Mémoire L3

ECOLE NATIONALE D’INFORMATIQUE [TAPEZ ICI] RIO TINTO

Service d’authentification et surveillance système et réseau 1

Couverture



CURRICULUM VITAE

HERINIAINA Jean Luc

Tanambao, Fianarantsoa

Lot IB 349/3611

mobile : 034 25 242 02

E-mail: [email protected]

Né le 23 Mars 1993 (22 ans) à Taolanaro

LICENCE PROFESSIONNELLE EN INFORMATIQUE

SPÉCIALISÉ EN ADMINISTRATION SYSTEME ET RESEAU

Formation

2015 Troisième année à l’Ecole Nationale d’Informatique Fianarantsoa.

2014 Deuxième année à l’Ecole Nationale d’Informatique Fianarantsoa.

2013 Première année à l’Ecole Nationale d’ Informatique Fianarantsoa.

2012 Baccalauréat Générale série scientifique série D, au collège Sacre Cœur, Fort-Dauphin.

Autre formation

‘

2014 Formation Anglais Américain au ‘English Center Fort-Dauphin’.

2009 Informatique Bureautique (Word, Excel, PowerPoint, Publisher)

Expérience professionnelle

Mars 2015 : - Audit et surveillance réseau avec notification sms et mail.

Octobre 2015: - Projet javaFx (Gestion de bourse) avec MySQL.

Octobre 2015 : - Projet VoIP (Dial plan, Voice Mail, Meetme, IVR et CDR),

- Projet de routage dynamique (MPLS),

- Projet de Windows serveur (Network Load Balancing).

Mars 2014 : - Administrateur système et réseau au Rio Tinto QMM à Fort- Dauphin

(Élargissement de la zone de couverture réseau)

Installation du matériel,

Prise en charge de la maintenance des équipements,

Préparation du matériel et des logiciels en fonction de différents

paramètres.

Septembre 2014 : - Projet langage perl (expression régulière) ;

- Développement web avec PHP, CSS, JQuery.

Octobre 2014 : - Projet de supervision à distance de router Cisco, client linux et Windows.



- Projet de routage statique et dynamique (RIP, OSPF, BGP).

Septembre-Octobre 2013 : - Projet de fin d’année à l’Ecole Nationale d’ Informatique (Développement

d’application d’interface graphique de configuration LAN avec QT Creator

et C++).

- Projet de fin d’année au sein de l’école (Développement de site Web

Dynamique avec le langage HTML, CSS, JavaScript, jQuery).

Compétences

Langues

Centres d’intérêt

Voyages :

Sport :

Association :

Passions :



REMERCIEMENTS



SOMMAIRE GENERAL



NOMENCLATURE



LISTE DES TABLEAUX



LISTE DES FIGURES



INTRODUCTION GENERALE



Chapitre 1 : PRESENTATION DE L’ECOLE NATIONALE D’INFORMATIQUE

1.1. Localisation

L’école Nationale d’informatique (ENI) se situe à Tanambao Fianarantsoa, sa boîte postale est

1487 avec le code postal 301, son téléphone est 75 508 01 et son adresse électronique est eni@univ-

fianar.mg.

1.2. Historique

L’ENI de l’université de Fianarantsoa constitue à l’heure actuelle la pépinière des élites

informaticiennes malgache. On peut considérer cette Ecole Supérieure comme la vitrine et la mesure

de l’avance technologie du pays. Elle se positionne dans le système socio-éducatif malgache comme

le plus puissant vecteur de diffusion et de vulgarisation des connaissances et des technologies

informatiques. L’ENI a été créée par le décret N°83/185 du 24Mai 1983, l’ENI ou l’Ecole National

d’Informatique est le seul établissement universitaire professionnalisé du pays pour mission de former

des Techniciens Supérieurs, des Licenciés en informatique et des Ingénieurs informaticiens de haut

niveau, aptes à répondre aux besoins et exigences d’informatique des entreprises, des sociétés et

des organismes implantés à Madagascar.

La filière de formation d’analystes programmeurs a été créée en 1983, et a été gelée par la suite en

1996.

La filière de formation d’Ingénieurs a été ouverte à l’Ecole en 1986.

La filière de formation de techniciens supérieurs en maintenance des systèmes informatique a été

mise en place à l’Ecole en 1996 grâce à l’appui matériel et financier de la Mission Française de

coopération dans la cadre du Programme de Renforcement de l’Enseignement Supérieurs(PRESUP).

Une formation pour l’obtention de la certification CCNA et/ou Network+, appelée « Cisco Network

Academy » à Madagascar, en 2002-2003, a été créé grâce au partenariat avec Cisco System et

l’Ecole Supérieure Polytechnique d’Antananarivo(ESPA).

Une formation Doctorale a été ouvert depuis l’année universitaire 2003-2004 avec une parfaite

coopération entre l’université de Fianarantsoa(ENI) et celle de Toulouse.

Une formation en Licence professionnel3e en informatique ayant comme options : Système et

Réseau (SR), Génie logiciel et Base des données(GB), a été ouverte pendant l’année universitaire

2007-2008.

Enfin une formation en Licence hybride en informatique a été mise en place depuis l’année

universitaire 2011-2012, à Fianarantsoa et Toliara.

Domaines de spécialisation :

Génie logiciel et Base de données

Maintenance des systèmes information

Administration des systèmes et des réseaux

Modélisation environnementale et système d’Information géographique

mailto:[email protected]




1.2.1. Organigramme de l’Ecole Nationale d’Informatique

Figure 1 : Organigramme de l’Ecole Nationale d’Informatique

1.3. PARTENARIAT

1.3.1. Au niveau national

Les stages pratiqués chaque année par ses étudiants mettent l’Ecole en relation permanente

avec plus de 300 entreprises, sociétés et organismes publics et privés nationaux.

L’organisation de stage en entreprise contribue non seulement à assurer une meilleure

professionnalisation et des formations dispensées, mais elle accroit également de façon

exceptionnelle les opportunités d’embauche pour les diplômés.

Les diplômes de l’ENI sont recrutés non seulement par des entreprises et organismes nationaux,

mais ils sont aussi embauchés dans des organismes de coopération internationale tels que l’USSAID

MADAGASCAR, la délégation de la commission Européenne, la commission de l’océan indien, etc…

1.3.1. Au niveau international

Entre 1996 et 1999, l’ENI a bénéficié de l’assistance technique et financière de la Mission

Française de Coopération et d’Action Culturelle dans le cadre du PRESUP.

L’ENI a signé des accords de coopération interuniversitaire avec : l’IREMA de l’université de la

Réunion, l’université de Rennes1 et l’Institution National Polytechnique de Grenoble(INPG).

Depuis le mois de juillet 2001, l’ENI abrite le centre du réseau Opérationnel (Network Operating

Center) du point d’accès à internet de l’Ecole et de l’université de Fianarantsoa. Grace à ce projet

Américain financé par l’USAID Madagascar, l’ENI et l’université de Fianarantsoa sont maintenant

dotées d’une ligne spécialisés d’accès permanent à l’Internet. Par ailleurs depuis 2002, une nouvelle

branche à vocation professionnelle a pu y mettre mise en place, en partenariat avec Cisco System.



L’ENI a noué des relations de coopération avec l’institut de recherche pour le

développement(IRD).L’objet de la coopération porte sur la Modélisation environnementale du corridor

forestier de Fianarantsoa. Dans le même cadre, un atelier scientifique international sur la

modélisation des paysages a été organisé à l’ENI au mois de septembre 2008.

1.4. Perspectives

Restructuration du système pédagogique de l’Ecole selon le schéma LMD (Licence Master Doctorat).

Mise en place à l’Ecole d’un Département de 3emecycle et d’études Doctorales en Informatique

Création de l’unité de Production MultiMedia, d’un club de logiciel libre Unix.

Mise en place à l’Ecole de la Formation Hybride, au centre Fianarantsoa et Toliara.

1.4.1. Missions

L’ENI forme des techniciens, des licenciés et des ingénieurs directement opérationnels au terme

de leur formation respective. Ce qui oblige l’Ecole à entretenir des relations de collaboration étroites

et permanentes avec les entreprises et le monde professionnel de l’Informatique à Madagascar.

La responsabilité de l’Ecole pour cette professionnalisation des formations dispensées implique de :

Suivre les progrès technologiques en informatique (recherche appliquée, veille technologique,

technologie réseau, MultiMedia, internet,…)

Prendre en considération dans les programmes de formation les besoins évolutifs des entreprises et

des autres utilisations effectives et potentielles, de la technologie informatique.

Cependant la professionnalisation ne peut se faire en vase close ; elle exige une « orientation client »

et une « orientation marché». Ces sont les entreprises qui connaissent le mieux leurs besoins en

personnel informatique qualifié. Ces entreprises partenaires collaborent avec l’ENI en présentant des

pistes et des recommandations pour aménager et réactualiser périodiquement les programmes de

formation. Ainsi, dans le cadre de ce partenariat avec les sociétés dans les divers bassins d’emploi

en informatique, l’ENI offre sur le marché de l’emploi des cadres de bon niveau, à jour et directement

opérationnels. L’architecture des programmes pédagogique à l’Ecole s’appuie sur le couple théorique-pratique :

Des enseignements théoriques et pratiques de haut niveau sont dispenses intra-muros.

