Ce cours vise à initier les élèves Ingénieurs de 3e année à l'UMa/ENSPM aux principes de base de l’administration réseau. À la fin de cet enseignement, l’élève sera capable de gérer un réseau, de définir les besoins et de réaliser l’architecture des
réseaux informatiques d’une entreprise. En d’autres mots, l’élève sera à mesure de garantir le bon fonctionnement et la qualité du réseau informatique, et même participer, en outre, à son évolution.
2. Informations Générales sur l’UE
1. Temps Imparti
Cours Magistral: 15h
Travaux Diriges: 10h
Travaux Pratiques: 15h
Travaux Personnels Encadres: 5h
2. Recommandations
Soyez très attentifs pendant le Cours Magistral
Soyez créatifs et appliqués dans les travaux personnels encadrés et les travaux pratiques
Les recherches personnelles seront très appréciées
Nombre de crédits de l'UE : 3
Code de l’UE : TELE 355/ITE 315
UE valable pour le semestre 5
1/83
3. Informations Générales sur l’UE
3. Evaluations
TPE: 10h
CC: 2h
Examen: 3h
Rattrapage: 2h
Nota Bene
Les devoirs doivent être rédigés de façon individuelle et à l’ordinateur. Ils doivent être remis en version papier à la
date demandée avant 15h00 et en version électronique par courriel à denischef4@gmail.com. Une pénalité de
20% par jour (ouvrable ou non ouvrable) sera appliquée pour les retards.
4. Informations Générales sur l’UE
4. Lab
Hardware: PBHev, Desktop ou Laptop
Operating System: Macintosh, Unix/Linux ou
Microsof family (Windows XP, windows 7, and
others.
5. Carreer Profile
Network Administrator
Network Engineer
System Administrator
Network Analyst
5. Description de l’UE
Rappels
Réseaux informatiques
Les supports de transmissions
Les supports de connexions
Les protocoles
Modes d’adressages et types d’adresses IP
Les serveurs
Systèmes et outils de supervision et de
surveillance
Introduction à la métrologie
6. Ce cours vise à initier les élèves Ingénieurs de 3e année aux principes de base
de l’administration réseau. À la fin de cet enseignement, l’élève sera capable
de gérer un réseau, de définir les besoins et de réaliser l’architecture des
réseaux informatiques d’une entreprise. En d’autres mots, l’élève sera à
mesure de garantir le bon fonctionnement et la qualité du réseau
informatique, et même participer, en outre, à son évolution.
En d’autres mots:
Objectifs de l’UE
7. Comprendre le fonctionnement des applications d’Internet,
Mettre en œuvre, installer et configurer les applications d’Internet permettant
l’administration d’un réseau local, la gestion des utilisateurs et de leurs fichiers, le
nommage des machines, la messagerie électronique,
Savoir installer et administrer un réseau local avec les services classiques associés à
la gestion des utilisateurs et de leurs fichiers avec les systèmes Unix et Windows,
Savoir mettre en place la redondance dans ces systèmes et en comprendre les
mécanismes,
Etre capable d’identifier les limites d’une solution dans un contexte de production.
Objectifs de l’UE
8. Tanenbaum, A. S. (1989). Computer Network Second Edition. Appendix: Queueing Theory.
Sun, Y. S. (2006). Advanced Computer Networks.
Atelin, P. (2009). Réseaux informatiques: notions fondamentales: normes, architecture, modèle OSI, TCP/IP, Ethernet, Wi-
Fi,... Editions ENI.
Montagnier, J. L. (2001). Construire son réseau d'entreprise. Eyrolles.
Kadoch, M. (2012). Protocoles et réseaux locaux: 2e édition revue et augmentée. PUQ.
Dromard, D., & Seret, D. (2013). Architecture des réseaux. Pearson Education France.
Atelin, P., & Dordoigne, J. (2006). TCP/IP et les protocoles Internet. Editions ENI.
BELGHERBI, Z. E. (2020). Simulation sous GNS3 d'une Solution Réseau Intégrée.
Fenyö, A., Le Guern, F., & Tardieu, S. (1997). Raccorder son réseau d'entreprise à l'Internet. Editions Eyrolles.
