions commerciales offrant en particulier un service d'assistance technique durant jusqu'à 7 ans: o SUSE Linux Enterprise Server, dite SLES, destinée aux serveurs o SUSE Linux Enterprise Desktop, dite SLED, destinée aux postes de travail
Ses outils graphiques sont conviviaux, en particulier l'outil d'administration système nommé Yast. Notons qu'ils fonctionnent également en mode semi-graphique (ncurses) donc sont utilisables hors de X Windows, par exemple à travers ssh. Toutes les modifications d'éléments de configuration effectuées par Yast peuvent être désactivées et la configuration "manuelle" traditionnelle peut être utilisée. Les paquetages (et sources) de la version la plus complète occupent 9 Go. Les nouvelles versions permettent d'utiliser quasi tous les systèmes de gestion de paquetages (Yast, Yum, apt, Smart...), le but étant de prendre le meilleur de chacun
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
33
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
III-
SAMBA
1- Description Samba est un logiciel libre qui supporte le protocole CIFS (Common Internet File System), anciennement appelé SMB (Server Message Block), sous licence GNU GPL 3, il est utilisé pour le partage de ressources (fichiers, imprimantes ...) à travers le Ceci s'avère très utile pour partager des données très facilement entre deux systèmes d’exploitation différents. Depuis, nombreuses sont les personnes qui se sont intéressées au projet et y ont contribué! Samba est un projet internationalement reconnu et de plus en plus utilisé dans le domaine professionnel. L´engouement provoqué par un tel projet lui a vite permis de s´étoffer, si bien que du "simple" partage de fichiers, Samba est devenu une suite d´outils très complets permettant une interconnexion de systèmes "hétérogènes" en implémentant des protocoles réseaux issus du monde propriétaire tels que NETBIOS et SMB/CIFS. La plupart du temps, on utilise Samba pour interconnecter une machine Unix à une machine Windows ou contrôler un domaine.
2- Mode de fonctionnement La configuration de Samba se fait via le fichier smb.conf. Ce fichier contient toute la configuration du serveur et des ressources que l'on souhaite partager (fichiers et imprimantes). Il peut être relativement complexe, mais une configuration de base permet déjà de faire fonctionner le partage de fichiers et d'imprimantes. Samba configure des partages réseaux pour les répertoires UNIX (y compris le contenu de tous les sous-répertoires). Ils apparaissent pour les utilisateurs de Windows comme des dossiers Windows classiques accessibles via le réseau. Les utilisateurs d'Unix peuvent lire les partages avec le smbclient (libsmb) installé avec Samba. Chaque répertoire peut avoir des privilèges d'accès différents. Par exemple : les répertoires ayant un accès en lecture/écriture pour tous les utilisateurs définis, permettent à chacun d'eux d'accéder à leurs propres fichiers. Mais ils n'ont pas accès aux dossiers des autres, sauf si une autorisation est définie. MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
34
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
IV-
COMPARAISON DES DIFFERENTES SOLUTIONS DE CONTROLEUR DE DOMAINE
SOLUTIONS DE CONTROLEUR DE DOMAINE CARACTERISTIQUES
COUT
WINDOWS SERVER 2012 -Logiciel Propriétaire (Licence Payante)
OPENSUSE -Logiciel libre (Licence Gratuite)
Authentification requise à la connexion sur le réseau. ACCESSIBILITE
ADMINISTRATION
Multiplateformes Peut lire et écrire des fichiers Windows - Prêt à Utiliser : Avec la version DVD tout est déjà pré-intégré. - Un réplica -Il est destiné Hyper V : Copie aux appareils les informations Haut de Gamme du serveur - Demande une principal sur un Grande Capacité serveur réplicas. de disque dur -Un gestionnaire (80Go) de serveur : Il - Nécessite une facilite le grande capacité déploiement des de mémoire fonctionnalités à RAM au moins distance sur des 6Go serveurs physiques et virtuels.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
SAMBA -Logiciel libre (licence Gratuite)
-Echange entre des postes de travail évoluant sur des systèmes différents. -Permet de définir des niveaux d’accès très pointus. -Mécanisme de réplication entre le PDC et le BDC. -Assure la gestion des comptes d’utilisateurs. - Permet la gestion des domaines - Authentification des utilisateurs à la connexion
23 octobre 2014
35
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
SECURITE
V-
- Un contrôle d’accès dynamique : Permet de centraliser les modèles de sécurité pour l’accès aux ressources du réseau
-Moins sensible aux virus.
-Implémente une sécurité spécifique à chaque - Une forteresse : utilisateur. son firewall et (recommandé). puissant et Les droits d’accès corrige plus vite aux données sont les failles de précisés par des sécurité que sous ACL. Windows.
LA SOLUTION RETENUE
1- La Justification du choix du contrôleur de domaine samba Après avoir longuement étudié les critères de contrôleurs de domaine au niveau du coût, de l’accessibilité, de l’administration et de la sécurité, il faut maintenant choisir une des solutions pour une meilleure planification des ressources de l'entreprise. Notre choix s'est porté sur le contrôleur de domaine libre SAMBA car nous nous sommes basés sur un facteur principal qui est le coût. Il faut dire que Samba est un logiciel libre, distribué sous licence gratuite. De plus SAMBA définit des niveaux d’accès très pointus aux utilisateurs, Permet le partage des données entre des postes de travail évoluant sur des systèmes hétérogènes. Enfin il implémente une sécurité spécifique à chaque utilisateur. C’est ainsi que notre choix s’est porté sur le contrôleur de domaine libre SAMBA.
2- La Structure de Samba Samba est composé de deux programmes principaux : smbd et nmbd. Ces démons, qui tournent sur la machine serveur, ont chacun leur rôle bien déterminé. smbd est le démon principal de Samba. C'est lui qui gère les sessions, s'occupe de l'authentification et contrôle les accès aux fichiers et aux imprimantes. Il est bien entendu obligatoire.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
36
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
nmbd est un démon facultatif pour le bon fonctionnement de Samba. Il permet de faire connaître à l'ensemble du réseau le nom du serveur et les ressources qui lui sont attribuées. C'est grâce à ce démon que le serveur Linux est visible dans le Voisinage Réseau de Windows. Le but de ce démon n'étant que de faire connaître le serveur, il peut très bien être supprimé. Dans ce cas, l'utilisateur devra bien sur connaître toutes les caractéristiques du serveur pour pouvoir l'utiliser. Le logiciel Samba est livré avec tout une gamme d'outils supplémentaires : - smbclient : il permet, depuis la machine Linux, de contacter un autre serveur SMB. Cela permet de faire des copies de fichiers ou bien d'accéder à des ressources d'impression. Il fonctionne grâce à une interface de type FTP en mode texte. - smbpasswd : ce petit utilitaire permet de réaliser plusieurs choses. Il permet la modification et la gestion des mots de passe. L'administrateur peut ajouter ou supprimer des utilisateurs et modifier les mots de passe. Enfin, c'est ce logiciel qui permet de crypter les mots de passe quand Samba est configuré pour fonctionner ainsi. - smbstatus : permet de contrôler et de surveiller le fonctionnement de Samba. Ce petit utilitaire indique l'état des différentes connexions actives sur le serveur. Il indique aussi les fichiers ouverts et leurs états. Cet utilitaire permet de voir l'utilisation d'un serveur Samba. - smbtar : permet de sauvegarder ou de restaurer directement un fichier depuis une archive Unix.