Des voyages d’études sont effectués par les étudiants en quatrième année.

Des stages d’application et d’insertion professionnelle sont pratiqués en entreprise chaque année par les étudiants au terme de chaque formation académique à l’Ecole.

Les stages effectués en entreprise par les étudiants de l’ENI sont principalement des stages de pré-

embauche. Ces stages pratiques font assurer à l’ENI un taux moyen d’embauche de 97%, six mois

après la sortie de chaque promotion de diplômés.

L’ENI propose plusieurs formations et délivre des diplômes à chaque formation :

Cycle Licence en informatique spécialisé en systèmes et réseaux, puis en génie logiciel et base de

données, aboutissent au diplôme universitaire de licenciés informaticiens.



Cycle de formation d’ingénieurs informaticiens avec des compétences en gestion, systèmes et

réseaux, de niveau Baccalauréat+5 ans.

La formation en DEA en informatique organisée en partenariat avec l’université Paul Sabatier de

Toulouse. Les trois meilleurs étudiants de la promotion effectuent les trava4x de recherche à

Toulouse. Cette formation est un élément de la mise en place progressivement à l’ENI.

Une formation non diplômant en CISCO ACADEMY, soutenue par les Américains, avec certification

CCNA.

Le recrutement d’étudiants à l’ENI se fait chaque année uniquement par voie de concours

d’envergure, excepté celui concernant le « Cisco A Academy» et celui de la DEA, qui font l’objet de

sélection de dossier de candidature.



Chapitre 2 : PRESENTATION DE L’ENTREPRISE

2.1. Sur du Rio Tinto

Rio Tinto est un leader mondial dans le domaine de l’exploitation minière ayant son bureau dans

le Royaume-Uni et combinant Rio Tinto Plc, une société anonyme cotée en bourse à Londres et à

New York, et Rio Tinto Limited, cotée en bourse en Australie. Fortune 500 nous a classés au rang de

dixième entreprise la plus rentable au monde en termes de pourcentage de bénéfices nets sur les

revenus. Par ailleurs Rio Tinto se trouve être la seule compagnie minière parmi les dix entreprises en

tête du classement.

Le groupe est divisé en cinq branches d'activité : l'aluminium, le cuivre, les diamants et autres

minéraux, l'énergie et le minerai de fer. En 2007, il se composait de 80 entreprises établies dans 50

pays, emploient approximativement 103 000 personnes et en 2008, les bénéfices sous-jacents

étaient de 10,3 Milliards de dollars US. Les opérations comprennent des mines, des raffineries, des

fonderies et des installations de recherche…

2.1.1. Historique

Le Nom de la société provient de la rivière Rio Tinto, qui est devenue rouge, en raison d'une

pollution historique (drainage minier acide, causé par l'exploitation très ancienne de mines,

probablement dès l'Antiquité). Hugh Matheson fut le premier président de la société qui a organisé

l'achat des mines de Rio Tinto en Espagne.

La mine à ciel ouvert de Rio Tinto a été l'un des sites d'abord exploité en Espagne par le groupe Rio

Tinto dans les années 1980. La Pyrite a été l'un des principaux produits exploités par les premières

mines de Rio Tinto, non sans dégrader l'environnement.

2.1.2. Poids économique

Ses actifs principaux se trouvent en Australie (minerai de fer, charbon, aluminium), aux États-

Unis (cuivre, charbon), au Canada (aluminium et autres), en Amérique latine et en Afrique du Sud.

En mars 2009, Rio Tinto était réputée être la quatrième société minière au monde, avec un capital

d'environ 34 milliards et le groupe a été répertorié en 2008 par le magazine Fortune à la 263e place

dans le classement mondial des plus grandes entreprises Fortune Global 500[6].

Au Canada, en plus de l'aluminium d'Alcan, l'entreprise contrôle plusieurs mines et usines de métaux

de base. Par exemple, Rio Tinto possède, au Québec, QIT-Fer et Titane qui exploite le plus grand

gisement d'ilménite massive au monde, situé au lac Tito, à 43 kilomètres de Havre-Saint-Pierre sur la

Côte-Nord. À Sorel-Tracy, QIT extrait de ce minerai le dioxyde de titane utilisé comme pigment blanc

(opacifiant) dans les peintures, plastiques, papiers, etc., et comme principale source de titane. Elle

possède également, au Labrador, 59 % dans IOC, la plus importante mine de fer au Canada.

http://fr.wikipedia.org/wiki/Drainage_minier_acide

http://fr.wikipedia.org/wiki/Antiquit%C3%A9

http://fr.wikipedia.org/wiki/Mine_de_Rio_Tinto

http://fr.wikipedia.org/wiki/Pyrite

http://fr.wikipedia.org/wiki/Capital

http://fr.wikipedia.org/wiki/Fortune_Global_500

http://fr.wikipedia.org/wiki/Fortune_Global_500

http://fr.wikipedia.org/wiki/Ilm%C3%A9nite

http://fr.wikipedia.org/w/index.php?title=Lac_Tio&action=edit&redlink=1

http://fr.wikipedia.org/wiki/Havre-Saint-Pierre

http://fr.wikipedia.org/wiki/Dioxyde_de_titane

http://fr.wikipedia.org/wiki/Pigment

http://fr.wikipedia.org/wiki/Labrador

http://fr.wikipedia.org/wiki/IOC



Figure. 2: localisation des opérations du Rio Tinto

2.1.3. Poids financier :

En 2006, Rio Tinto a déclaré un chiffre d'affaires de 22,5 milliards de dollars et des revenus de

8,6 milliards CAD. En 2007, la société a été évaluée à 147 milliards de dollars.

Bien que la société ait une longue histoire de compte d'exploitation positifs, et de bons rendements

pour les investisseurs, et malgré la forte demande en métaux de la part de la Chine, en 2007, le

rachat de la société canadienne Alcan pour 38,1 milliards de dollars a substantiellement endetté le

groupe Rio Tinto.

2.1.4. Importantes fusions et acquisitions :

Comme beaucoup de grandes sociétés minières, le groupe Rio Tinto a grandi à travers des

séries de fusions-acquisitions.

En octobre 2007, Rio Tinto a racheté, pour 38,1 milliards USD, le producteur canadien Alcan. Il est

ainsi devenu le numéro un mondial de l'aluminium devant le russe Rusal et l'américain Alcoa. La

nouvelle entité créée a pris le nom de Rio Tinto Alcan.

En février 2009, Rio Tinto tente d'obtenir la participation financière de Chinalco dans le but de

respecter ses obligations financières, dont le remboursement de 9 milliards USD de dettes vers la fin

de l'année 2009. Elle a vendu des actifs à Vale pour améliorer sa situation financière. De plus, elle a

annoncé la mise à pied de 14 000 employés pendant l'année 2009. Le 12 février 2009, Chinalco a

décidé d'investir 19,5 milliards USD dans Rio Tinto. En juin 2009, Rio Tinto a préféré obtenir du

financement auprès du marché public, tout en signant un partenariat avec BHP Billiton, délaissant

Chinalco dans le processus. Des journalistes spécialisés spéculent que le gouvernement chinois

exerce des représailles à l'encontre de Rio Tinto pour l'inciter à accepter une prise de contrôle par

Chinalco.

http://fr.wikipedia.org/wiki/Chiffre_d%27affaires

http://fr.wikipedia.org/wiki/Dollar_canadien

http://fr.wikipedia.org/wiki/Rio_Tinto_Alcan

http://fr.wikipedia.org/wiki/Dollar_am%C3%A9ricain

http://fr.wikipedia.org/wiki/Alcan

http://fr.wikipedia.org/wiki/Rusal

http://fr.wikipedia.org/wiki/Alcoa

http://fr.wikipedia.org/wiki/Rio_Tinto_Alcan

http://fr.wikipedia.org/wiki/Chinalco

http://fr.wikipedia.org/wiki/Dollar_am%C3%A9ricain

http://fr.wikipedia.org/wiki/Vale_(entreprise)

http://fr.wikipedia.org/wiki/BHP_Billiton



En août 2010, une nouvelle société, Alcan EP, est créée, regroupant l'activité produits usinés, c'est-

à-dire les anciennes activités de Pechiney dans les produits usinés en aluminium pour l'aéronautique

civile et militaire, l'automobile, la construction ferroviaire ou l'industrie.

Début 2011, 51 % d'Alcan EP sont cédés à un fonds d'investissement américain, Apollo, et 10 % sont

cédés au fonds souverain français, le Fonds Stratégique d'Investissement. Rio Tinto Alcan conserve

le solde du capital, soit 39 %. Alcan EP compte 70 sites et 11 000 salariés dans le monde, dont 5000

en France. Alcan EP a vocation à revenir en Bourse.