Bibliographie Pertinente
9. AGENDA
INTRODUCTION
CHAPITRE 1 : SERVICES D’ACCÈS À DES FICHIERS DISTANTS
CHAPITRE 2 : LDAP, DNS et Kerberos
CHAPITRE 3 : ACTIVE DIRECTORY
CHAPITRE 4 : COURRIER ELECTRONIQUE
CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
10. Nous présenterons dans cette partie de l’UE, les concepts liés au fonctionnement des
applications réseaux, et d’Internet en particulier. L’objectif est d’une part de comprendre ce
qu’est un service réseau, les concepts qui y sont associés, les différentes façons de les
déployer, et d’autre part d’étudier le fonctionnement des principales services d’Internet :
connexions à distance, transfert et partage de fichiers, gestions des utilisateurs, des noms
de machines, du courrier électronique, etc.
INTRODUCTION
11. Les élèves ingénieurs seront confrontés aux problématiques du métier d’administrateur
systèmes et réseaux avec un volume important des travaux pratiques sur des plates-formes
Unix et Windows. Il s’agit en particulier d’installer, configurer et étudier par la pratique les
principaux services qui sont répandus sur Internet et dans les entreprises équipées d’un
réseau informatique. Cela permettra d'aborder l'installation et la configuration d'un parc de
machines utilisant plusieurs systèmes d'exploitation (Windows et Linux).
INTRODUCTION
12. En particulier, les services réseaux (internet) ci-dessous seront abordés :
Accès à des fichiers distants (NFS, SMB/CIFS)
Gestion d'utilisateurs distants, des noms de machines (LDAP et Active Directory)
Les serveurs de noms (DNS)
Le courrier électronique (POP, IMAP, SMTP, WebMail)
Concernant les environnements Windows, les points suivants seront aussi abordés :
INTRODUCTION
13. Active Directory : Gestion multi sites, Relation d'approbation, Gestion des réplications,
GPO, Gestion des ACL (dans AD/ntfs), Durcissement de la sécurité (application d'une
politique multi Tiers), Scripting en Powershell, Radius (configuration de switch en 802.1x)
Environnement Remote Desktop Services (RDS) : Politique de gestion de l'environnement,
Mise en ferme, Sécurité avec (AppLocker)
Cluster Haute Disponibilité : Service DHCP, Serveur de Fichier
Interopérabilité (Linux) : Kerberos / LDAP / NFS
INTRODUCTION
14. La supervision consiste à surveiller les systèmes et à récupérer les informations sur leur état et
leur comportement, ce qui peut être fait par interrogation périodique ou par remontée non
sollicitée d’informations de la part des équipements de réseaux eux-mêmes. Le plus grand souci
d’un administrateur est la panne. En effet, il doit pouvoir réagir le plus rapidement possible pour
effectuer les réparations nécessaires. Il faut pouvoir surveiller de manière continu l’état des
réseaux afin d’éviter un arrêt prolongé de celui-ci. La supervision doit permettre d’anticiper les
problèmes et de faire remonter les informations sur l’état des équipements et des logiciels.
INTRODUCTION
LA SUPERVISION
15. Des lors que la taille du réseau informatique devient importante, la supervision va devenir très
complexe. D’où l’importance du protocole SNMP qui apporte les fonctions suivantes:
Surveiller le système d’information,
Visualiser l’architecture du système,
Visualiser l’architecture du système,
Déclencher des alertes en cas de problèmes,
Effectuer des actions en fonction des alertes,
Réduire les attaques entrantes (déni de services, cheval de Troie, …)
INTRODUCTION
LE PROTOCOLE SNMP
16. L'administration désigne plus spécifiquement les opérations de contrôle du réseau avec la
gestion des configurations et de sécurité. Elle a pour objectif d'englober un ensemble de
techniques de gestion mises en œuvre pour :
Offrir aux utilisateurs une certaine qualité de service;
Permettre l'évolution du système en incluant de nouvelles fonctionnalités;
Rendre opérationnel un système ;
Etc.
INTRODUCTION
L’ADMINISTRATION
17. Pour communiquer en réseau, chaque machine ou hôte doit avoir une adresse IP unique. Il
existe actuellement 02 versions d’adresses: IPV4 qui repose sur 32 bits et IPV6 qui repose sur
128 bits. IPV6 vient résoudre le problème d’attributions suffisantes d’adresses IP aux milliers des
milliards d’objets connectés dans le monde entier d’ici 2100.