3- Les différentes possibilités qu’offrent le serveur Samba. 3-1 Les Fonctionnalités de Samba La majeure partie du temps, Samba est utilisé pour interconnecter une machine Unix à une machine Windows ou contrôler un domaine. Cette interconnexion peut se faire à de nombreux niveaux, puisque Samba offre les fonctionnalités suivantes : Le logiciel Samba permet de partager des dossiers et des imprimantes à travers un réseau local. D'où n'importe quelle machine sous linux ou Windows peut partager et d'accéder aux ressources. Il permet d'assurer la gestion des comptes utilisateurs dans un réseau.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
37
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Un serveur Linux équipé de samba peut être configuré comme une machine partageant des données dans un groupe de travail Windows, Comme serveur membre d'un domaine Windows ou comme un contrôleur de domaine principal d'un domaine Windows. Samba peut implémenter la sécurité au niveau de chaque utilisateur (ce qui est recommandé) et non au niveau des ressources comme c'est le cas dans les réseaux de type Workgroups. La gestion de domaines. On a tendance à dire qu'actuellement, en termes de fonctionnalités, un serveur Samba équivaut à un serveur NT4 largement amélioré. Samba fournit donc à la fois des fonctionnalités serveur et des fonctionnalités client. La richesse des outils fournis rendent l'interconnexion bidirectionnelle comme une machine Windows peut se connecter à une machine Unix et vice-versa.
3-2 Samba en tant que contrôleur de domaine principal Après une étude approfondie sur les différentes fonctionnalités et les services que Samba peut prendre en charge, désormais notre Serveur Samba passe à l'étape supérieure pour un contrôleur de domaine qui prendra l'authentification de groupes des machines et l'accès aux partages. Pour devenir cela, nous allons procéder au parcours nécessaire, en passant d'abord par l'étude du fichier smb.conf et ensuite de sa configuration.
3-3 Samba en tant que contrôleur de domaine secondaire Nous avons présenté l'étude du serveur samba en tant qu'un contrôleur de domaine principale, mais il a d'autres fonctionnalités utiles surtout le service d'un contrôleur de domaine secondaire. Un contrôleur de domaine secondaire dans un réseau local, sur lequel se trouve beaucoup de stations, et/ou le PDC est généralement très occupé. Dans ce cas, le BDC
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
38
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
prendra en charge les demandes de requêtes de connexion, de préférence à la demande. Et il peut réduire le trafic réseau des sites distants. Le BDC possède une base SAM en 'lecture seule' sur laquelle il est capable d'effectuer des demandes de login réseau et d'authentification des utilisateurs. Le BDC peut continuer à fournir ces services particulièrement si la liaison avec le PDC est coupée. Cependant toute atteinte à l'intégrité d'un contrôleur de domaine principale ou la perte de ce dernier dans n'importe quel environnement pourrait avoir des conséquences graves pour les ordinateurs clients, serveurs et applications s'appuyant sur les contrôleurs de domaine pour l'authentification, et la stratégie de groupe , voilà l'importance du contrôleur de domaine secondaire.
VI-
LES PRINCIPALES VERSIONS DE SAMBA
VERSIONS
DATE DE SORTIE
NOTE
4.1.0
11 octobre 2013
4.0.0
11 décembre 2012
3.6.0
9 août 2011
3.5.0
1er mars 2010
3.4.0
3 juillet 2009
3.2.0
1er juillet 2008
3.0.26
11 septembre 2007
3.0.0
24 septembre 2003
2.2.0
17 avril 2001
Gestion 64 bits complète
2.0.0
16 janvier 1999
Correction de failles importantes
1.9.17
26 août 1997
Première version publique
Corrections failles importantes et nouvelles fonctions Corrections failles importantes et nouvelles fonctions
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
39
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
PARTIE III DEPLOIEMENT DE LA SOLUTION RETENUE
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
40
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE VI : IMPLEMENTATION DE LA SOLUTION RETENUE I-
LES ETAPES DE L’IMPLEMENTATION DU SERVEUR CONTROLEUR DE DOMAINE SAMBA
Pour résumer la marche à suivre afin de mettre en place un contrôleur de domaine authentifiant ses utilisateurs sur un annuaire informatique il faut : 1. Installer OpenLDAP qui permet la création de l’annuaire informatique. 2. Le rendre compatible avec Samba (problème de schéma). 3. Installer/Configurer Samba en tant que contrôleur de domaine. 4. Installer/Configurer Smbldap-tools (pour plus de simplicité dans l’administration du contrôleur de domaine). 5. Créer l’arbre LDAP. 6. Créer les scripts d’autocréation des lecteurs réseaux. 7. Créer les groupes/utilisateurs. 8. Configurer les clients Windows/Linux.
II-
L’INSTALLATION ET LA CONFIGURATION D’OPEN LDAP
1- L’installation des Paquets Commençons par installer les paquets nécessaires : root@LDAP1:~#apt-get install slip ldap-utils Répondre aux questions suivantes : Faut-il omettre la configuration d'OpenLDAP ? Non Nom de domaine : ACE Nom de votre organisation : ACE.local Mot de passe administrateur : aceadmin Faut-il autoriser le protocole LDAPv2 : Non
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
41
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Note importante : le mot de passe entré ici correspond à l'utilisateur Cn =admin, dc=clinACE, dc=local (il s’agit de la notation utilisé par OpenLDAP pour définir Notre annuaire, dont la racine est locale et la sous racine ACE). Cet utilisateur (Administrateur De l’arbre LDAP) est différent du super utilisateur (le compte root du serveur) qui sera déclaré plus tard. Cependant pour éviter les confusions, on veillera à prendre toujours le même mot de passe (donc le mot de passe du super utilisateur root du serveur Ubuntu). Vérifions que la configuration de base a bien été prise en compte :
root@LDAP1:~#ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn #Commande : ldapsearch (effectue une recherche dans l’arbre ldap) –LLL (sans les informations inutiles) -Y EXTERNAL (sans authentification) –H ldapi:/// (spécifiant l’url ldap, ici en partant de la racine de l’arbre) –b cn=config dn (retournant les Informations contenant cn=config et dn ()
Afin de mieux comprendre, voici à quoi correspondent les attributs utilisé par le protocole LDAP : « dn » distinguasse name. « cn » Common name. « gn » given name c'est à dire le prénom. « sn » surname. « l » locality name. « st » state or province name. « ou » organisational unit. « dc » domain component. « o » organization name.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
42
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Attention, nom de domaine et nom d’organisation (arbre LDAP) sont 2 choses différentes, voici à quoi correspondra à la fin de la mise en place, notre arbre LDAP : dc=local | dc=ACE / ou=Computers
/ ou=groups
\ ou=Idmap
\ ou=Users
(C’est pour cela que nous avons mis ACE. Local au-dessus)
2- La Configuration de base du serveur LDAP Nous allons maintenant, pour plus de sécurité, recréer le mot de passe de l’administrateur de l’arbre LDAP renseigné précédemment mais chiffré cette fois ci (car le mot de passe apparaitra en clair dans les fichiers de configurations) : root@LDAP1:~#slappasswd New password : aceadmin14 Re-enter new password : aceadmin14
Nous obtenons notre mot de passe sous la forme suivante : {SSHA}Y4m58WY9h057RZ2UbcAbW1wsT0C84jG4 (Notons-le !) Nous modifions ensuite l’arbre afin de lui indiquer notre nouveau mot de passe chiffré : root@LDAP1:~#ldapmodify -Y EXTERNAL -H ldapi:/// #Commande : Sous LDAP, ldapmodify permet de modifier une entrée (ici à la racine comme tout à l’heure). Nous obtenons ceci : SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0, cn=peercred, cn=external, cn=auth SASL SSF: 0