2.2. Sur du QMM

QMM est divisé en 12 départements, tous sous la direction du Président général : Ny Fanja

RAKOTOMALALA :

Directeur des Ressources Humaines

Directeur de la Communication et des affaires gouvernementales

Directeur Environnement

Directeur des Relations Communautaires et Développement Durable

Directeur Financier et Contrôleur intérim

Directeur du Port d'Ehoala

Service Delivery Manager

Compliance Manger

Directeur Général des Opérations

Directeur SPH

Responsable Juridique

Directeur de la Sécurité

QIT Madagascar Minérales est une société minière membre du Groupe Rio Tinto. Nous exploitons

des gisements d’ilménite dans la région Anosy dont les 75 millions de tonnes de réserves nous

assurent plus de 40 ans de production.

2.2.1. Historique :

QMM SA est née en 1986 après la signature du Joint-venture entre l’OMNIS et QIT Fer et

Titane Inc. C’est donc une société de coparticipation qui a été constituée en vue de prospecter la

Côte Est de Madagascar pour la recherche de sables minéralisés.

De 1986 à 1988, la société a commencé à effectuer des recherches géologiques, qui ont abouti à la

découverte d’un gisement de minerai d’une valeur économique potentielle près de Fort-Dauphin dans

le Sud-est de Madagascar.

http://fr.wikipedia.org/wiki/2010

http://fr.wikipedia.org/wiki/Pechiney

http://fr.wikipedia.org/wiki/A%C3%A9ronautique

http://fr.wikipedia.org/wiki/Automobile

http://fr.wikipedia.org/wiki/Mat%C3%A9riel_roulant_ferroviaire

http://fr.wikipedia.org/wiki/Industrie

http://fr.wikipedia.org/wiki/2011

http://fr.wikipedia.org/wiki/Fonds_d%27investissement

http://fr.wikipedia.org/wiki/Apollo

http://fr.wikipedia.org/wiki/Fonds_strat%C3%A9gique_d%27investissement



Figure 3 : Localisation des opérations du QMM à Fort-Dauphin

De 1988 à 1992, la société est entrée dans PHASE I, c’est-à-dire aux études sociales et

environnementales, suivi d’une négociation de l’entente juridique et fiscale.

Un processus de consultation publique au niveau régional, national et international permet d’informer

et de consulter la population sur l’orientation et l’évolution des travaux afin de déterminer ses

préoccupations et attentes dans la conception du projet minier et des infrastructures publiques

associés dans un cadre de développement régional a été lancée. Les résultats ont servi à

l’établissement des termes de références des études sociales et environnementales PHASE II, d’une

durée de deux ans, dans le cadre de la MECIE.

La décision d’Investissement a été annoncée officiellement le 04 Août 2005 par le Premier ministre

Jacques Sylla, les représentants de Rio Tinto, ainsi que les représentants de l’OMNIS, venu en

personne sur les lieux.

QMM débutera donc les travaux de constructions : routes, port, usines et autres infrastructures d’une

durée de trois (03) ans, au premier trimestre de l’an 2006 et l’exploitation en l’an 2008.

2.2.2 Localisation

La côte QIT Madagascar Minerals (QMM), détenue à hauteur de 80% par Rio Tinto et de 20%

par l’Etat malgache, a mis en chantier une opération d’extraction de sables minéralisés près de Fort

Dauphin à l’extrémité sud-est de Madagascar. Au cours des 40 années à venir, QMM prévoit extraire

de l'ilménite et du zircon à partir des sables minéraux lourds sur une zone d'environ 6000 hectares le

long.



2.2.3 Exploitation minière

Le principal domaine d’activité de la société QMM est l’exploitation de l’ilménite. L'activité

minière actuelle est localisée au site de Mandena sur 2000 ha, au nord de Fort-Dauphin. La

production de ce site augmentera pour atteindre éventuellement 750.000 tonnes par an. Les phases

ultérieures se dérouleront à Sainte Luce et Petriky. Les activités principales liées à l’exploitation minière des sables minéraux de QMM sont :

Enlèvement de la couverture végétale et stockage de la couche d'humus le cas échéant ;

Extraction du sable, jusqu'à 20 mètres de profondeur, à l'aide d'une drague flottante ;

Séparation mécanique des minerais lourds (5%) au moyen de spirales, et le sable siliceux résiduel (95%) sera retournée dans le gisement en vue des opérations de réhabilitation futures ;

Séparation de l'ilménite et du zircon des autres minerais lourds en utilisant des procédés magnétiques et électrostatiques ;

Acheminement par camion de l'ilménite et du zircon sur environ 15 km par une nouvelle route de desserte vers le port.

L'ilménite extraite dans la région de fort-dauphin a une teneur en TiO2 de 60%, ce qui lui confère une

qualité supérieure à celle de la plupart des autres gisements dans le monde.

La matière première sera enrichie pour produire de nouvelles scories à 90% de chlorure de dioxyde

de titane destinées aux marchés globaux de matières premières de titane pour être vendues comme

matière de base aux producteurs de pigment de titane. Le pigment confère une couleur de finition

blanche aux peintures, plastiques, papiers et teintures.

2.2.4 Education

L’appui de Rio Tinto QMM au secteur de l’Education dans l’Anosy a débuté dès son

implantation en tant que Projet dans la Région. La société se positionnait déjà en ces temps-là

comme un partenaire du développement. C’est pourquoi les appuis se basaient généralement sur les

priorités identifiées par les plans de développement des communes rurales environnantes :

construction et réhabilitation d’établissements scolaires.

Un projet d’éducation pour ces enfants et jeunes déscolarisés ou analphabètes a été élaboré. Des

partenariats avec le PNUD (qui œuvre déjà dans le domaine de l’éducation des enfants

déscolarisés), la direction régionale de l’éducation nationale (pour valider officiellement les certificats

délivrés aux élèves) et l’ONG Cielo Terra (qui a les compétences nécessaires pour promouvoir et

mettre en œuvre le projet d’éducation) ont été conclus pour mener à bien le projet.



Chapitre 3 : DESCRIPTION DU PROJET

Le projet tel qu’il m’a été présenté lors de ma première réunion avec l’administrateur réseau du

Rio Tinto QMM et le chef de service infrastructure IS&T qui est mon encadreur professionnel,

consistait l’implémentation d’infrastructure d’active directory et d’authentification sécurisé ainsi que la

supervision du système et réseau.

La chronologie du projet devait s’articuler autour de quatre axes :

Installation et configuration de Samba 4 et Winbind

Installation et configuration du serveur FreeRADIUS et couplage avec Winbind.

Mise en place d’outil de surveillance système et réseau avec Zabbix;

Installation et configuration de Zabbix ;

Ajout du matériel et serveur à surveiller ;

Teste du service sur le réseau de l’entreprise ;

Active Directory Domaine Contrôleur ;

Authentification du client FreeRadius et l’utilisateur.

Mise en œuvre du projet sur le réseau GEUST de l’entreprise.

3.1. Objectif et besoins de l’entreprise

Mon projet au sein de l’entreprise est de mettre un serveur pour contrôler la machine et

l’utilisateur ainsi que les matériels connecté dans le réseau, j’ai décidé donc de mettre en place un

serveur d’active directory pour centralisé l’authentification du client précisément l’employer du QMM

et leur invité, en suite, une méthode sécurisé pour s’authentifier aux point d’accès du réseau sans fil

et à fin, surveiller tous les serveurs, les routeurs, et les matériels connecté au sein du réseau QMM,

cela est a pour objectif de sécuriser l’accès au réseau QMM pour mieux contrôler l’utilisateur et

l’activité de l’entreprise.

Les objectifs de ce projet pour l’entreprise sont les suivants :

Installation et configuration du serveur Samba 4 comme Active Directory Domain Controler

Teste de connexion de la machine Windows 7 sur le serveur AD DC

Installation de l’outil d’administration de serveur à distance

Installation de Winbind

Installation du serveur FreeRADIUS

Configuration du Client FreeRADIUS

Configuration de l’autorisation de client FreeRADIUS

Configuration de l’authentification de l’utilisateur du réseau sans fil avec Winbind

Configuration de routeur pour s’authentifier au près du serveur FreeRADIUS

Configuration de l’AP pour utiliser le serveur FreeRADIUS

Installation et configuration du serveur Zabbix

Ajout des matériels à surveiller sur Zabbix

Teste Final pour la mise en œuvre

Mise en œuvre du projet au sein de l’entreprise



3.2. Moyens nécessaires à la réalisation du projet

3.2.1. Moyen humain

Un administrateur réseau du QMM qui va m’accompagner pour le teste de mise en œuvre

final chaque soir et deux stagiaire pour le client de teste et le chef de service infrastructure pour

superviser et accordé le teste demander.