Avec IPV4, l’on a la possibilité de générer 2^32 adresses , soit 4 294 967 296 adresses.
Quand avec IPV6, on aura 2^128 adresses, soit 340 282 366 920 938 463 463 374 607 341 768
211 456 adresses.
INTRODUCTION
ADRESSAGES IP
20. AGENDA
INTRODUCTION
CHAPITRE 1 : SERVICES D’ACCÈS À DES FICHIERS DISTANTS
CHAPITRE 2 : LDAP, DNS et Kerberos
CHAPITRE 3 : ACTIVE DIRECTORY
CHAPITRE 4 : COURRIER ELECTRONIQUE
CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
21. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
INTRODUCTION
Dans tout réseau d’entreprises, on appelle serveur, l’ordinateur ou
le système qui met des ressources, des données, des services ou
des logiciels à la disposition d'autres hôtes sur un réseau.
Par exemple, un serveur de partage de fichiers permet d'accéder aux fichiers à distance depuis des navigateurs Web, des
PC distants, des Mac et des appareils mobiles, le tout sans avoir besoin d'un VPN.
Tout se passe comme si le système de fichier distant était local, l’utilisateur peut éditer le fichier, le modifier. Les
modifications seront répercutées sur le système fichier distant.
22. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
INTRODUCTION
Différentes possibilités existent pour l’accès aux fichiers distribués, et les plus répandus sont :
NFS (Network File System)
SMB/CIFS (Server Message Block/Common Internet File System)
23. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
1.1 NFS (Network File System)
La première version du Network File System , ou NFS en abrégé, a été publiée par Sun Microsystems en 1985.
Le protocole NFS a été conçu pour permettre à plusieurs machines clientes d'accéder de manière transparente à un
système de fichiers sur un seul serveur.
L'un des objectifs de conception était de permettre à une large gamme des systèmes d'exploitation et d'architectures
de processeurs d'implémenter NFS. La plupart des systèmes d'exploitation ont un support natif étendu pour NFS, y
compris Linux et macOS , mais aussi des systèmes tels que FreeBSD ou Solaris . Les versions plus récentes de
Windows prennent en charge nativement le montage de NFS.
Sur Windows 10 Professionnel, vous pouvez monter le dossier partagé sur NFS grâce à la commande mount :
mount -u:USER -p:PASS NASPARTAGE Z:
mount -u:USER -p:PASS NASPARTAGE Z:
ce qui ajoute le lecteur Z dans le poste de travail.
24. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
1.1 NFS (Network File System)
Aujourd'hui, seules deux versions du protocole NFS sont encore utilisées : la version 3, publiée en 1995, et la version 4 en
2000. NFS 3 reste de loin la version la plus courante du protocole et la seule prise en charge par les clients Windows.
25. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
1.1 NFS (Network File System)
NFS présente aussi bien des avantages que des inconvénients.
Avantages
• Étant un protocole si obsolète, NFS n'a pas été en mesure de s'adapter aux besoins en constante évolution des
utilisateurs de stockage aujourd'hui.
• Tous les systèmes d'exploitation peuvent accéder au stockage NFS version 3.
26. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
1.1 NFS (Network File System)
NFS (en français Système de fichiers réseau) présente aussi bien des avantages que des inconvénients.
Inconvénients
• NFS n'a pas d'équilibrage de charge, malgré le système de stockage évolutif,
• NFS n'a pas de somme de contrôle, pourtant les sommes de contrôle protègent les données en transit et les
processeurs modernes ont des instructions matérielles pour elles,
• NFS ne prend pas en charge le basculement, qui se déroule au niveau IP et provoque souvent des interruptions,
des retards et des erreurs visibles par l'utilisateur,
• Manque des versions les plus récentes du protocole NFS.
27. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
1.2 SMB/CIFS
SMB (Server Message Block) est le protocole utilisé pour interfacer les partages et les authentifications MICROSOFT. Les
clients et serveurs SMB sous Linux et d'autres OS libres utilisent SAMBA pour traiter les échanges avec ce protocole.