Il suffit de rajouter à la suite (puis « Ctrl + D » pour quitter) :
Don: olcDatabase= {0} config,cn=config
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
43
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
add: olcRootPW olcRootPW: {SSHA}Y4m58WY9h057RZ2UbcAbW1wsT0C84jG4 olcRootPW correspond à l’administrateur de l’arbre (dont nous avons pu créer un mot de passe chiffré précédemment grâce à la commande slappasswd). Nous allons ensuite créer un fichier.ldif (les fichiers avec l’extension ldif permettent de modifier l’arbre LDAP sans avoir à relancer le démon) afin d’ajouter des restrictions d’accès à l’arbre. Créons donc le fichier config.ldif (que nous plaçons dans /etc/ldap (répertoire d’OpenLDAP créé automatiquement à son installation) par exemple): root@LDAP1:~# vi /etc/ldap/config.ldif
Et ajouter dedans : dn: olcDatabase= {1} hdb, cn=config changetype : modify replace: olcAccess olcAccess: to attrs=userPassword by dn="cn=admin, dc=clin,dc=local" write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin, dc=clin,dc=local" write by * read #Commande : dn: olcDatabase= {1}hdb,cn=config : Nous voulons changer la configuration de base changetype: modify : On effectue une modification replace: olcAccess : On veut remplacer les « olcAccess » (restriction d’accès ou encore appelé « ACL »)
olcAccess: to attrs=userPassword by
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
44
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
dn="cn=admin, dc=ACE ,dc=local" write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin, dc=clin,dc=local" write by * read On indique ici que l’administrateur de l’arbre à tous les droits (lecture et écriture sur l’arbre) et les que les autres utilisateurs ou anonymes n’ont que le droit de lecture de l’arbre. Il faut maintenant rendre ce fichier config.ldif effectif : root@LDAP1:~#ldapmodify -Y EXTERNAL -H ldapi:/// -f Cette commande nous renvoie: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0, cn=peercred, cn=external,cn=auth SASL SSF: 0 modifying entry "olcDatabase= {1} hdb, cn=config" Apparemment ça a fonctionné : modifying entry "olcDatabase={1} hdb,cn=config"
Nous vérifions quand même avec : root@LDAP1:~#ldapsearch -xLLL -b cn=config -D cn=admin, cn=config -W olcDatabase= {1} hdb
Résultat: dn: olcDatabase= {1} hdb, cn=config objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {1} hdb olcDbDirectory: /var/lib/ldap olcLastMod: TRUE olcRootPW: {SSHA}XXXXXXXXXXZZZZZZZZZZZZZZZ
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
45
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
olcDbCheckpoint: 512 30 olcDbConfig: {0}set_cachesize 0 2097152 0 olcDbConfig: {1}set_lk_max_objects 1500 olcDbConfig: {2} set_lk_max_locks 1500 olcDbConfig: {3} set_lk_max_lockers 1500 olcDbIndex: objectClass eq olcSuffix: dc=ACE,dc=local olcRootDN: cn=admin, dc=clin,dc=local olcAccess: {0}to attrs=userPassword by dn="cn=admin, dc=ACE,dc=local" write by anonymous auth by self write by * none olcAccess: {1}to attrs=shadowLastChange by self write by * readolcAccess: {2}to dn.base="" by * read olcAccess: {3}to * by dn="cn=admin, dc=ACE,dc=local" write by * r
Notre configuration est donc à jour ! 3- Rendre OpenLDAP compatible à SAMBA Pour son fonctionnement, OpenLDAP utilise des schémas (définition d’attributs comme ceux vu plus haut (dn, given name…)), nous devons donc inclure le schéma de Samba (afin d’inclure ses attributs à OpenLDAP).
Obtenir le schéma de Samba : Installer le package de documentation de Samba (qui contient le schéma) : root@LDAP1:~#apt-get install samba-doc Copier ce qui nous intéresse (le schéma) dans le répertoire d’OpenLDAP contenant les schémas: root@LDAP1:~#cp /usr/share/doc/samba doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/ Dé-zipper l’archive : root@LDAP1:~#gzip -d /etc/ldap/schema/samba.schema.gz MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
46
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Nous allons créer un fichier où nous allons inclure tous les schémas déjà présents sur OpenLDAP sans oublier de rajouter celui de Samba :
root@LDAP1:~#vi schema_convert.conf
Copier dedans ce qui suit : include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/duaconf.schema include /etc/ldap/schema/dyngroup.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/java.schema include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/schema/samba.schema Grâce à la commande qui va suivre, nous allons prendre toutes les lignes du ficher schema_convert.conf afin de créer un fichier de configuration des attributs de Samba pour OpenLDAP : root@LDAP1:~#mkdir /etc/ldap/ldif_output root@LDAP1:~#slapcat -f schema_convert.conf -F /etc/ldap/ldif_output -n0 -s "cn= {12} samba, cn=schema,cn=config" > /etc/ldap/cn=samba.ldif
Ceci nous a donc créé le fichier de configuration nommé cn=samba.ldif, nous devons effectuer tout de même quelques modifications :
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
47
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
root@LDAP1:~#vi /etc/ldap/cn=samba.ldif Dans les première lignes du fichier il faut effacer les « {12} » afin d’obtenir ceci : dn: cn=samba,cn=schema,cn=config objectClass: olcSchemaConfig cn: samba Et supprimer les lignes suivantes placées tout en bas du fichier : structuralObjectClass: olcSchemaConfig entryUUID: bd8a7a82-3cb8-102f-8d5f-070b4e5d16f8 creatorsName: cn=config createTimestamp: 20104714525953Z entryCSN: 20100815125153.192505Z#000000#000#000000 modifiersName: cn=config modifyTimestamp: 20100815122153Z Il suffit maintenant de rendre ce fichier effectif : root@LDAP1:~#ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/cn=samba.ldif #Commande : ldapadd permet d’ajouter une entrée à l’arbre LDAP (tout à l’heure nous modifions l’entrée avec ldapmodify mais ici c’est une nouvelle entrée (un nouveau schéma)).
Résultat : SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0, cn=peercred, cn=external, cn=auth SASL SSF: 0 adding new entry "cn=samba,cn=schema,cn=config"
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
48
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
La définition du schéma étant faite, il ne reste plus qu’à créer les indexes (ce sont des sortes d’attributs que Samba utilise pour, par exemple, associer un utilisateur à un groupe) utilisés pas Samba. Pour ce faire, nous créons comme d’habitude un fichier.ldif nommé
samba_indexes.ldif : root@LDAP1:~#vi /etc/ldap/samba_indexes.ldif
On y copie dedans tous les indexes utilisés par Samba : dn: olcDatabase= {1}hdb, cn=config changetype: modify add: olcDbIndex olcDbIndex: uidNumber eq olcDbIndex: gidNumber eq olcDbIndex: loginShell eq olcDbIndex: uid eq,pres,sub olcDbIndex: memberUid eq,pres,sub olcDbIndex: uniqueMember eq,pres olcDbIndex: sambaSID eq olcDbIndex: sambaPrimaryGroupSID eq olcDbIndex: sambaGroupType eq olcDbIndex: sambaSIDList eq olcDbIndex: sambaDomainName eq olcDbIndex: default sub Et on rend le fichier effectif :
root@LDAP1:~#ldapmodify -Y EXTERNAL -H ldapi:/// -f samba_indexes.ldif
Résultat: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0, cn=peercred, cn=external, cn=auth
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
49
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
SASL SSF: 0 modifying entry "olcDatabase= {1}hdb,cn=config" Afin d’être sûr qu’OpenLDAP a bien pris en considération toutes nos modifications (et malgré le fait que les fichiers.ldif sont là pour ça), nous redémarrons tout de même le démon : root@LDAP1:~#/etc/init.d/slip restart Stopping OpenLDAP: slip. Starting OpenLDAP: slip.
