Rapport
Contents
1. www freeipa org docs 1 2 Client Setup Guide en US html chap Client Configuration Guide Configuring Fedora as an IPA Client html http www freeipa org page About http docs fedoraproject org en US Fedora 18 html FreeIPA Guide index html http www datadirect com products datadirect connect jdbc drivers features data connectivity features anatomy of a driver security flexible authentication support http www bga org lessem psyc5 1 12 usail network nfs tips html 14 ANNEXES 1 Configuration r seau en IP Statique Selon http www tutonline fr tutoriels linux linuxhostname remplacer le contenu par 1paserver demo y ajouter les lignes suivantes pour connaitre adresse ip actuelle afin de le comparer apres changement y jouter les configurations suivantes editer le fichier de resolution en ajoutant le nom de domaine demo et le serveur dns Afin de voir le changement de adresse ip utiliser la commande ifconfig et constater le changement par rapport a celui d avant et aussi par rapport a la valeur introduite qui est 192 168 1 5 Pour tester que la nouvelle configuration a ete pris en compte un redemarrage de ordinateur est necessaire ensuite lancer la commande ifconfig et comparer les valeurs obtenues par a port a celles de la config Ensuite redemarrer l ordinateur et verifier a nouveau la configuration IP avec la commande ifconfig 15 root localhost lLabotd service2. NetworkManager stop Redirecting to bin systemctl stop NetworkManager service root localhost Labotd chkconfig NetworkManager off Note Forwarding request to systemctl disable NetworkManager service rm etc systemd system network target wants NetworkManager wait online service rm etc systemd system muLt1 user target wants NetworkManager service rm etc systemd system dbus org freedesktop NetworkManager service root localhost Labotd chkconfig network on root localhost Labotd vi etc hostname root localhost Labotd vi etc sysconfig network root localhost Labotd cat etc hostname lpaserver demo root localhost Labotd cat etc sysconfig network Generated by anaconda NETWORKING yes HOST NAME 1paserver demo root localhost lLabotd cat etc sysconfig network scripts ifcfg 1fcfg eml 1fcfg lo 1fcfg p255pl root localhost Labotd cat etc sysconfig network scripts ifcfg p255p1 Generated by parse kickstart IPV6INIT no HWADDR 90 e2 ba 28 9b 2a BOOT PROT O dhcp DEVI CE p255p1 ONBOOT yes UUI D cc854b6a 6c0f 4f19 b3c9 58971f21f0e1 root localhost Labotd vi etc sysconfig network scripts ifcfg p255p1 root localhost Labotd cat etc sysconfig network scripts ifcfg p255p1 Generated by parse kickstart IPV6INIT no HWADDR 90 e2 ba 28 9b 2a BOOT PROTO stat1c IPADDR 192 168 1 10 NETMASK 255 255 255 0 NETWORK 192 168 1 0 BROADCAST 192 168 1 255 DNS 162 168 1 10 DEVI CE p255p1 O
3. la ligne SECURE NFS yes Cr ation des dossier de partages ipaclient mkdir mnt ipashare ipaserver mkdir ipashare Edition de droit du fichier de partage ipaserver chmod 777 Rf ipashare Modification du fichier export sur le serveur ipaserver vi etc exports en ajoutant ipashare gss krbSp rw subtree check no root squash fsid 0 Demarrage et activation du service nfs securis ipaserver service nfs enable ipaserver service nfs start ipaserver service nfs secure server enable ipaserver service nfs secure server start ipaclient service nfs enable ipaclient service nfs start ipaclient service nfs secure enable ipaclient service nfs secure start Montage avec la commande ipaclient mount v t nfs4 o sec krb5p ipaserver demo mnt ipashare Test avec la cr ation d un fichier dans mnt ipashare du client freeipa et observer sa presence dans ipashare du serveur freeipa 10 IV PROBLEMES RENCONTRES Compr hension du tutorial dont ambiguit dans les commandes sur le client ou le serveur Dans le Partage nfs avec le serveur freeipa jvais un acces refuse a cause de permission du serveur freeipa lors du montage de dossier de partage un message d erreur indiquant un r fus de permission apparait probl me r solu grace a l aide de l assistant Mr Khaled B en proposant un autre tutorial http wiki linux nfs org wiki index php NFS and FreelPA paragraphe 5 2 Setup Kerb