Le protocole SMB (aussi connu sous le nom de Common Internet File System (CIFS)) a d’abord été conçu par IBM (en 1983)
mais a été repris et largement modifié par Microsoft. Les serveurs SMB sont en écoute sur le port 139 ou 445.
Le protocole est propriétaire, mais la spécification de la version a été publiée afin de permettre aux développeurs de créer
des clients compatibles avec le partage de fichiers utilisé dans Windows.
SMB possède deux modes d'authentification : le mode "share", dans lequel il associe un mot de passe à une ressource
(espace disque, imprimantes ...), et le mode "user", où il associe un mot de passe à un utilisateur.
SMB utilise aussi deux modes pour l'envoi de ces mots de passe : encryptés ou non. C'est là que réside toute la faille. C'est
le serveur qui donne l'information au client s'il supporte l'encryptage ou non.
28. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS
1.2 SMB/CIFS
Fonctions principales
• Mode de partage standard des systèmes Microsoft,
• SMB 3.0 → Windows Server 2012 → optimisé pour
applications serveur,
• Améliorations SMB 3.0,
- Performances → clusters
- Tolérance aux pannes
- Sécurité → algorithmes AES
TAF: Comment crée-t-on un dossier SMB partagé Windows 10?
29. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS et DAFS
1.2 SMB/CIFS
Usages
• Intégration Hyper-V et produits Windows Server,
• Bases de données SQL Server Améliorations SMB 3.0
TAF: Monter un partage réseau CIFS sous Debian/Linux/LXC
30. CHAPITRE 1 : ACCÈS À DES FICHIERS DISTANTS: NFS,
SMB/CIFS et DAFS
1.3 La différence entre SMB/CIFS et NFS
Les deux protocoles ont à peu près le même objectif, rendre un système de fichiers distant accessible aux clients via un
réseau informatique.
Sun Microsystems a développé NFS en tant que norme ouverte destinée aux environnements Unix (Sun a développé
Solaris, qui était un système Unix).
D'autre part, SMB/CIFS a été développé par Microsoft pour son système d'exploitation Windows.
Ainsi, le système d'exploitation de votre client impose le protocole que vous utilisez : Unix/Linux=NFS et
Windows=SMB/CIFS.
Il existe des pilotes pour monter NFS sous Windows et SMB sous Linux. Cependant, ils sont plutôt un dernier recours.
31. AGENDA
INTRODUCTION
CHAPITRE 1 : SERVICES D’ACCÈS À DES FICHIERS DISTANTS
CHAPITRE 2 : LDAP, DNS et Kerberos
CHAPITRE 3 : ACTIVE DIRECTORY
CHAPITRE 4 : COURRIER ELECTRONIQUE
CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
32. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.1 LE PROTOCOLE LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole qui permet de gérer des annuaires, grâce
à des requêtes d’interrogations et de modification de la base d’informations.
Les communications LDAP s’effectuent sur le port 389, en TCP, du contrôleur de domaine cible.
Il existe une déclinaison du protocole LDAP appelée LDAPS (LDAP over SSL) qui apporte une couche de sécurité
supplémentaire avec du chiffrement.
33. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.1 LE PROTOCOLE LDAP
L’annuaire est un ensemble d’entrées, ces entrées étant elles-mêmes constituées de plusieurs attributs.
Un attribut est bien spécifique et dispose d’un nom qui lui est propre, d’un type et d’une ou plusieurs valeurs.
Chaque entrée dispose d’un identifiant unique qui permet de l’identifier rapidement, de la même manière que l’on
utilise les identifiants dans les bases de données pour identifier rapidement une ligne.
L’identifiant unique d’un objet est appelé GUID qui est « l’identificateur unique global ».
Par ailleurs, un nom unique (DN – Distinguished Name) est attribué à chaque objet, et il se compose du nom de
domaine auquel appartient l’objet ainsi que du chemin complet pour accéder à cet objet dans l’annuaire (le chemin
à suivre dans l’arborescence d’unités d’organisation pour arriver jusqu’à cet objet).
34. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.1 LE PROTOCOLE LDAP
Par exemple, le chemin d’accès suivant, correspondant à un objet « utilisateur » nommé « Florian », du domaine « it-
connect.local » et étant stocké dans une unité d’organisation (OU) nommée « informatique » contenant elle-même
une OU nommée « system » :
it-connect.local, informatique, system, Florian
Se traduira en chemin LDAP par :
cn=Florian,ou=system,ou=informatique,dc=it-connect,dc=local
Ainsi, la chaîne ci-dessus correspondra au Distinguished Name (unique) de l’objet.
35. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.1 LE PROTOCOLE LDAP
Dans un chemin LDAP vers un objet, on trouve toujours la présence du domaine sous la forme « dc=it-
connect,dc=local », correspondant à « it-connect.local » dans cet exemple.
36. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.1 LE PROTOCOLE LDAP
37. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.2 LE PROTOCOLE DNS
Nous l’utilisons chaque jour des centaines de fois, notamment pour la navigation internet et à chaque fois que l’on
communique avec un serveur, pour ne citer que ces deux cas de figure.
Il en est de même pour l’Active Directory qui adore s’appuyer sur le DNS. D’ailleurs, sans le DNS l’Active Directory ne
fonctionnera pas. C’est d’ailleurs pour ça que lors de la mise en place d’un domaine, l’installation du serveur DNS est
proposée.
Le protocole DNS est utilisé pour la résolution des noms, ce qui permet aux postes clients de localiser les contrôleurs
de domaine au sein de votre système d’information. De la même manière, lorsque l’on souhaite joindre un client au
domaine, on utilise un nom comme « it-connect.local », ce qui implique une requête DNS pour savoir quelle est
l’adresse IP correspondante à ce nom, vous serez alors redirigé vers votre contrôleur de domaine qui traitera la
requête.
38. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.2 LE PROTOCOLE DNS
Le serveur DNS crée une zone correspondante à votre domaine et enregistre de nombreux enregistrements. Il y a
bien sûr un enregistrement (de type A) pour chaque contrôleur de domaine, mais il existe une multitude
d’enregistrements annexes, indispensable au bon fonctionnement de l’Active Directory :
Enregistrement pour localiser le « Primary Domain Controller » : correspondant au contrôleur de domaine qui
dispose du rôle FSMO « Émulateur PDC ».
Enregistrement pour localiser un contrôleur de domaine qui est catalogue global,
Enregistrement pour localiser les KDC du domaine (concept abordé au point suivant de ce cours),
Enregistrement pour localiser les contrôleurs de domaine du domaine cible,
Enregistrer simplement la correspondance nom/adresse IP des différents contrôleurs de domaine. Il est
également possible de créer un second enregistrement avec les adresses IPv6,
Enregistrer les contrôleurs de domaine via le GUID pour assurer la localisation dans toute la forêt.
39. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.2 LE PROTOCOLE DNS
Il est même possible que l’ensemble des ordinateurs joint
au domaine soit enregistré au sein du DNS, si vous le
permettez. Ainsi, un ordinateur de l’entreprise pourra être
joint via : pc-01.it-connect.local s’il se nomme « pc-01 ».
Le serveur DNS peut être sur le contrôleur de domaine ou
sur un autre serveur DNS du système d’information. Ce
serveur DNS peut être sous Windows mais aussi sous Linux
en utilisant le paquet « Bind 9 » qui requiert alors une
configuration particulière.
40. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.3 LE PROTOCOLE KERBEROS
Le protocole Kerberos est l’acteur principal de l’authentification au sein d’un domaine, il n’intervient ni dans
l’annuaire ni dans la résolution de noms.
Le protocole Kerberos est un protocole mature, qui est aujourd’hui en version 5. Il assure l’authentification (AS) de
manière sécurisée avec un mécanisme de distribution de clés (TGS).
41. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.3 LE PROTOCOLE KERBEROS
Chaque contrôleur de domaine dispose d’un service de distribution de clés de sécurité, appelé « Centre de
distribution de clés (KDC) » et qui réalise deux services :
• Un service d’authentification (Authentication Service – AS)
Fonctionnement
Ce service distribue des tickets spéciaux appelés « TGT » (pour « Ticket-Granting Ticket ») qui permettent
d’effectuer d’autres demandes d’accès auprès du service d’émission de tickets (TGS).