À partir de là, je suis allé vérifier les logs afin de savoir si il y avait présence d’erreurs. Pour se faire utiliser la commande suivante : root@LDAP1:~#vi + /var/log/syslog #Commande : vi est un éditeur de texte, + permet d’aller directement à la fin du Fichier et /var/log/syslog est le chemin pour accéder aux logs d’OpenLDAP (et de Samba). En scrutant le fichier, je me suis rendu compte qu’il manquait des olcDbIndex, nous allons donc les rajouter en utilisant une autre méthode que l’injection de fichiers.ldif (moins conseillée car plus propice aux erreurs) afin de montrer cette autre possibilité (comme ce n’est pas un fichier.ldif, il n’y aura donc pas son avantage principal qui est la modification instantané de la configuration LDAP, il nous faudra donc arrêter le démon pour effectuer la modification). On commence par arrêter le démon OpenLDAP : root@LDAP1:~#service slip stop
On ouvre le fichier de configuration de la base LDAP (ce fichier ce nomme olcDatabase\=\{1}hdb.ldif) qui est lui-même un fichier.ldif : root@LDAP1:~#vi /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{1}hdb.ldif
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
50
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
On parcourt ensuite ce fichier jusqu’à trouver les lignes débutants par olcDbIndex (elles se trouvent sous les lignes olcDbConfig), Il suffit de les supprimer et de copier les lignes ci-dessous (Contenants tous les types d’olcDbIndex possibles dont nous pourrions avoir besoin)
olcDbIndex: objectClass eq, près olcDbIndex: ou,cn,sn,mail,givenname eq,pres,sub olcDbIndex: uidNumber,gidNumber,memberUid eq,pres olcDbIndex: loginShell eq,pres olcDbIndex: uniqueMember eq,pres olcDbIndex: uid pres,sub,eq olcDbIndex: displayName pres,sub,eq olcDbIndex: sambaSID eq olcDbIndex: sambaPrimaryGroupSID eq olcDbIndex: sambaDomainName eq olcDbIndex: sambaGroupType eq olcDbIndex: sambaSIDList eq olcDbIndex: default sub
Une fois fait, il suffit de sauvegarder et fermer le fichier et d’exécuter la commande suivante afin que la nouvelle configuration soit mise à jours (rien n’est dynamique avec les fichier.ldif, il faut toujours les rendre effectifs) : root@LDAP1:~#slapindex Autre petite erreur que j’ai pu faire ici : exécuter la commande slapindex avec le super utilisateur root. En effet, OpenLDAP fonctionne avec l’utilisateur openldap qui fait parti du groupe openldap, or le fait d’avoir exécuté cette commande avec root va changer les droits groupe et l’utilisateur de certains fichiers qui passeront de openldap à root (OpenLDAP ne pourra donc plus les lire ou exécuter ce qui provoquera de nombreuse erreurs).
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
51
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Afin de réattribuer les bons droits utilisateur/groupe aux fichiers il suffit de ce placer dans les bons répertoires et d’exécuter la commande ls –l (qui liste les fichiers en affichant aussi les droits), puis de redonner les bon droits : root@LDAP1:~#cd /var/lib/ldap root@LDAP1:~#ls –l root@LDAP1:~#chown openldap: openldap * root@LDAP1:~#cd /etc/ldap/slapd.d/cn\=config/ root@LDAP1:~#ls -l root@LDAP1:~#chown openldap: openldap * #Commande : cd pour se placer dans le répertoire, ls –l pour lister et chown pour Changer le groupe et l’utilisateur du fichier. Tout est donc opérationnel pour passer à l’installation de Samba.
III-
L’INSTALLATION ET LA CONFIGURATION DE SAMBA
1- L’installation de SAMBA Nous allons configurer Samba de telle sorte qu’il soit contrôleur de domaine, mais aussi en tant que serveur de fichiers (partage de fichiers ou sauvegarde de données via un disque réseau). Pour ce faire, nous allons installer Samba, puis nous créerons des zones de stockages Privées et publiques.
Commençons par installer les paquets : root@LDAP1:~#aptitude -y install smbldap-tools samba smbclient smbfs
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
52
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Répondre aux questions suivantes :
Nom du domaine ou groupe de travail : clin Voulez-vous chiffrer les mots de passe : Oui Modifier smb.conf pour utiliser les paramètres WINS fournis par DHCP : Non Comment voulez-vous lancer Samba : Démon Faut-il créer une base de données /var/lib/samba/passdb.tdb : Non (voir remarque ci-dessous)
Remarque : si on répond « Oui » à la dernière question, le programme d'installation de Samba va importer tous les comptes. Ça inclut les comptes comme root, daemon, nobody, www-data, game, etc. Sur un serveur fraichement installé, il vaut mieux répondre « Non ». On pourra les rajouter à la main plus tard en cas de besoin.
Une fois l’installation terminée, on arrête Samba afin de terminer sa configuration : root@LDAP1:~#/etc/init.d/samba stop
Il faut maintenant configurer Samba pour qu'il intègre LDAP et les outils SMBLDAP que l'on installera dans la foulée. Un fichier de configuration /etc/samba/smb.conf est déjà présent, nous modifions son nom en smb.conf.back afin d’avoir une sauvegarde la configuration originel au cas où : root@LDAP1:~#mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
Nous allons maintenant aller chercher un exemple de configuration de smb.conf (ceci permet d’avoir un fichier sans le grand nombre de commentaire qui le rende illisible), cet exemple de configuration est disponible dans les fichiers créés par l’installation précédente du package Smbldap-tools): root@LDAP1:~#cp /usr/share/doc/smbldap-tools/examples/smb.conf /etc/samba/smb.conf
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
53
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Il ne reste plus qu’à le modifier afin d’avoir la configuration souhaitée : root@LDAP1:~#vi /etc/samba/smb Nous obtenons le fichier de configuration suivant (explication en vert) :
[Global]
#Définition des paramètres globaux du serveur
Workgroup = ACE
#Nom du domaine (pour les clients Windows)
Netbios name = ldap1 Security = user
#Nom du serveur LDAP qui l’identifie sur le réseau #Force Samba à authentifier les connexions clients
Server string = Samba Server %v #Commentaire affiché dans le voisinage réseau (Samba transcrit « %v » par sa propre version) Encrypt passwords = Yes #Utilisation des mots de passe encryptés Ldap passwd sync = yes #Synchronise les mots de passe LDAP et Samba
###Commande qui permet de changer le mot de passe de l’utilisateur (à faire sous Samba) ### Passwd program = /usr/sbin/smbldap-passwd -u "%u" passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n" log level = 3 syslog = 3
#Niveau de log Samba #Niveau de log Samba + LDAP
log file = /var/log/samba/log.%U #Répertoire des log de Samba max log size = 100000 #Taille maximal du fichier de log time server = Yes
#Samba est aussi serveur de temps
Socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 #Optimization pour le protocol TCP/IP Dos charset = CP932 #Utilise l’encodage CP932 sous Windows Unix charset = UTF-8 #Utilise l’encodage UTF-8 sous Linux domain logons = Yes #Active le service de contrôleur de domaine domain master = Yes #Le serveur est le maitre du domaine local master = Yes
#Le serveur est aussi maitre du réseau local
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
54
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