4. KDC request Ticket request Ticket generated and encrypted using server secret key Ticket response K server Decrypt the ticket response and forward the ticket to server figure2 Kerberos authentication protocol KAP Decrypt the ticket and confirm the identity of client 1 http fr wikipedia org wiki Kerberos_ protocole 2 http www ibm com developerworks aix library au aixsecuritydce IHI REALISATION Pour ce projet j utilise 3PCs A3 A4 A45 sous Fedora 18 GLI du laboratoire qui sert de clients et serveurs ces postes sont dans un r seau isol intranet et sont configur s avec des IP statiques et se trouvant dans un m me domaine Les postes sont configur s de mani re suivante Ipaclient1 192 168 1 Be demo 192 168 1 10 255 255 255 0 Carte m re Avec les comptes Login labotd mot de pass labolabo Login root mot depasse rootroot Pourgoi Fedora 18 GUI Fedora est une distribution Linux bas e sur le syst me d exploitation GNU Linux servant de vitrine aux logiciels libres les plus r cents Etape 1 T l chargement des paquets n cessaires L installation du serveur freeipa n c ssite le paquet freeipa server qu on obtient avec la commande yum install freeipa server bind bind dyndb ldap bind permettant une gestion de DNS comme indiqu dans la documentation En suite pour on va aussi t l charger le paquet nfs avec la commande yum install y nfs utils pour lui ajouter
5. NBOOT yes UUI D cc854b6a 6c0f 4f19 b3c9 58971f21f0e1 root localhost Labotd vi etc resolv conf root localhost Labotd cat etc resolv conf Generated by NetworkManager domain Localdomain search localdomain nameserver 192 168 1 10 root localhost lLabotd J 16 2 Configuration DNS et du serveur freeipa Server host name ipaserver demo Warning skipping DNS resolution of host ipaserver demo The domain name has been determined based on the host name Please confirm the domain name demo Unable to resolve IP address for host name Please provide the IP address to be used for this host name 192 168 1 10 Adding 192 168 1 10 1paserver demo to your etc hosts file The kerberos protocol requires a Realm name to be defined This 1s typically the domain name converted to uppercase Please provide a realm name DEMO Certain directory server operations require an administrative user This user 1s referred to as the Directory Manager and has full access to the Directory for system management tasks and will be added to the instance of directory server created for IPA The password must be at least 8 characters Long Directory Manager password Password confirm The IPA server requires an administrative user named admin This user 1s a regular system account used for IPA server administration IPA admin password Password confirm Do you want to configure DNS forwarders yes no No DNS forwarders
6. SECURITE DES SYSTEMES D INFORMATION FREEIPA Projet de semestre ITI 3eme ann e Etudiant RAZAFIMAHATRATRA LAURE Professeur G rald LITZISTORF fi pf i a SEE Hauts Gone du paysage d ing nierie at dambitestura de Gen ve Annee academique 2013 2014 Projet de semestre SECURITE DES SYSTEMES D INFORMATION FREEIPA Descriptif Cette tude concerne la solution Open Source FreelPA Identity Policy Audit que l on peut comparer Active Directory de Windows Elle doit permettre de comprendre ses principales fonctionnalit s dans une perspective d utilisation dans le monde de la virtualisation OpenStack L tudiant doit proposer puis mettre en uvre divers sc narios utilisant FreelPA Cadre du projet e Directory Server LDAP e Authentification bas e sur Kerberos e Contexte applicatif client serveur de fichiers Travail demande Cette tude comprend les tapes suivantes 1 Recherche des documents utiles manuel d installation best practices sur www freeipa org 2 Sp cification du sc nario 1 Tenir compte des d pendances Validation par le prof 3 Configuration et tests sur PCs du labo 4 R p ter 2 et 3 pour d autres sc narios si le temps le permet 5 Recommandations pour tapes futures virtualisation Sous r serve de modification en cours du projet de semestre Candidat Professeur s responsable s Timbre de la direction M RAZAFIMAHATRATRA LAURE Litzisto
7. ate management Configure the Network Time Daemon ntpd Create and configure an instance of Directory Server Create and configure a Kerberos Key Distribution Center KDC Configure Apache httpd Configure DNS bind F To accept the default shown in brackets press the Enter key Pour verifier que le serveur est configur on peut aller sur l interface de gestion graphique du serveur freeipa en mettant comme FODN le nom du serveur freeipa pui est ici ipaserver cr ation des fichier de configuration du client freeipa sur le PC client cette commande ajoute aussi le PC cans le domaine kerberos c est quivalent de la commande pa host add ipaclient demo qu on peut lancer depuis le serveur s FREE IPA Logged In As Administrator Logout Identity Policy IPA Server Users User Groups Hosts Host Groups Netgroups Services DNS Certificates Realm Domains HOSTS Refresh X Delete Add Q Host name Description Enrolled ipaclient demo True ipaserver demo True Ajout du service nfs sur le serveur freeipa FREE IPA Logged In As Administrator Logout Identity Policy IPA Server Users User Groups Hosts Host Groups Netgroups Services DNS Certificates Realm Domains Refresh X Delete Add Q Principal DNS ipaserver demo DEMO HTTP ipaserver demo DEMO Idap ipaserver demo DEMO nfslipaserver demo DEMO Acquisition de la cl de service nfs pour le serveur nfs v rification des cl s dans la table de cl co