3.2.2. Moyen matériel et financier

Pour réaliser le travail, l’entreprise a donné de matériel nécessaire pour la documentation et la

mise en œuvre du projet :

Un ordinateur de bureau, pour la documentation et l’analyse du trafic réseau

RAM : 4Go

CPU : 2,7 GHz

HDD : 80 Go

Fabricant : DELL Un serveur, pour la mise en œuvre

CPU X5355 @ 2.66GHz Un point d’accès sans fil, pour le teste d’authentification

Fabricant : Cisco System, Inc.

Version : Cisco Aironet 1200 serie Un switch, pour la mise en œuvre

Fabricant : Cisco System, Inc.

Version : Cisco 3500 EX

3.3. Résultats attendus

Voici le résultat que l’entreprise a besoin au final de ce projet :

Toutes les machines connectée au réseau Guest du QMM doit s’authentifier sur le contrôleur du

domaine ; du même mot de passe, il peut s’authentifier sur le point d’accès sans fil. Du côté de

l’administrateur, l’Administrateur peut surveiller la bande passante du routeur, le switch ainsi que le

point d’accès.



Chapitre 4 : ANALYSE PREALABLE

4.1. Analyse de l’existant et besoin de l’entreprise

Une bonne compréhension de l'environnement informatique aide à déterminer la portée du

projet d'implémentation des solutions.

La phase d'analyse permet de lister les résultats attendus, en termes de fonctionnalités, de

performance, de robustesse, de maintenance, de sécurité, d'extensibilité, etc.

La phase de conception permet de décrire de manière non ambiguë, le plus souvent en utilisant un

langage de modélisation, le fonctionnement futur du système, afin d'en faciliter la réalisation.

Il sera nécessaire de réaliser une analyse de l’existant avant de passer à la phase de conception.

Le réseau QMM Guest a la même topologie du réseau Rio Tinto Corp, la différence est le réseau

Corp se connecte vers RioNet mondial et le réseau QMM Guest se connecte via le FAI TELMA.

4.1.1. Topologie réseau

Figure 4 : Topologie de réseau du Rio Tinto QMM

4.1.2. Type du réseau

Pour savoir le réseau est mieux comprendre la topologie du réseau, il est nécessaires de savoir la

différente type du réseau existe pour l’analyse de l’existant. Il permet de connaitre le réseau utilisé

comme le LAN, WAN, Wi Max, la vitesse et surtout la protection.



Les tableaux ci-dessous montrent le type du réseau Rio Tinto QMM :

Type Vitesse Protection

LAN 100 Mbs Authentification AD DC (Corp)

Wireless LAN Guest : 54 Mbs

RTCorp :

Guest : WPA

RTCorp : Auth Radius

WiMax 100 Mbs Réseau privée

Fibre Optique 1Go/s Auth Radius (Corp)

Le tableau ci-dessous montre que l’accès aux réseaux de Rio Tinto sont fortement protégé

mais ce n’est pas le cas pour le Guest. Pour connecter au réseau LAN, il faut ouvrir la machine à un

compte Rio Tinto qui a été créé à l’étranger et c’est la même pour le WLAN Rio Tinto (RTCorp). Le

Wi Max sert pour la liaison entre les sites et il est protégé par son configuration et du mot de passe.

La fibre optique sert à lier entre deux switch pour supporter VLAN/VTP et la connexion du port PCC

est assuré par la liaison fibre optique.

connexion Technologie Fonctionnement

TELMA LINK Wi Max LLI

TELMA LINK Wi Max Point to Point

Satellite WWAN Backup

4.1.3. Equipements d’interconnexions

Un réseau informatique est un ensemble d’équipements interconnectés entre eux pour

échanger des informations. Pour interconnecter des équipements, nous avons besoins d’autres

équipements nommés équipements d’interconnexion, d’où leur importance dans l’analyse d’un

environnement informatique.

Désignation Constructeur Model Nombre

Switch Cisco System, Inc. Catalyst 3560 serie 4

Switch Cisco System, Inc. Catalyst 3750 serie 15

Switch Cisco System, Inc. Catalyst 2960 10

Switch Cisco System, Inc. Catalyst 4506-E 16

Point d’Accès Cisco System, Inc. Aironet 1200 serie 3



Wi Max Alvarion et Tsunami BreezeMax VCL

Satellite Non connu



Ces serveurs se situent dans le local technique et sont très bien climatisés et bien arrangés, ils

ont aucun risques.

Toutefois les matériels utilisés, même si on peut dire qu’ils sont puissants ne sont plus appropriés au

temps modernes car leur date de fabrication remonte déjà à très longtemps, et ils sont déjà très

vieux.

4.1.4. Postes de travail

Rio Tinto possède six sites actives jusqu’ à maintenant et se repartie en plusieurs départements

pour fonctionner la production. Tous les sites disposent 600 des postes sans comptée pour les

invitées et le machine personnels, reparties du département finances, les ressources humaines,

science, mines, port Ehoala, ISOS, ….

Les postes sont utilisées par les employeurs pour faire leurs travails et les invitées en de visites sur

les sites.

Voici donc les caractéristiques de l’ordinateur utilisées aux seins de l’entreprise, ce tableau montre le

nombre de l’ordinateur, les caractéristiques, le logiciel de base utilisé par l’ordinateur, emplacement

et la méthode pour s’authentifier au machine.

Nombres caractéristiques Système

d’exploitation

Méthode

d’authentification Emplacement Nombre sur chaque site

600 PC

CPU : 2.7 GHz

HDD : 80 Go

RAM : 4 Gb

Windows XP AD DC Cnaps 25

Windows 7 AD DC Mandena 528

Windows 7 AD DC Port Ehoala 10

Windows 7 AD DC ISOS 12

Windows 7 ADDC WetPlant 25

D’après ce tableau, les ordinateurs de bureau sont tous authentifier sur le serveur Active Directory

Domain contrôleur du RIO TINTO, et la performance de l’ordinateur est en bonne qualités, mais sur le

réseau QMM, il n’est pas encore contrôler par un serveur d’active directory et le responsable veulent

implémenter ce service au sein de l’entreprise.

4.1.5. Serveurs

Par définition, Un serveur est un dispositif informatique matériel ou logiciel qui offre des services à

des clients comme la sauvegarde de données, accès aux informations, le courrier électronique, le

partage de données ou imprimante, etc.

Ils existent 2 types de serveur qui tourne au sein de l’entreprise QMM : serveurs virtuels et serveurs

Physiques.



Ce tableau ci-dessous présente la liste des serveurs au sein de l’entreprise QMM :

Désignation Caractéristiques Système

d’exploitation

Service Authentification

Intel(R) Xeon(R) CPU X5355 @

2.66GHz

Windows 2003 Serveur de fichier Système de fichier


2.66GHz

Windows 2003 Serveur DHCP Système de fichier

(3) Intel(R)

Xeon(R)

CPU X5355 @

2.66GHz

Windows 2003 Serveur contrôleur

de domaine

Système de fichier


2.66GHz

Windows 2008 Serveur NPS Système de fichier

(4) Intel(R)

Xeon(R)

CPU X5355 @

2.66GHz

Windows 2008 2003 Serveur de bases des

données

Système de fichier

(14) Intel(R)

Xeon(R)

CPU X5355 @ 2.66GHz Windows 2003 2008 Serveur

d’application

Système de fichier

Intel(R) Xeon(R) CPU X5355 @ 2.66GHz Windows 2008 Serveur de

Terminale serveur

Système de fichier

ntel(R) Xeon(R) CPU X5355 @ 2.66GHz Windows 2008 Serveur Mail Système de fichier

Intel(R) Xeon(R) CPU X5355 @ 2.66GHz Windows 2003 Serveur SMS Système de fichier

Ces serveurs se situent dans le local technique et sont très bien climatisés et bien arrangés, ils ont

aucun risques.

Toutefois les matériels utilisés, même si on peut dire qu’ils sont puissants ne sont plus appropriés au

temps modernes car leur date de fabrication remonte déjà à très longtemps, et ils sont déjà très

vieux.

4.1.6. Gateway ou Passerelle

Rio Tinto QMM Fort-dauphin est considéré comme l’un du site Rio Tinto mondiaux, tous les sites

du Rio Tinto mondiaux sont connectés en permanence entre eux à l’aide du Liaison Louée

Internationale.

Pour Rio Tinto QMM, cette liaison est assurée par Telma en passant par le back-bonne (MSP Tower

Mandena), jusque-là, la liaison est contrôler par Telma en plaçant de routeur Broadband qui passe

par le switch du Rio Tinto qui joue ici le rôle d’un router et le Satellite du Rio Tinto joue un rôle comme

backup en cas du panne du réseau TELMA.

Dans notre analyse, nous n’avons pas collectée des informations à propos de la passerelle car cette

information est à l’étranger, sa fonctionnement est aussi ignorer par l’administrateur réseau à

Madagascar.