logon home = \\ldap1\%U #Chemin du répertoire personnel de l’utilisateur authentifié (voir [home] plus bas) logon path = \\ldap1\profiles\%U #Chemin qui indique aux clients Windows où stocker leurs profils itinérants logon script = logon.bat #Nom du script à exécuter à l’ouverture d’une session (voir [netlogon] plus bas) logon drive = H: #Lettre du lecteur réseau qui mène à l’espace personnel de l’utilisateur (voir [home] plus bas) os level = 65 #un « os level » de 65 permet au serveur Samba d’être forcément le contrôleur de domaine face à un serveur Windows (dans le cas où 2 contrôleurs de domaine se trouvent sur le même réseau) preferred master = Yes #Indique que ce serveur sera choisi en cas d’élection d’un contrôleur de domaine (si 2 serveurs sont en « preferred master = yes » alors celui qui a le plus haut « os level » gagne l’élection) dns proxy = no #Sans passer par un DNS pour résoudre le domaine wins support = yes #Samba devient aussi serveur Wins (résolution de nom Netbios)
passdb backend = ldapsam:ldap://192.168.5.149/ #Indique à Samba que les comptes utilisateurs sont stockés sous LDAP ###Définition de l’organisation de l’arbre LDAP###
ldap admin dn = cn=admin, dc=ACE, dc=local
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
55
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
ldap suffix = dc=ACE,dc=local ldap group suffix = ou=Groups ldap user suffix = ou=User ldap machine suffix = ou=Computers
###Définition des scripts (voir plus bas dans la partie Smbldap-tools)### add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
ldap ssl = no
#Indique que la communication avec OpenLDAP
n’est pas chiffrée create mask = 0640 #Tout fichiers créés dans les différents répertoires (sauf indication contraire (voir plus bas)) ont les droits 640 directory mask = 0750 #Tout dossiers créés dans les différents répertoires (sauf indication contraire (voir plus bas)) ont les droits 750 guest account = nobody #Les compte invité (utilisateurs qui parcours les dossiers publiques de Samba ont le droit de l’utilisateur « nobody ») map to guest = Bad User #Définition des partages###
[homes]
#Répertoire personnel des utilisateurs
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
56
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
comment = Dossiers personnels #Commentaire browseable = no
#Invisible dans le voisinage réseau
writable = yes
#Accessible en écriture
guest ok = no
#Les utilisateurs invité n’y ont pas accès
valid users = %U, clin\%U son réper-toire
netlogon]
#Seul l’utilisateur authentifié à droit de voir
personnel (« %U » est l’utilisateur authentifié)
#Répertoire où sont stockés les scripts exécutés par
Les clients Windows lors de leurs connexions path = /home/netlogon/%G #Chemin du répertoire (où « %G » est le groupe primaire de l’utilisateur) browseable = No read only = yes guest ok = no
[profiles]
#Invisible dans le voisinage réseau #Accessible en lecture seul
#Les utilisateurs invité n’y ont pas accès
#Répertoire où sont stocké les profiles itinérants
comment = profils itinerants #Commentaire path = /home/profiles #Chemin du répertoire où stocker le profile itinérant browseable = no
#Invisible dans le voisinage réseau
writable = yes
#Accessible en écriture
guest ok = no
#Les utilisateurs invité n’y ont pas accès
create mask = 0700
#Les fichiers dans profiles sont créés avec le droit 700
directory mask = 0700 #Les dossiers dans profiles sont créés avec le droit 700 valid users = %U, ACE\%U #Seul l’utilisateur authentifié à droit de voir son répertoire personnel (« %U » est l’utilisateur authentifié) [public]
#Répertoire accessible à tout le monde
comment = Dossier public
#Commentaire
path = /home/public
#Chemin du répertoire
writable = yes
#Accessible en écriture
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
57
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
public = yes
#Accessible à tout le monde
create mask = 0777
#Tout le monde à tous les droits sur les fichiers
directory mask = 0777
Tout le monde à tous les droits sur les dossiers
Nous avons donc configuré le fichier de configuration de Samba et avons donné des chemins vers des répertoires (netlogon, public, profiles et home), il nous faut donc créer les dossiers (en leur attribuant les bon droits) au bon endroit afin que ces chemins pointent vers leur bonne destinations : root@LDAP1:~#mkdir /home/netlogon root@LDAP1:~#chmod 775 /home/netlogon root@LDAP1:~#mkdir /home/profiles root@LDAP1:~#chmod 773 /home/profiles root@LDAP1:~#mkdir /home/public root@LDAP1:~#chmod 777 /home/public Remarque : Nous n’avons pas créé le répertoire « home » car il s’agit d’un répertoire automatiquement créé qui pointe vers le répertoire personnel de l’utilisateur authentifié (ce répertoire est automatiquement créé à la création d’un utilisateur).
Nous redémarrons le démon Samba afin de prendre en compte notre configuration : root@LDAP1:~#/etc/init.d/samba restart Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd.
Samba doit connaître le mot de passe administrateur du serveur OpenLDAP pour l’administration LDAP. Ca lui donnera l'autorisation de créer, supprimer, modifier des entrées pour les comptes utilisateurs, groupes et machines.
La commande suivante permet de le faire: root@LDAP1:~#smbpasswd -W Setting stored password for "cn=admin, dc=ACE,dc=local" in secrets.tdb MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
58
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
New SMB password: acesmb Retype new SMB password: acesmb
Ceci créer un fichier « secret.tdb » se trouvant dans le répertoire /var/lib/samba que seul le super utilisateur (root) peut lire. 2- La Configuration de Smbldap Ces outils sont des scripts perl qui permettront de créer les utilisateurs Samba et LDAP de manière automatisée. Par exemple, nous pourrions dorénavant utiliser la commande smbldapuseradd. (Voir plus bas dans création d’un utilisateur), qui grâce à ces outils permettra de créer en même temps. Le compte de l’utilisateur LDAP, Samba et Linux (avec création du répertoire Personnel). Ceci nous facilite grandement la vie, car sans lui nous devrions créer un compte sur Samba (avec appartenance à un groupe etc…), le même sur OpenLDAP et le même sur Linux (avec création du répertoire privé). Nous avions installé ces outils avec Samba afin de récupérer un exemple de fichier de Configuration smb.conf, passons maintenant à leurs configurations :
root@LDAP1:~#gzip -d /usr/share/doc/smbldaptools/configure.pl.gz
root@LDAP1:~#perl /usr/share/doc/smbldap-tools/configure.pl
Un écran s’affiche et si le smb.conf est bien configuré (ce qui est notre cas), il suffit d’appuyer sur la touche « ENTRER » car le script de configuration va pré-remplir les champs. (par exemple le nom du domaine) grâce aux mêmes champs que sur le smb.conf.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
59
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Attention toutefois à ne pas aller trop vite car il faudra tout de même saisir à la main le mot de passe de l’administrateur LDAP (« aceadmin ») et le type d’encryption des mots de passe des utilisateurs linux (« l’encryption of the unix password »), pour ce dernier taper « MD5 ».
Toutes ces informations seront modifiables dans les fichiers smbldap.conf et smbldap_bind.conf situés dans le dossier /etc/smbldap-tools (notre smbldap.conf est disponible en annexe). 3- La Création de l’arbre LDAP Il est maintenant temps d’initialiser la base de données LDAP de base pour Samba. On va le faire en utilisant la commande smbldap-populate : root@LDAP1:~#smbldap-populate
Vous devez saisir deux fois votre mot de passe root (« heinzo »). Cette commande créée: Les différentes OU (Organisation Unit) qui contiendront vos Machines, Users et Deux UID : root (super utilisateur) et nobody (utilisateur avec peu de droits que prenne les invités) qui seront dans OU = Users, Plusieurs CN (Common Name): Les groupes qui seront dans OU = Groups.