8. configured Do you want to configure the reverse zone yes Please specify the reverse zone name 1 168 192 1n addr arpa Using reverse zone 1 168 192 1n addr arpa The IPA Master Server will be configured with Hostname 1paserver demo IP address 192 168 1 10 Domain name demo Realm name DEMO BIND DNS server will be configured to serve IPA domain with Forwarders No forwarders Reverse zone 1 168 192 1n addr arpa Continue to configure the system with these values no yes The following operations may take some minutes to complete Please wait until the prompt is returned 17 REMERCIEMENT Je tiens remercier Mr LITZISDORF de m avoir accorder ce projet et de m avoir guider dans les methodologies de travail et Mr Basbous pour son aide apropos de la r alisation de ce projet 18 TABLE DES MATIERES INTRODUCTION ANALYSE REALISATION Etape 1 T l chargement des paquets n cessaires Etape 2 Configuration r seau en IP statique Etape 3 R alisation d un partage nfs PROBLEMES RENCONTRES AMELIORATION CONCLUSION ANNEXES REMERCIEMENT I IQ BR 12 13 15 18 19
9. eros principals stimation de temps pass sur le tutoriel 30 heures Et en v rifiant le fichier de log var log messages avec la commande tail n 100 f var log messages Connexion avec le serveur d application qui est un serveur nfs probl mes non encore r solu depuis 20 heures Probl me similaire celui abord ci dessus Redemarrage du service network redemarrage de l ordinateur pour la prise en compte 11 IV AMELIORATION R alisation d un partage nfs entre le serveur nfs et le client nfs via une authentification kerberos IPA CLIENT NFS SERVER nfsshare 5 mntnfsshare 192 168 1 0 24 4 A45 10 IPA CLIENT pachent1 demo NFS CLIENT 15 paserver demo FroelPA SERVER l _ DNS SERVER Coe 12 V CONCLUSION Les objectifs de ce travail ont t partiellement atteints Ce travail m a permis de d couvrir les fonctionnements d un serveur d authentification et configurer des serveurs d applications comme le serveur dns serveurs nfs et une connaissance de plus dans le monde linux Ce projet a am lior ma m thodologie de travail ainsi que mes motivations surmonter les difficult s 13 LIENS http docs fedoraproject org en US Fedora 18 html FreeIPA Guide Installing the IPA Client on Linux html http docs fedoraproject org en US Fedora 17 html FreeIPA Guide kerb nfs html http wiki linux nfs org wiki index php NFS_and_FreeIPA http
10. la fonction de serveur nfs Et sur le PC servant de client freeipa yum install freeipa client freeipa admintools avec l option freeipa admintools permettant de l utiliser les commades d administration Etape 2 Configuration r seau en IP statique de tous les PCs avec les valeurs du tableau ci dessus annexe 2 2 http www ibm com developerworks aix library au aixsecuritydce 3 serveur DNS et serveur Freeipa 4 http www fedora fr org 5 http docs fedoraproject org en US Fedora 18 html FreeIPA_Guide Installing_the_IPA_Server_Packages html 6 http docs fedoraproject org en US Fedora 18 html FreeIPA_Guide Installing the_IPA_Client_on_Linux html Etape 3 R alisation d un partage nfs entre le serveur freeipa et le client freeipa selon http wiki linux nfs org wiki index php NFS_ and FreeIPA switch Netgear 8 ports IPA CLIENT wachenti demo paserver demo FreelPA SERVER NFS SERVER ny DNS SERVER mnt pashare maserver 192 168 1 0 24 ouverture des ports en premier temps on arr te le firewall pour faciliter la communication entre le client et le serveur cr ation des fichier de configuration du serveur freeipa sur le PC serveur root ipaserver Labotd ipa server install setup dns The log file for this installation can be found in var log ipaserver instaLlL log This program will set up the FreeIPA Server This includes Configure a stand alone CA dogtag for certific