4.1.7. Partage

Les partages de données sont nécessaires pour les entreprises comme celui-ci ; mais par contre,

il n’en est pas encore de serveur de partage comme NAS et NFS par exemple.

Au lieu de créer un serveur de partage, ils ont décidé de mettre en permanence un ordinateur

desktop à 1To de disque dur pour faire le partage de données.

En effet, ce partage est géré par l’administrateur et limite l’accès à la donnée confidentielle.

4.1.8. Routage

Le réseau local de l’entreprise utilise un routage dynamique vu l’étendue du réseau qui est très

vaste.

Le routage sur le réseau de l’entreprise est varié selon la grandeur du sous réseau ; mais

principalement, le protocole de routage très utilisée est OSPF et BGP.

Notre analyse est limitée à cause de l’information qui n’est pas présente qu’à l’étranger, alors le

routage vers internet est n’est pas reconnu.

4.1.9. Disponibilité

Pour connaitre l’architecture et le bon fonctionnement du réseau, c’est très utile de savoir les

disponibilités des choses qui tournent à l’intérieur du réseau. Voici quelques points importants pour pouvoir évaluer la disponibilité du réseau de Rio Tinto QMM :

Les Applications : les applications marchent toute les jours de toute la semaine 24h sur 24 et 7 jours sur 7, la coupure de courant est très rare, chaque pilonne possède un générateur de courant en cas de coupure de courant et activer automatiquement.

Les serveurs sont tout le temps disponibles sauf en cas de maintenance des services ou en cas de panne matériel qui est très rare jusqu’à présent.

Les données : les bases de données sont utilisées par des applications ou des logiciels de l’entreprise en marche, que ce soit les plateformes numériques ou bien d’autre.

Les ressources matérielles : les ressources matérielles des machines ou plutôt des serveurs sont supérieurs, c’est-à-dire tous les matériels sont en haute performance pour le bon fonctionnement des services simultanément présente sur les ordinateurs et les serveurs.

Internet : en ce qui concerne la connexion internet ou la bande passante, la connexion est stable de 14Mb/s download et 2Mb/s upload. On peut constater que ce débit de connexion est déjà considérable.

Politique de sauvegarde : Tous le serveur du Rio Tinto possèdent des disques de sauvegarde par jour de la semaine, par semaine du mois et par mois de l’année.

4.1.10. Surveillance

Tous sont surveillés sur l’entreprise comme le switch, le routeur, la machine Corp., l’imprimante,

les serveurs et même chaque bâtiments mais la surveillance est lieu à l’étranger aussi sauf les

bâtiments par la caméra de surveillance, tout ça est sur e réseau du RIO TINTO (CORP) mais le

réseau du QMM comme il est un accès internet seulement, le réseau n’est pas surveiller.



4.1.11. Analyse du trafic réseau

Analyse de trafic DNS

Analyse de trafic http

4.1.12. Analyse du besoin de l’entreprise

4.2. Fonctionnement du réseau de QMM

Depuis le fournisseur d’accès internet TELMA, le réseau GUEST du QMM est liée seulement au

router et passé au switch de l’entreprise en fin de pouvoir utiliser par le client de l’entreprise.

Voici une topologie résumant le fonctionnement du réseau GUEST sans passé au site :

Figure 5 : Topologie de la fonction de réseau depuis TELMA jusqu’au MSP Tower

4.3. Critiques du fonctionnement réseau

4.3.1. Critique de l'existant et spécification des besoins

L'étude du réseau Guest a permis de définir un nombre importants de contraintes pouvant réduire ses

performances voir sa dégradation.

Le réseau Guest n’est pas sécuriser depuis l’extérieur et aussi à l’intérieur, l’utilisation du réseau n’est

pas contrôler, aucun audit n’a pas été fait et la qualité du service que le réseau fournit est faible.



Spécification des besoins

L’entreprise a besoin beaucoup de service qu’il doit implémenter dans son réseau mais d’après

mon analyse, tous le service important pour son réseau est prioritaire comme la sécurité depuis la

connexion externe et interne, un contrôleur de domaine et la surveillance de tous les systèmes et le

réseau ; ensuite, je spécifie que après l’implémentation de ces service très important, l’entreprise

peut produire toutes les services nécessaire comme http, ftp, rpc, mail …

Besoins fonctionnels

Car QMM est dans une réduction du coût pour la gestion d’économie, l’administrateur a spécifiée

que tous les services qui va implémenter ne doit pas bénéficier aucun coût ni aucun perte de matériel

utiliser, je suis obligé alors d’utiliser les matériels qui existent déjà dans la société et choisir la solution

open source pour réaliser le projet que j’ai proposé tel que le contrôleur de domaine et la

surveillance système et réseau car la sécurité du réseau a déjà donner à un autre stagiaire.

Chapitre 5 : PROPOSITION DES SOLUTIONS

5.1. Compte tenu de l’analyse de l’existant

D’après l’analyse de l’existant c’est que j’ai affecté : beaucoup de postes disponibles sur le réseau

Guest, la connexion Guest recouvre tous les sites du QMM, selon les besoin de l’entreprise, j’ai

proposé de mise en place d’active directory pour contrôler les machines sur le réseau, j’ai proposé

aussi de mettre en place un serveur d’authentification sécurisé sur point d’accès wifi et de mettre en

place un outil de surveillance. Donc, le réseau Guest du QMM ne fournit uniquement un accès direct

sur internet sans contrôleur et sans surveillance mais il est le vrai besoin de l’entreprise actuelle.

5.2. Compte tenu de l’analyse du trafic



Chapitre 6 : CHOIX DE L’OUTIL ET CAHIER DE CHARGE

6.1. Comparaison des outils disponibles

6.1.1. Comparaison des outils disponibles sur l’Active Directory

Active Directory centralise toutes les informations et la gestion du réseau, des utilisateurs, des

ordinateurs, des imprimantes, des téléphones mobiles ou encore des applications. Il constitue la clé

de voûte de toute l’architecture informatique de l’entreprise et a pour vocation de permettre à un

utilisateur de trouver et d’accéder à n’importe quelle ressource qui doit être mise à sa disposition.

Active Directory Avantages Inconvénients

Samba 4 La simplicité de mise en œuvre.

Linux et Samba sont gratuits, donc pas d'investissement en logiciel côté serveur.

Samba supporte le protocole SMB/CIFS qui permet aux systèmes d'accéder aux ressources des systèmes Microsoft et inversement.

Samba est impossible de faire tourner des exécutables Microsoft sur un serveur Linux. Cela signifie que si le serveur de l'entreprise fait à la fois office de serveur de fichiers et de serveur d'applications, la solution Linux/Samba est inadapté.

Microsoft Active Directory

6.1.2. Comparaison des outils disponibles sur l’Authentification et Autorisation

Selon la taille d’environnement, les différentes méthodes d'autorisation d'accès aux comptes

administrateur présentent chacune des avantages et des inconvénients qui vont orienter les choix.

Tableau montrant le comparatif du serveur d’authentification Type Avantages Inconvénients

FreeRadius

TACACS+

IAS



6.1.3. Comparaison des outils disponibles sur la surveillance réseau

La désignation de l’outil de supervision est précédé par une définition des besoins de l’entreprise

qui se base sur sa taille et le niveau de qualité de service voulu, mais aussi une comparaison de

plusieurs outils grâce à des recherches (articles WEB, commentaires d’utilisateurs ou de « testeurs »)

qui permettent de faire ressortir les + et les – des différentes solutions.

Tableau comparatif des outils de supervision Outil de supervision Avantages Inconvénients

Zabbix Installation facile

Génération facile de graphs

Très bien documenté

Monitoring en temps réel

gestion des événements.

Slide shows, export/import en XML

Client Zabbix obligatoire sur chaque machine

Limité au Ping si pas de client

Configuration sur le Switch compliqué

Nagios Grosse communauté

Puissant

Dispose de nombreux plugins qui complètent les fonctionnalités manquantes, l'interface graphique et les outils proposés.

Installation et configuration difficile

Bien documenté

Manque de convivialité

Difficile à prendre en main

Zenoss Installation facile

Configuration facile

Graphes automatiques

Cartes graphiques des réseaux (générée automatiquement)

Demande énormément de ressource

Version comportant, plus d’options payantes

Cacti

Monitorix

MRTG



6.2. Choix de l’outil par rapport aux disponibles

6.2.1. Choix du Debian

Voici quelques avantages de l'utilisation de Debian:

Contrôle de la qualité remarquable

Très stable et sans bogue

Support large de l'architecture

Tous les serveurs utilisés sont sur Debian Jessie (Debian 8).

6.2.2. Choix du Samba 4

Samba 4 prend en charge d’une manière transparente des domaines Active Directory, en

implémentant en natif les protocoles tels que LDAP, Kerberos, RPC et SMB 3. En fait, Samba 4 est

l’Active Directory, qui est composé des protocoles : LDAP, Kerberos et DNS. L’Active Directory

permet aux administrateurs système Windows de gérer en toute sécurité les objets d'annuaire d'une

infrastructure de base de données évolutive et centralisée. Les objets (utilisateurs, systèmes,

groupes, imprimantes, applications) sont stockées selon une hiérarchie composée de nœuds,

d’arbres, de forêts et domaines.