IV-
LA GESTION DES PROFILS ITINERANTS
Il faut configurer ce qui suit afin de notre PDC puisse stocker les profils itinérants en Français, sinon les utilisateurs auront leur dossiers en Anglais (« Images » se transformera en « Pictures » par exemple), pour ce faire : root@CI_LDAP1:~#apt-get install attr root@CI_LDAP1:~#mount /home –o remount, user_xattr Ajouter user_xattr à fstab afin que l’option reste même après un redémarrage.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
60
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
1- La Création d’un groupe Nous allons maintenant créer un groupe d’utilisateurs (par exemple, ici le groupe « Atelier de saisie ») et nous verrons par la suite comment l’exploiter. Pour ce faire nous allons utiliser l’une des commandes de la suite smbldap-tools : root@LDAP1:~#smbldap-groupadd -a 'Groupe test' #Commande : -a permet l’auto-mappage à la création du groupe (création de l’identifiant de sécurité et de groupe (SID et GID)). 1-1 La Vérification de la bonne création Commande permettant de vérifier que l’utilisateur à bien pris en compte les paramètres Samba (smb.conf) lors de sa création: root@LDAP1:~#pdbedit –v pdupont
Attention : Durant un débogage et modification du fichier smb.conf (Samba), il se peut que les comptes utilisateurs prennent en compte le fichier smbldap.conf (Smbldap-tools), le modifier si nécessaire et bien penser à mettre à jours les comptes utilisateurs précédemment créés. Par exemple : si on modifie dans smbldap.conf les chemins pour le home directory et login path il faudra effectuer la commande : pdbedit –p "" –h "" –u pdupont
1-2 La Création des lecteurs réseaux Nous poursuivons par la définition des scripts qui permettront de créer les différents lecteurs réseaux des utilisateurs en fonction de leur groupe. Mais avant, nous allons nous intéresser à la logique de la configuration permettant la création des lecteurs réseaux en finalité.
Dans notre smb.conf nous avions mis plusieurs informations très importantes :
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
61
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
logon script = logon.bat
#Nom du script à exécuter à l’ouverture d’une session (voir [netlogon] plus bas)
[netlogon]
#Répertoire où sont stockés les scripts exécutés par
Les clients Windows lors de leurs connexions path = /home/netlogon/%G #Chemin du répertoire (où « %G » est le groupe primaire de l’utilisateur) browseable = No read only = yes guest ok = no
#Invisible dans le voisinage réseau #Accessible en lecture seul
#Les utilisateurs invités n’y ont pas accès
D’après les informations ci-dessus, on peut donc en déduire qu’il faut créer un dossier portant le nom de chaque groupe d’utilisateurs dans le dossier /home/netlogon. De plus, il faudra dans chacun de ces dossiers créer un script nommé logon.bat. (Attention de bien mettre les bons droits spécifiés plus haut, à la création du dossier /home/netlogon) Exemple de script logon.bat permettant d’accéder au dossier public ([public] dans smb.conf) : net use p: \\ldap1\public Pour reprendre notre exemple de l’utilisateur pMeite membre du groupe Atelier de saisie, il faut donc se placer dans /hom/netlogon et créer un dossier Atelier de saisie, puis dans ce dossier Atelier de saisie, il faudra créer le fichier logon.bat (en créant les bons scripts pour les lecteurs réseaux) : root@LDAP1:~#cd /home/netlogon #Aller dans le dossier « /home/netlogon# root@LDAP1:/home/netlogon#mkdir "Groupe test" #Créer le dossier « Groupe test » root@LDAP1:/home/netlogon#cd Atelier de saisie
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
62
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
#Aller dans le dossier « /home/netlogon/Groupe test » root@LDAP1:/home/netlogon/Groupe test#vi logon.bat #Créer le fichier « logon.bat » #Copier dedans « net use p: \\ldap1\public » V-
LA CONFIGURATION DES CLIENTS LDAP
1- Les Clients GNU/Linux L'idée est d'utiliser l’annuaire LDAP pour authentifier les utilisateurs qui se connecteront sur la machine Linux. L'approche classique sur des systèmes Unix pour avoir une base centrale d'utilisateurs est d'utiliser NIS. Nous allons voir comment utiliser une base LDAP pour faire le même travail.
Pour changer le processus d'authentification classique, il faut installer PAM (Pluggable Authentification Module). C'est une bibliothèque qui permet de remplacer la source D’authentification par à peu près n'importe quoi (LDAP, SQL, fichier à plat, NIS…), ceci sera couplé à NSS (Name Service Switch) qui permettra le changement du service à utiliser pour la connexion. Nous allons maintenant installer et configurer la librairie qui permet d’utiliser l’annuaire. (libnss-ldap) et la librairie qui permet de s’authentifier sous unix (libpam-ldap) : root@LDAP1:~#apt-get install libnss-ldap libpam-ldap Lors de l’installation un certain nombre de question seront posées : Identifiant uniforme de ressource (« URI ») du serveur LDAP : ldap : //192.168.5.149 Nom distinctif (DN) de la base de recherche : dc=ACE, dc=local Version de LDAP utilisé : 3 Compte LDAP pour le super utilisateur (« root ») : cn=admin, dc=ACE, dc=local Mot de passe du compte du super utilisateur LDAP : aceadmin Donner les privilèges de super utilisateur local au compte administrateur LDAP ? Oui
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
63
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
La base LDAP demande-t-elle une identification : non Compte LDAP pour le super utilisateur (« root ») : cn=admin, dc=ACE, dc=local Mot de passe du compte du super utilisateur LDAP : aceroot Algorithme de chiffrement à utiliser localement pour les mots de passe : chiffré
Maintenant que les librairies sont configurées, on doit activer la recherche LDAP en modifiant le fichier de configuration /etc/nsswitch.conf. Pour cela il faut simplement ajouter ldap à passwd, group et shadow :
root@LDAP1:~#vi /etc/nsswitch.conf
# Modifier les lignes suivantes en rajoutant « ldap » passwd:
compat
ldap
group:
compat
ldap
Shadow:
compat
ldap
Il faut aussi modifier le fichier /etc/pam.d/common-password qui permet de gérer le changement de mot de passe : root@LDAP1:~#vi /etc/pam.d/common-password #Sur la ligne suivante, il faut retirer ('user_unknown=ignore') password
[success=1 user_unknown=ignore default=die]
pam_ldap.so
try_first_pass Et pour finir, modifier le fichier /etc/pam.d/common-session qui gère l’ouverture de la session de l’utilisateur : root@LDAP1:~#vi /etc/pam.d/common-session
# ajouter tout à la fin du fichier (créer le directory dans /home automatiquement) Session optional pam_mkhomedir.so skel=/etc/skel umask=077
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
64
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
On redémarre ensuite le serveur afin d’être sûr que toutes les configurations soient prises en compte : root@LDAP1:~#reboot 2- Les Clients Windows Chez Windows la marche à suivre est différente, il ne suffit pas simplement de lui indiquer d’aller s’authentifier sur le serveur LDAP mais il faut le faire appartenir au domaine (notre domaine est ACE ). Il faut d’abord ajouter le serveur Samba en tant que serveur WINS afin de pouvoir résoudre le nom de domaine, pour ce faire, il faut aller dans Panneau de configuration/Réseau et Internet/Connexions réseaux et suivre ci-dessous :
Figure 4 : Ajouter samba en tant que serveur WINS Puis pour appartenir au domaine, appuyer sur les touches Windows+Pause et cliquer sur Modifier les paramètres puis suivre ci-dessous :
Figure 5 : Procédure d’appartenance au domaine
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
65
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Après avoir cliqué sur « OK », il vous faudra renseigner le compte root (administrateur du domaine) afin de valider la jonction au domaine.