11. mmande kerberos root ipaserver Labotd klist c Ticket cache FILE tmp krbScc_ Default principal admin DEMO Valid starting Expires Service principal 04 10 14 14 32 31 04 11 14 14 32 28 krbtgt DEMO DEMO 04 10 14 14 34 00 O4 11 14 14 32 28 HTTP ipaserver demo DEMO root ipaserver Labotd klist ke fetc krbS keytab Keytab name FILE etc krbS keytab KVNO Principal 2 host ipaserver demo DEMO aes256 cts hmac shal 96 2 host ipaserver demo DEMO aes128 cts hmac shal 96 2 host ipaserver demo DEMO des3 cbc shal 2 host ipaserver demo DEMO arcfour hmac sc lads Labotd ipa getkeytab s ipaserver demo p nfs ipaserver demo k etc krbS keyta Keytab successfully retrieved and stored in etc krbS keytab root ipaserver Labotd klist ke etc krbS keytab Keytab name FILE etc krbS keytab KVNO Principal host ipaserver demo DEMO aes256 cts hmac shal 96 host ipaserver demo DEMO aesl128 cts hmac shal 96 host ipaserver demo DEMO des3 cbc shal host ipaserver demo DEMO arcfour hmac nfs ipaserver demo DEMO aes256 cts hmac shal 96 nfs ipaserver demo DEMO aes128 cts hmac shal 96 nfs ipaserver demo DEMO des3 cbc shal nfs ipaserver demo DEMO arcfour hmac PRRRENNNN Configuration du serveur nfs Edition du fichier etc sysconfig nfs pour le debugging ipaserver vi etc sysconfig nfs RPCGSSDARGS vvv RPCSVCGSSDARGS vvv ipaserver vi etc sysconfig nfs ipaclient vi etc sysconfig nfs en ajoutant
12. nateurs FreelPA est construit sur des composants Open Source bien connus et des protocoles standard avec la facilit de gestion et d automatisation des t ches d installation et de configuration FreelPA e Permet a tous les utilisateurs d acc der a toutes les machines avec les m mes informations d identification et les param tres de s curit e Acc de aux fichiers personnels de mani re transparente depuis n importe quelle machine de mani re authentifi e et s curis e e Utiliser le m canisme de regroupement avanc pour restreindre l acc s r seau aux services et fichiers uniquement des utilisateurs sp cifiques e Gere de mani re centralis e m canisme de s curit comme les mots de passe cl s les r gles de contr le d acc s e D l gue s lectionne t ches administratives a d autres utilisateurs II ANALYSE Pour ce projet l objectif finale est de r aliser une communication avec un serveur applicative et un client via une authentification kerberos qui sera g rer par un serveur freeipa Serveur Applicative Client NFS HTTP aa 3 Send Service Ticket i 6 Establish Connection ba 2 5 i KDC 4 Serveuk d authentification FREEIPA 1 demande de ticket de service au serveur d authentification freeipa 2 obtention du ticket 3 requ te de service acc s fichier 4 verification du ticket 6 validation du ticket figurel Flexible Authentication Support Diagram
13. rf G rald Fili re d tudes ITI D partement ITI En collaboration avec Projet de semestre soumis a une convention de stage en entreprise non Projet de semestre soumis a un contrat de confidentialit non Razafimahatratra_EPS Le but de ce projet est la mise en place d une architecture client serveur avec une authentification de type Kerberos Dans notre cas un PC client fait un acces fichier sur un serveur nfs Dans ce projet on utilisera 2 PCs 1 servant de serveur freeipa en meme temps serveur nfs 1 servant de client freeipa et client nfs qu on r alisera par les etapes suivantes configuration d un serveur freeipa configuration d un client freeipa configurer le serveur freeipa comme serveur nfs et configuration l acc s nfs partir des clients freeipa I INTRODUCTION Cette tude permet de mettre une infrastructure securis e par un controlleur de domaine avec l utilisation de la solution Open Source FreeIPA Identity Policy Audit Selon http www freeipa org page About FreeIPA est une solution pour les environnements r seau Linux UNIX pour une meilleur gestion centralis e des identit s et d authentification Un serveur FreeIPA fournit une authentification centralis e l autorisation et les informations de compte en stockant les donn es sur l utilisateur les groupes les h tes et autres objets n cessaires la gestion des aspects de s curit d un r seau d ordi
Download Pdf Manuals
Related Search
Rapport rapport rapport synonym rapport building rapport meaning rapport furniture rapporteur rapport therapeutics rapport pronunciation rapport define rapport de stage rapporto rapporteur meaning rapport furniture los angeles rapport de mission rapport meaning in english rapport building meaning rapportage rapport london rapport building questions rapport 2025 rapport axonify rapport annuel 2024 rapport mensuel rapport d\u0027incident rapport de formation