C’est pour ces raisons qu’on a choisi Samba 4 car il est un Active Directory mais en licence

gratuit et libre.

6.2.3. Choix du FreeRadius

RADIUS est un serveur de type AAA, c’est-à-dire qu’il se fait en trois étapes :

Authentification : savoir qui parle au serveur RADIUS.

Autorisation : savoir quelles autorisations sont accordées à l’utilisateur.

Accounting : savoir ce que l’utilisateur fait. Savoir combien de temps l’utilisateur reste connecté au système pour assurer à la fois la journalisation des accès et la facturation.

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base

d'identification (fichier local, base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS

(Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. Le mot de

passe servant à authentifier les transactions entre le client RADIUS et le serveur RADIUS est chiffré

et authentifié grâce à un secret partagé. Il est à noter que le serveur RADIUS peut faire office de

proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS.

Dans ce projet, le choix s'est porté sur FreeRadius. FreeRadius est un serveur RADIUS libre

open source. Il offre une alternative aux autres serveurs d'entreprise RADIUS, et est un des serveurs

RADIUS les plus modulaires et riches en fonctionnalités disponibles aujourd'hui.



6.2.4. Choix du Zabbix

Grâce à ses nombreuses sondes et connecteurs, il surveille des paramètres et déclenche des

alertes, voire des actions correctives (en mode automatique, si souhaité). Les sondes sont

extensibles afin de prendre en charge des applications spécifiques.

Simple à utiliser, son interface d'administration et d'exploitation est entièrement webisée et permet

ainsi à tout public d'en tirer rapidement parti, offrant moyen de livrer rapidement une vue synthétique

sur l'état et l'emploi des éléments supervisés à des populations ignorant tout de la technique, sous

forme de tableaux de bords conviviaux couvrant les besoins de reporting technique et contractuel

(Service Level Agreement - SLA).

ZABBIX est à comparer à des outils Open Source (Nagios, RDDTools, Munin...) et à des produits

propriétaires (BMC Patrol, HP Open View, ...), il est simple, riche, souple et efficace.

6.3. Présentation des outils disponibles

6.3.1. Samba 4

La branche 3 de Samba peut assurer la fonction de contrôleur de domaine type NT, Samba

4.0 implémente la partie serveur de l'environnement Active Directory utilisé par Windows 2000 et les

versions suivantes ; en plus, Samba 4 utilise LDAP comme base de donné pure.

Il est donc maintenant possible de joindre un domaine Samba 4 avec toute version de

Windows à partir de Windows NT4, et de profiter des fonctionnalités de l'Active Directory

correspondantes.

Afin de fournir un ensemble pleinement compatible, cette version inclut sa propre implémentation de

serveur LDAP, un serveur Kerberos, un serveur DNS, un serveur RPC, un serveur NTP ainsi qu'un

serveur de fichiers basé sur Samba 3.

L'ensemble fonctionne sous un seul service nommé samba.

Il est donc possible d'utiliser Samba 4 pour mettre à disposition des clients Windows, entre autres,

des profils itinérants ou des stratégies de groupes.

6.3.2. Free Radius

Origines

Radius avait tout d’abord pour objet de répondre aux problèmes d’authentification

pour des accès distants, par liaison téléphonique, vers les réseaux des fournisseurs

d’accès ou des entreprises. C’est de là qu’il tient son nom qui signifie Remote Access

Dial In User Service. Au fil du temps, il a été enrichi et on peut envisager aujourd’hui

de l’utiliser pour authentifier les postes de travail sur les réseaux locaux, qu’ils soient

filaires ou sans fil.

http://librechoix.org/wiki/Munin

http://fr.wikipedia.org/wiki/Remote_procedure_call

http://wiki.samba.org/index.php/Samba4/HOWTO#Setting_Up_Roaming_Profiles



Présentation

RADIUS (Remote Authentification Dial In User Service) est un protocole d'authentification

client/serveur habituellement utilisé pour l'accès à distance, défini par la RFC 2865. Ce protocole

permet de sécuriser les réseaux contre des accès à distance non autorisés. Ce protocole est

indépendant du type de support utilisé. Le protocole Radius repose principalement sur un serveur

(serveur Radius), relié a une base d’identification (fichier local, base de données, annuaire LDAP,

etc.) et un client Radius, appelé NAS (Network Access Server), faisant office d’intermédiaire entre

l’utilisateur final et le serveur. Le mot de passe servant à authentifier les transactions entre le client

Radius et le serveur Radius est chiffré et authentifier grâce a un secret partagé. Il est à noter que le

serveur Radius peut faire office de proxy, c’est-à-dire transmettre les requêtes du client a d’autres

serveurs Radius.

Concept du Protocol AAA

AAA signifie Authentication, Authorization, Accounting, soit authentification, autorisation et compte.

La signification de ces termes est la suivante :

Authentication : l’authentification consiste à vérifier qu’une personne/équipement est bien celle qu’elle prétend être. Ceci est généralement réalisé en utilisant un secret partagé entre l’utilisateur et le serveur mère AAA ou à l’aide de certificats (exemple X.509).

Authorization : l’autorisation consiste à permettre l’accès à certains services ou ressources. Un utilisateur peut par exemple demander à avoir une certaine bande passante. Le serveur AAA lui autorisera ou non cette demande.

Accounting: le serveur AAA a la possibilité de collecter des informations sur l’utilisation des ressources. Ceci permet à un opérateur de facturer un utilisateur suivant sa consommation.

En pratique, une architecture client-serveur AAA permet de rendre l’ensemble de ces services. Les

serveurs AAA dans les domaines mère et visité permettent de gérer les utilisateurs. Les clients AAA

sont hébergés sur des routeurs ou sur des serveurs d’accès au réseau.

Principe de fonctionnement

Le fonctionnement de Radius est basé sur un scénario proche de celui-ci :

Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

Le NAS achemine la demande au serveur Radius ;

Le serveur Radius consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur Radius retourne ainsi une des quatre réponses suivantes :

ACCEPT : l'identification a réussi ;



REJECT : l'identification a échoué ;

CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

CHANGE PASSWORD : le serveur Radius demande à l’utilisateur un nouveau mot de passe.

Suite à cette phase d’authentification débute une phase d’autorisation ou le serveur retourne

les autorisations aux utilisateurs.

Tableau du Protocol Radius Protocol UDP port 1812 : authentification/autorisation

UDP port 1813 : gestion des comptes

Chiffrement Chiffrement du mot de passe à l’aide du

secret partagé

Architecture Autorisations liées à l’authentification

Emission du profile Profile global envoyé au NAS à la fin de

l’authentification

Protocol non supportés ARA et NetBEUI (NetBIOS Extended User

Interface)

Challenge/réponse Unidirectionnelle

Tableau : Protocol Radius



Fonctionnement détaillé

Figure 6 : Méthode d’authentification utilisée par FreeRADIUS.

6.3.3. Zabbix

6.4. Définition du cahier des charges



Chapitre 7 : REALISATION

7.1. Réalisation du service d’authentification

7.1.1. Préparation de l’installation du Samba 4

Samba 4 est livrée avec :

Un annuaire LDAP Active Directory ;

Un serveur d’authentification Kerberos KDC ;

Un serveur DNS dynamique sécurisé ;

Le support de la version 3.0 du Protocol SMB ;

Un serveur RPC (Remote Procedure Call) ;

La prise en charge des GPO ;

Le support de Winbind

Le support de configuration via le service RSAT depuis un client Windows ;

L’administration du domaine en ligne de commande se fait grâce à l’utilitaire samba-tool.

Tous les services fonctionnent sous un seul processus nommé samba.

Tous d’abord, la configuration de l’interface réseau en IP statique est nécessaire, l’adresse IP du

serveur est 192.168.10.254/24 pour le contrôleur de domaine, srvaddc pour le nom de la machine et

QMM.NET pour le nom de domaine. Tous les paquets suivants sont nécessaires pour le bon fonctionnement du Samba 4 et On peut tous les installer en une fois : root@srvaddc:~#apt-get install build-essential libacl1-dev libattr1-dev \

libblkid-dev libgnutls28-dev libreadline-dev python-dev libpam0g-dev \

python-dnspython gdb pkg-config libpopt-dev libldap2-dev \

dnsutils libbsd-dev attr krb5-user docbook-xls libcups2-dev

apt-get install krb5-user pour disposer des outils kinit et klist. On va utiliser ces outils après l’installation.

Configuration d’interface pour une adresse IP static

Modification du fichier /etc/network/interfaces.