Attention : il existe un bug, une fois le compte root saisit, il se peut que le pc ne soit Pas ajouté au domaine. Dans ce cas, retenter la jonction au domaine, si échec relancer Les services Samba et OpenLDAP (service samba restart et service Ldap restart) et retenter. Une fois le client Windows sur le domaine, il suffit de le redémarrer l’ordinateur, et, arrivé à l’interface de connexion, cliquer sur « Autre utilisateur » et dans le champ « Identifiant », entrer l’utilisateur de la façon suivante : domaine\utilisateur. Pour l’exemple, avec l’utilisateur TANO, on entre ACEinfo\pTANO (puis le mot de passe de pTANO) et nous voilà connecté au domaine. Sur le serveur Samba, dans le dossier /home/profiles sera automatiquement créé un dossier nommé pTANOt.v2 contenant le profile (fond d’écran, préférences, raccourcis…) de l’utilisateur pTANO. Si jamais l’utilisateur pTANO essai de se connecter sur un autre ordinateur, Samba ira voir dans le dossier /home/profiles si un dossier pTANO.v2 s’y trouve, comme il s’y trouve il exportera directement le profil sur le nouvel ordinateur (au lieu décrier le profil et d’importer les préférences comme précédemment). 3- L’installation de Phpldapadmin Phpldapadmin est une interface écrite en PHP qui permet de visualiser et de modifier Facilement (via une interface Web) un annuaire LDAP (Openldap principalement), sur le même principe que phpMyAdmin pour les bases de données MySQL. Personnellement, je n’ai utilisé phpldapadmin seulement pour visualiser mon arbre et non pour le modifier, je préférais effectuer les modifications en lignes de commandes ce qui permettait une « auto mappage » de certaines caractéristiques (comme le SID de Samba) qui n’était pas faisable via phpldapadmin.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
66
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Pour l’installer, il n’y a qu’une chose à faire : root@LDAP1:~#apt-get install phpldapadmin Pour accéder à phpldapadmin, il suffit simplement d’ouvrir votre navigateur favori et d’entrer Comme URL : adresseIpDuServeur/phpldapadmin, donc, dans notre cas, 192.168.5.149/phpldapadmin.
Après authentification avec le mot de passe root (« aceroot »), vous pourrez voir une interface avec un arbre semblable à celui-là, avec la racine (dc=ACE,dc=local), l’administrateur (cn=admin), les unités organisationnels (Computers, Groups…) et le nom de domaine Samba (ACE) :
Figure 6 : Vue de l’interface LDAP sous Phpladapadmin
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
67
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CHAPITRE VII : VALORISATION DU PROJET I-
LE COUT DU PROJET
A la date du 22 Aout 2014 dans le Magasin Virus Technologie sise au plateau le cout du matériel nécessaire à l’élaboration de notre projet se présente comme suit :
PRIX TOTAL
DESIGNATION
QUANTITE
PRIX UNITAIRE
Un serveur de fichiers HP ML 350
1
2 025 589
2 025 589
1
1 245 400
1 245 400
1
450 000
450 000
Un Firewall (Pare-Feu) ASA 5505 Un Antivirus KASPERSKY Linux For file Server
Main D’œuvre
TOTAL TTC (FCFA)
200 000
3 920 989
Notre projet va s’effectué sur une période de 1 mois 8 jours (Environ 38Jours) Etude de l’existant : 14 Jours Acquisition du Matériel : 7Jours Installation et configuration : 7Jours Test de Vérification du bon fonctionnement du Serveur Samba : 10Jours
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
68
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
II-
UNE VUE GLOBALE DE LA SOLUTION RETENUE EN FIN DE REALISATION
FIGURE 7 : ARCHITECTURE FINALE APRES REALISATION DU PROJET
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
69
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
III-
LES IMPACTS DE LA NOUVELLE STRATEGIE DEPLOYE SUR LE RESEAU DE L’ENTREPRISE
Le déploiement de la nouvelle politique de gestion des informations à apporter des améliorations à la qualité de service de notre système d’information : La sauvegarde efficace des données de l’entreprise : Ajout d’un serveur Backup L’échange et l’accès aux ressources d'autres utilisateurs du même réseau local fonctionnant avec des systèmes d'exploitation différents (Microsoft Windows Apple Mac OS, GNU/Linux) : Implémentation du serveur SAMBA La centralisation de la gestion des utilisateurs et des machines. Disponibilité du Système : Redondance de lien La sécurité des informations de l’entreprise : Les accès aux données sont Précisés par des ACL (Access Control List)
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
70
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
CONCLUSION En somme nous pouvons dire que l'objectif de notre travail a été atteint avec succès d' après un accomplissement sur : - L'étude des contrôleurs de domaines suivi d'une étude comparative entre les contrôleurs de domaines propriétaire et libre en se basant sur le coût sans négligé la sécurité et l'efficacité des annuaires étudiés. - Ensuite une solution détaillée sur Samba qui nous conduit à un choix du contrôleur de domaine. - En dernier lieu, on s'achève à une implémentation du serveur samba avec les tests de validation. La réalisation de ce travail nous a permis de comprendre certains aspects des contrôleurs de domaines, d'avoir une certaine maitrise du système d'exploitation linux, du service SAMBA et des outils de la virtualisation. Cependant Il existe toutefois des outils graphiques permettant de configurer à l'aide d'assistant les principaux paramètres d'un serveur samba, ce qui simplifie la tâche pour ceux ne souhaitant pas rentrer dans les lignes de commandes.
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
71
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
REFERENCES BIBLIOGRAPHIE Guy Pujolle, Support de Cours RTEL, Les Réseaux de transfert Stéphane Lohier et Dominique Présent, Transmission et Réseaux ; 2iéme Edition
WEBOGRAPHIE Wikipédia, Contrôleur de domaine disponible sur http://fr.wikipedia.org/wiki/Controleur de domaine,consulté le 15 mai 2014 à 11h35min Wikipédia, Annuaire Electronique, disponible sur http://fr.wikipedia.org/wiki/Annuaire electronique, consulté le 18 mai 2014 à 16h 20min OpenLDAP, Caractéristiques et Mode de Fonctionnement, disponible sur http://www.openLDAP.org, consulté le 20 mai 2014 à 8h 28 min NIS, Caractéristiques et Mode de Fonctionnement, disponible sur http://www.NIS.org, consulté le 20 mai 2014 à 9h 02 min Commentcamarche, Caractéristiques et Mode de Fonctionnement disponible sur http://www.commentcamarche.net/contents/principes-d’active-directory;consulté le 25 mai 2014 à 12h45min OpenSuse, Caractéristiques et Principes de Fonctionnement, disponible sur http://opensuse.org/fr Consulté le 28 mai 2014 à 10h54min Windows Server 2012, Caractéristiques et Mode de Fonctionnement, disponible www.microsoft.com/france/serveur-cloud/windows-server/2012/ sur consulté le 31 mai 2014 à 8h28min Samba, Caractéristiques et Mode de Fonctionnement disponible sur http://www.samba.org Consulté le 02 Juin 2014 à 8h28min MemoireOneline, Samba en tant que contrôleur de domaine, disponible sur http://www.memoireonline.com/samba en tant que contrôleur de domaine, Consulté le 05 Juin 2014 à 11h20min Ubuntu, L’interface utilisé pour la configuration du serveur Samba, disponible sur http://www.ubuntu.fr,Consulté le 25 Juin 2014 à 18h38
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
72
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
ANNEXES Annexe 1 : Authentification centralisé des utilisateurs sur l’annuaire LDAP :P63
Annexe 2 : Paramétrage de samba
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
73
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
Annexe 3 : Joindre un domaine sous Windows : P 65
ANNEXE 4 : CONNEXION D’UN UTILISATEUR WINDOWS SUR LE DOMAINE : P 65
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
74
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX
TABLE DES MATIERES SOMMAIRE .............................................................................................................................................. 1 DEDICACE ............................................................................................................................................... 2 REMERCIEMENTS ................................................................................................................................... 3 LISTE DES ACRONYMES......................................................................................................................... 4 RESUME................................................................................................................................................... 5 ABSTRACT .............................................................................................................................................. 6 AVANT-PROPOS .................................................................................................................................... 7 INTRODUCTION ..................................................................................................................................... 8 PARTIE I .................................................................................................................................................. 9 PRESENTATION...................................................................................................................................... 9 GENERALE .............................................................................................................................................. 9 CHAPITRE I : PRESENTATION DE L’ENTREPRISE .............................................................................. 10 I-
L’ENTREPRISE : ACE-CI ............................................................................................................ 10 1-
Historique .............................................................................................................................. 10
2-
La Structure D’ACE-CI .......................................................................................................... 11
II-
LA STRUCTURE D’ACCUEIL ..................................................................................................... 12 1-
Le Département Informatique ............................................................................................. 12
2-
La Représentation de la Structure du Département IT....................................................... 13
CHAPITRE II : PRESENTATION DU PROJET ........................................................................................ 14 I-
CONTEXTE ................................................................................................................................ 14 1-
II-
Le Contexte ........................................................................................................................... 14 ETUDE DE L’EXISTANT ............................................................................................................. 14
1-
Etude de l’existant matériel .................................................................................................. 14
2-
Etude de l’existant logiciel .................................................................................................... 18
3-
Architecture du réseau existant ........................................................................................... 18
4-
Critique du réseau existant ................................................................................................... 19
III-
CAHIER DE CHARGE ............................................................................................................ 19
PARTIE II ............................................................................................................................................... 20 ETUDE TECHNIQUE ............................................................................................................................. 20 CHAPITRE III : LES CONTROLEURS DE DOMAINES ........................................................................... 21 I-
DEFINITION .............................................................................................................................. 21
II-
LES TYPES DE CONTROLEURS DE DOMAINE ....................................................................... 21 1-
Les Contrôleurs de domaine Propriétaires ........................................................................... 21
2-
Les Contrôleurs de domaine Libres ....................................................................................... 21
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
75
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX III-
LES FONCTIONNALITES DES CONTROLEURS DE DOMAINE ........................................... 22
IV-
LES AVANTAGES D’UN CONTROLEUR DE DOMAINE ...................................................... 23
V-
LES LIMITES D’UN CONTROLEUR DE DOMAINE ............................................................... 24
CHAPITRE IV : PRESENTATION DE QUELQUES SOLUTIONS DE BASES D’ANNUAIRE .................. 25 I-
DEFINITION .............................................................................................................................. 25
II-
LES CARACTERISTIQUES D’UN ANNUAIRE............................................................................ 25
III- LES PRINCIPALES NORMES D’UN ANNUAIRE ...................................................................... 26 IV- ACTIVE DIRECTORY................................................................................................................. 26 1-
Description ............................................................................................................................. 26
2-
Mode de Fonctionnement..................................................................................................... 27
V-
NETWORK INFORMATION SYSTEM (NIS) .......................................................................... 27
1-
Description ............................................................................................................................. 27
2-
Mode de Fonctionnement..................................................................................................... 27
VI-
OPENLDAP........................................................................................................................... 28
1-
Description ............................................................................................................................. 28
2-
Mode de fonctionnement ..................................................................................................... 28
VIII-
LA SOLUTION D’ANNUAIRE RETENUE .............................................................................. 30
1-
La Justification du choix d’OpenLDAP ................................................................................. 30
2-
La Structure de l’OpenLDAP................................................................................................ 30
3-
Les Fonctionnalités de l’OpenLDAP ..................................................................................... 31
4-
Les Principales Versions de l’OpenLDAP .............................................................................. 31
CHAPITRE V : APPROCHE DES SOLUTIONS DE CONTROLEUR DE DOMAINE .............................. 32 I- WINDOWS SERVER 2012 ........................................................................................................... 32 1-
Description ............................................................................................................................. 32
2-
Mode de fonctionnement. .................................................................................................... 32
II-
OPENSUSE ................................................................................................................................ 33 1-
Description ............................................................................................................................. 33
2-
Mode de Fonctionnement..................................................................................................... 33
III-
SAMBA .................................................................................................................................. 34
1-
Description ............................................................................................................................. 34
2-
Mode de fonctionnement ..................................................................................................... 34
IV-
COMPARAISON DES DIFFERENTES SOLUTIONS DE CONTROLEUR DE DOMAINE ....... 35
V-
LA SOLUTION RETENUE ...................................................................................................... 36
1-
La Justification du choix du contrôleur de domaine samba ................................................ 36
2-
La Structure de Samba......................................................................................................... 36
3-
Les différentes possibilités qu’offrent le serveur Samba. ...................................................... 37
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
76
ETUDE ET MISE EN PLACE D’UN SERVEUR CONTROLEUR DE DOMAINE SOUS LINUX 3-1 Les Fonctionnalités de Samba............................................................................................. 37 3-2 Samba en tant que contrôleur de domaine principal ...................................................... 38 3-3 Samba en tant que contrôleur de domaine secondaire .................................................. 38 VI-
LES PRINCIPALES VERSIONS DE SAMBA ........................................................................... 39
PARTIE III .............................................................................................................................................. 40 DEPLOIEMENT DE LA SOLUTION RETENUE ..................................................................................... 40 CHAPITRE VI : IMPLEMENTATION DE LA SOLUTION RETENUE ..................................................... 41 I-
LES ETAPES DE L’IMPLEMENTATION DU SERVEUR CONTROLEUR DE DOMAINE SAMBA 41
II-
L’INSTALLATION ET LA CONFIGURATION D’OPEN LDAP .................................................. 41 1-
L’installation des Paquets ..................................................................................................... 41
2-
La Configuration de base du serveur LDAP ........................................................................ 43
3-
Rendre OpenLDAP compatible à SAMBA .......................................................................... 46
III-
L’INSTALLATION ET LA CONFIGURATION DE SAMBA..................................................... 52
1-
L’installation de SAMBA ....................................................................................................... 52
2-
La Configuration de Smbldap .............................................................................................. 59
3-
La Création de l’arbre LDAP ................................................................................................ 60
IV1-
LA GESTION DES PROFILS ITINERANTS ............................................................................. 60 La Création d’un groupe ...................................................................................................... 61 1-1 La Vérification de la bonne création ................................................................................... 61 1-2 La Création des lecteurs réseaux ......................................................................................... 61
V-
LA CONFIGURATION DES CLIENTS LDAP ......................................................................... 63
1-
Les Clients GNU/Linux ........................................................................................................... 63
2-
Les Clients Windows .............................................................................................................. 65
3-
L’installation de Phpldapadmin ........................................................................................... 66
CHAPITRE VII : VALORISATION DU PROJET ...................................................................................... 68 I-
LE COUT DU PROJET ............................................................................................................... 68
II-
UNE VUE GLOBALE DE LA SOLUTION RETENUE EN FIN DE .............................................. 69
REALISATION ................................................................................................................................... 69 III-LES IMPACTS DE LA NOUVELLE STRATEGIE DEPLOYE SUR LE RESEAU DE L’ENTREPRISE.70 CONCLUSION ....................................................................................................................................... 71 REFERENCES ........................................................................................................................................ 72 ANNEXES .............................................................................................................................................. 73 TABLE DES MATIERES.......................................................................................................................... 75
MEMOIRE DE FIN DE CYCLE : LICENCE PROFESSIONNELLE
23 octobre 2014
77