On doit changer iface eth1 inet dhcp en iface eth1 inet static. auto eth1

iface eth1 inet static

address 192.168.10.254

netmask 255.255.255.0

network 192.168.10.0

broadcast 192.168.10.255

dns-nameservers 192.168.10.254 41.188.60.130

dns-search qmm.mg

Configuration du fichier /etc/hostname



srvaddc

Configuration du fichier /etc/hosts 127.0.0.1 localhost

192.168.10.254 srvaddc.qmm.net srvaddc

Pour appliquer le changement du nom de la machine et l’interface réseau, il faut redémarrer le

service hostname et network. root@srvaddc:~#/etc/init.d/hostname.sh restart

root@srvaddc:~#/etc/init.d/networking restart

Configuration du montage du système de fichier pour le partage du dossier.

On a besoin d’un système de fichier qui prend en charge les ACL et les attributs étendus.

Modification du fichier /etc/fstab /dev/sda1 / ext4 defaults,user_xattr,acl,barrier=1 1 1

Puis, on monte le disque pour qu’il prend en charge par le ACL

root@srvaddc:~#mount / -o remount,acl,user_xattr,barrier=1

Après cette dernière commande, on doit redémarrer le serveur pour que ce soit tout de suite pris en

compte.

L’option barrier=1 garantit que les transactions tbd (Tide Data Base) sont protégées contre les

pertes de courants inattendues.

Mise à jour du système

root@srvaddc:~#apt-get update

7.1.2. Installation du Samba 4 et Winbind

Avec Samba3, il fallait configurer une machine indépendante, installer Kerberos, la connecter

à l'AD, configurer Winbind, puis installer Freeradius avec le module ntlm_auth. Tout ça parce que

Winbind ne pouvait pas fonctionner directement sur le DC, et que ntlm_auth dépend de Winbind.

Samba4 change la donne, puisqu'il gère lui-même le service Winbindd.

Récupération du paquet, compilation et installation : root@srvaddc:~#wget –no-check-certificate

https://www.samba.org/samba/ftp/stable/samba-4.2.3.tar.gz

root@srvaddc:~#tar –zxvf samba-4.2.3.tar.gz

root@srvaddc:~#cd samba-4.2.3

root@srvaddc:~/samba-4.2.3#./configure

root@srvaddc:~ /samba-4.2.3#make

root@srvaddc:~ /samba-4.2.3#make install

https://www.samba.org/samba/ftp/stable/samba-4.2.3.tar.gz

mailto:root@srvaddc:~/samba-4.2.3#./configure



Voici quelque interrogation par kerberos sur le domaine.

Figure 8 : Nom du Royaume utilisé par Kerberos pour le domain

Figure 9 : Noms d’hôtes des serveurs Kerberos

Figure 10 : Nom d’hôte du serveur administratif pour le royaume Kerberos

7.1.3. Configurations du Samba 4

Création du domaine

Comme tout bon programme Unix, Samba4 est entièrement administrable en ligne de commande.

La commande samba-tool permet de réaliser l’ensemble des tâches courantes d’administration

d’un réseau Microsoft Windows.

La syntaxe de la commande est très bien détaillée dans l’aide contextuelle. Les paramètres

additionnels sont documentés en indiquant le paramètre -h à la sous-commande désirée sans

indiquer de paramètres.



Configuration kerberos locale, modification du fichier /etc/krb5.conf, suppression tout ce qu'il y

a dedans et rajout : [libdefaults]

dns_lookup_realm = false

dns_lookup_kdc = true

default_realm = QMM.MG

Si le fichier smb.conf a déjà été généré, on doit l’effacer (il va être régénéré par la commande de

provision du samba-tool juste après)

root@srvaddc:~#rm -f /usr/local/samba/etc/smb.conf

La commande suivant est équivalent dcpromo.exe pour Windows Server, root@srvaddc:~#/usr/local/samba/bin/samba-tool domain provision --use-

rfc2307 --interactive

L’option --use-rfc2307 active les attributs Posix de l’AD de Samba. Cela crée aussi les informations NIS dans l’AD, ce qui vous permet d’administrer les UIDs/GIDs et autres paramètres UNIX (dans la table “Unix attributes” de l’ADUC…Active Directory Users and Computers). Il est plus simple de l’activer durant cette préparation (Provisioning), plutôt que par la suite.

L’option --interactive indique à la commande samba-tool qu’il faut demander le royaume, le nom du domaine, le serveur DNS utilisé, la redirection du DNS et en fin, le mot de passe d’administrateur « Administrator ».

Retour console : Looking up IPv4 addresses

Looking up IPv6 addresses

No IPv6 address will be assigned

Setting up secrets.ldb

Setting up the registry

Setting up the privileges database

Setting up idmap db

Setting up SAM db

Setting up sam.ldb partitions and settings

Setting up sam.ldb rootDSE

Pre-loading the Samba 4 and AD schema

Adding DomainDN: DC=qmm,DC=mg

Adding configuration container

Setting up sam.ldb schema

Setting up sam.ldb configuration data

Setting up display specifiers

Modifying display specifiers

Adding users container

Modifying users container

Adding computers container



Modifying computers container

Setting up sam.ldb data

Setting up well known security principals

Setting up sam.ldb users and groups

Setting up self join

Adding DNS accounts

Creating CN=MicrosoftDNS,CN=System,DC=qmm,DC=mg

Creating DomainDnsZones and ForestDnsZones partitions

Populating DomainDnsZones and ForestDnsZones partitions

Setting up sam.ldb rootDSE marking as synchronized

Fixing provision GUIDs

A Kerberos configuration suitable for Samba 4 has been generated at

/usr/local/samba/private/krb5.conf

Setting up fake yp server settings

Once the above files are installed, your Samba4 server will be ready to use

Server Role: active directory domain controller

Hostname: srvaddc

NetBIOS Domain: QMM

DNS Domain: qmm.mg

DOMAIN SID: S-1-5-21-2638599352-3633269236-1915159511

Par défaut la création de la forêt et du domaine va se faire en niveau fonctionnel Windows 2003. Il est

possible de “upgrader” plus tard ou de le définir dès maintenant.

Pour cela il faut inclure --function-level=2008_R2 à la commande de samba-tool.

Voici le contenu du fichier /etc/samba/smb.conf créé par samba-tool # Global parameters

[global]

workgroup = QMM

realm = QMM.MG

netbios name = SRVADDC

server role = active directory domain controller

dns forwarder = 8.8.8.8

idmap_ldb:use rfc2307 = yes

[netlogon]

path = /var/lib/samba/sysvol/qmm.mg/scripts

read only = No

[sysvol]

path = /var/lib/samba/sysvol

read only = No

Samba crée déjà une configuration

Contenu du fichier /etc/krb5.conf [libdefaults]

default_realm = QMM.MG

dns_lookup_realm = false

dns_lookup_kdc = true



Configuration du Kerberos

Samba a déjà généré la bonne configuration pour Kerberos, On doit sauvegarder la configuration

original du fichier /etc/krb5-conf, en suite remplacer le fichier créer par Kerberos à celui créer par

samba. mv /etc/krb5.conf /etc/krb5.conf.orig

ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf

Création du ticket de service Kerberos:

root@srvaddc:~#kinit [email protected]

Si le teste exécute normalement, il demande le mot de passe, en suite affiche la réponse suivant :

Figure 13 : Réponse de la commande kinit du Kerberos

Informations sur le ticket de service : klist

Teste du fonctionnement de l’Active Directory

Teste du DNS : root@srvaddc:~#host –t SRV _ldap._tcp.qmm.mg

_ldap._tcp.qmm.mg has SRV record 0 100 389 srvaddc.qmm.mg.

root@srvaddc:~#host –t SRV _kerberos._tcp.qmm.mg

_kerberos._tcp.qmm.mg has SRV record 0 100 88 srvaddc.qmm.mg.

root@srvaddc:~# host -t A srvaddc.qmm.mg 192.168.10.254

Using domain server:

Name: 192.168.10.254

Address: 192.168.10.254#53

Aliases:

srvaddc.qmm.mg has address 192.168.10.254

srvaddc.qmm.mg has address 192.168.56.254

Pour que la machine client peut se trouver le serveur et le nom du domaine, cette teste doit réaliser

pour vérifier la résolution de nom de domaine.

Teste du domaine root@srvaddc:~#Net join –U [email protected]

Enter Administrator's password:

Joined domain QMM.

Cela veut dire que le client peut joindre le domaine avec le mot de passe et nom d’utilisateur

d’Administrator.





Teste du client

Figure 13 : Test avec la commande smbclient

Quelque commande :

root@srvaddc:~#cd /usr/local/samba/bin/

wbinfo -u

wbinfo -g

wbinfo –t

sambastatus

smbpasswd

testparm

Teste de couplage samba 4 avec Winbind

Avec la commande suivant, la liaison entre l’utilisateur Samba et Winbind vont assurer et vérifier pour

le couplage.

Voici la commande ntlm_auth pour tester le couplage samba 4 avec Winbind : root@srvaddc:~#ntlm_auth --request-nt-key --domain=QMM --username=Administrator

password:

NT_STATUS_OK: Success (0x0)



7.1.4. Préparation de l’installation du serveur FreeRADIUS

Radius est utilisé pour faire :

Authentification wifi (ce qu’on va faire)

Authentification / autorisation vpn

Authentification à distance

Authentification filaire

Portail captif

FreeRADIUS a besoin de trois paquages pour bien fonctionner le serveur et toute la configuration, les

paquages de bases sont le suivant : freeradius, freeradius-common et freeradius-utils

Voici la commande d’installation du freeradius

root@srvaddc:~#apt-get install freeradius freeradius-common freeradius-utils

Cette commande va installer tous les paquages nécessaires.

Figure 14 : Installation du FreeRADIUS

7.1.5. Configuration du FreeRADIUS

Pour que FreeRADIUS marche bien, les fichiers suivants doivent être configurés :

client.conf

modules/ntlm_auth

sites-available/default

sites-available/inner-tunnel

radius.conf

Tous d’abord, tous les fichiers modifiés, on doit sauvegarder l’original pour éviter la mauvaise

manipulation.

Par exemple, le fichier radius.conf

root@srvaddc:~#cp /etc/freeradius/radius.conf /etc/freeradius/radius.conf.orig

Modification du fichier radius.conf

On change option allow_vulnerable_openssl = no par yes dans la partie security.

Cette commande indique au serveur FreeRADIUS d’utilisé l’authentification sécurisé par openssl.



Ensuite, Modification du fichier modules/ntlm_auth

La ligne suivant est important pour freeradius, il laisse FreeRADIUS d’utiliser l’utilisateur de l’Active

Directory de s’authentifier. On doit dé commenter la ligne et corriger le chemin vers le fichier binaire

du ntlm_auth et remplacer le domain par le domain QMM.MG.

Figure 15 : Fichier modifier du modules/ntlm_auth

Modification du fichier sites-available/default authorize {

…

# ajouter tous les lignes suivants if(!control:Auth-type){

update control{

Auth-Type = "ntlm_auth"

}

}

…

}

authenticate{

# ajouter tous les lignes suivants Auth-Type NTLM_AUTH {

ntlm_auth

}

…

}

Modification du fichier sites-available/inner-tunnel authorize{

…

ntlm_auth # ajouter ce ligne

…

}

…

authenticate{

…

ntlm_auth # ajouter ce ligne

…

}

Pour finir la configuration, on va modifier le fichier client.conf

On va remplacer le contenu du fichier client.conf par celui-ci :



client localhost {

ipaddr = 127.0.0.1

secret = localhost123

require_message_authenticator = no

nastype = other

}

client 192.168.10.0/24 {

secret = radping123

shortname = ap-network

nastype = cisco

}

Pour que toutes les modifications soient prises en compte, on doit redémarrer le service : root@srvaddc:~#/etc/init.d/freeradius restart

Teste d’authentification du client Samba au FreeRADIUS

Voici la commande utilisé :

radtest <User-Name> <User-password> <addr-server> <port> <Key>

Testons maintenant la connexion du client FreeRADIUS au NAS et l’authentification d’un utilisateur

sur le serveur :

Figure 16 : Teste d’Authentification au serveur FreeRadius

Ce teste indique que l’accès du Packet depuis l’adresse 192.168.10.254 sur le port 1812 est accepté.



On peut lister tous les utilisateurs et tous les groupes accepter Samba qui peut se connecter sur le

serveur FreeRadius par la commande de Winbind suivants :

Figure 17 : Liste de l’utilisateur et le groupe Samba



7.2. Réalisation de l’outil de surveillance Système et Réseau

Zabbix est une solution complète et open-source, sous licence GPLv2, la version disponible des

paquets Zabbix à partir des dépôts du Debian 8 est 2.2.* LTS.

Zabbix est composé de trois parties :

zabbix-server-mysql : le serveur

zabbix-frontend-php : l’interface web

zabbix-agent : l’agent de supervision installé sur les hôtes

7.2.1. Préparation de l’installation de Zabbix

Installation de zabbix apt-get install zabbix-server-mysql zabbix-frontend-php zabbix-agent

Les paquets suivants sont installés pour le bon fonctionnement du serveur

Figure 18 : Paquets nécessaire pour l’installation de zabbix

Ensuite,

apt-get install php5-mysql

L’installation est finie pour zabbix, l’étape suivant est la configuration.



7.2.2. Préparation de la configuration du serveur

Configuration du serveur zabbix

Modification du mot de passe pour la connexion au serveur mysql : root@srvzabbix~#nano /etc/zabbix/zabbix_server.conf

DBHost=localhost

DBName=zabbix

DBPassword=zabbix

DBSocket=/var/run/mysqld/mysqld.sock

DBPort=3306

Puis, on doit relancer le serveur zabbix : root@srvzabbix:~#systemctl restart zabbix-server

Vérification du fonctionnement de zabbix dans le log:

Figure 19 : Vérification du fonctionnement du serveur zabbix

Configuration de l’interface web de zabbix

On va créer un fichier de configuration pour Appache2 :

root@srvzabbix:~#nano /etc/apache2/conf-available/zabbix-server.conf

On colle ceci :

<IfModule mod_alias.c>

Alias /zabbix /usr/share/zabbix

</IfModule>

<Directory /usr/share/zabbix>

Options Indexes FollowSymLinks MultiViews

AllowOverride None

Order allow, deny

Allow from all

</Directory>



Activation de la nouvelle configuration :

root@srvzabbix:~#a2enconf zabbix-server

Modification du fichier de configuration de php : root@srvzabbix:~#nano /etc/php5/apache2/php.ini

max_execution_time=600

max_input_time=600

memory_limit=256M

post_max_size=32M

upload_max_file_size=16M

date.timezone=”Europe/Paris”

Relancer Apache2: root@srvzabbix:~#/etc/init.d/apache2 restart

La configuration du serveur zabbix via la console est terminée ; maintenant, on va configurer zabbix

via l’interface web pour terminer la configuration :

On va ouvrir un lien vers le serveur zabbix : http://192.168.56.252/zabbix/setup.php

Figure 20 : Page d’accueil du

lien setup.php

Cette page d’accueil montre

l’étape de la configuration par

interface web du serveur

zabbix.

mailto:root@srvzabbix:~#/etc/init.d/apache2

http://192.168.56.252/zabbix/setup.php



Figure 21 : vérification des

outils nécessaire pour zabbix

Figure 22 : Configuration de

Mysql qui est le serveur base

de données utilisé par zabbix

Figure 23 : Information

nécessaire pour zabbix



Figure 24 : Résumé de la

configuration

Figure 25 : Installation de

configuration dans le serveur

Figure 26 : Installation de

configuration terminer



Figure 27 : Authentification

auprès du serveur zabbix

Pour se connecter à l’interface web à la fin de l’installation est :

Login : admin

Mot de passe : zabbix

Le serveur est prêt à fonctionner maintenant pour surveiller le réseau et le matériel sur le réseau ainsi

que le système.

Voici le tableau de bord du serveur zabbix :



Chapitre 8 : VALIDATION

8.1. Validation avec du teste de mise en œuvre

8.2. Validation avec wireshark



CONCLUSION



CONCLUSION GENERAL



REFERENCES BIBLIOGRAPHIQUES

REFERENCES WEBOGRAPHIQUES



GLOSSAIRE



ANNEXES

ANNEXE 1

Enregistrement et authentification du client Windows sur le domaine QMM

Pour enregistrer la machine Windows à l’Active Directory Domain Controler, il faut aller au menu

démarrer, en suite clique droite sur Ordinateur et propriété.

Connexion du machine windows 7 sur le domaine

Menu clique droite sur Ordinateur clique sur Propriétés clique sur Modifier les paramètres …

Figure 15 : Propriétés système Figure 16 : Modification du domaine de

l’ordinateur

Figure 17 : Vérification d’un compte autorisé à joindre le domaine



Installation des outils d'administrations Windows Serveur 2008 R2 :

Connexion en tant qu'Administrator' du domaine sous Windows Seven, on va maintenant

administrer le AD DC SAMBA 4.

Téléchargement des outils d'administrations :

http://stephane.lebegue.free.fr/downloads/Windows6.1-KB958830-x64-RefreshPkg.msu

Après installation, ajout des fonctionnalités des logiciels :

Panneau de configurationTous les Panneaux de configurationProgrammes et

fonctionnalitésActivez ou désactivez des fonctionnalités Windows

On ajoute les outils d'administration de serveur distant.

Pour administrer les utilisateurs et l’ordinateur sur l’Active Directory :

On exécute : dsa.msc

On peut maintenant administrer le serveur SAMBA 4 comme un Windows Serveur 2008 R2.

TABLES DES MATIERES

http://stephane.lebegue.free.fr/downloads/Windows6.1-KB958830-x64-RefreshPkg.msu



RESUME



ABSTRACT

Mémoire L3

Technology

Transcript of Mémoire L3