Avant qu’un client puisse obtenir un accès sur un ordinateur du domaine, il doit obtenir un TGT depuis le service
d’authentification du domaine cible. Une fois que le service d’authentification retourne le TGT, le client dispose
de l’autorisation pour effectuer sa demande auprès du TGS.
42. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.3 LE PROTOCOLE KERBEROS
Chaque contrôleur de domaine dispose d’un service de distribution de clés de sécurité, appelé « Centre de
distribution de clés (KDC) » et qui réalise deux services :
• Un service d’authentification (Authentication Service – AS)
Fonctionnement
Ce TGT obtenu pourra être réutilisé jusqu’à ce qu’il expire, mais la première demande qui déclenchera la création
d’un nouveau TGT requiert toujours un passage par le service d’authentification.
• Un service d’émission de tickets (Ticket-Granting Service - TGS)
Ce service distribue des tickets aux clients pour la connexion de la machine du domaine. En fait, quand un client
veut accéder à un ordinateur, il contacte le service d’émission de tickets correspondant au domaine auquel
appartient l’ordinateur, il présente un TGT, et effectue sa demande pour obtenir un ticket d’accès sur cet ordinateur.
On parlera alors de l’obtention d’un ticket TGS.
43. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.3 LE PROTOCOLE KERBEROS
Chaque contrôleur de domaine dispose d’un service de distribution de clés de sécurité, appelé « Centre de
distribution de clés (KDC) » et qui réalise deux services :
• Un service d’authentification (Authentication Service – AS)
Fonctionnement
Ce TGT obtenu pourra être réutilisé jusqu’à ce qu’il expire, mais la première demande qui déclenchera la création
d’un nouveau TGT requiert toujours un passage par le service d’authentification.
• Un service d’émission de tickets (Ticket-Granting Service - TGS)
Les deux services décrits précédemment ont chacun des tâches et un processus précis. Ce mécanisme
d’authentification est inévitable pour accéder aux ressources d’un domaine. Sans Kerberos, il n’y aura plus
d’authentification, ce qui déclenchera des problèmes d’authentifications et d’accès.
44. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.3 LE PROTOCOLE KERBEROS
Si le centre de distribution de clés (KDC) est indisponible depuis le réseau, l’Active Directory sera ensuite indisponible
également, et le contrôleur de domaine ne contrôlera plus longtemps le domaine.
Fonctionnement
Composition d’un ticket kerberos
Le ticket Kerberos distribué contient de nombreuses informations qui permettent d’identifier l’élément auquel est
attribué ce ticket. Par exemple, pour un utilisateur, il sera possible de savoir son nom, son mot de passe, l’identité
du poste initial ainsi que la durée de validité du ticket et sa date d’expiration.
Les tickets TGS et TGT contiennent une clé de session qui permet de chiffrer les communications suivantes afin
de sécuriser les échanges.
45. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
2.3 LE PROTOCOLE KERBEROS
46. CHAPITRE 2 : Protocoles LDAP, DNS et Kerberos
CONCLUSION
Les protocoles LDAP, DNS et Kerberos sont indispensables au bon fonctionnement de l’Active Directory.
Ils assurent des fonctions critiques :
Gestion de l’annuaire LDAP,
Authentification et gestion des sessions Kerberos,
Communication et résolution des noms DNS.
47. AGENDA
INTRODUCTION
CHAPITRE 1 : SERVICES D’ACCÈS À DES FICHIERS DISTANTS
CHAPITRE 2 : LDAP, DNS et Kerberos
CHAPITRE 3 : ACTIVE DIRECTORY
CHAPITRE 4 : COURRIER ELECTRONIQUE
CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
48. CHAPITRE 3 : ACTIVE DIRECTORY
INTRODUCTION
Active Directory est un service d’annuaire de Microsoft crée depuis 1996 pour déployer des services d'annuaire
LDAP pour les systèmes d'exploitation Windows.
En stockant dans une base de données les renseignements relatifs aux ressources réseau d'un domaine, Active
Directory a pour objectif premier de centraliser l'identification et l'authentification d'un réseau de
postes Windows.
Ses fonctions additionnelles permettent aux administrateurs de gérer efficacement une stratégie de groupe, ainsi
que l'installation des logiciels et des mises à jour sur les stations du réseau.
Active Directory est un annuaire LDAP.
49. CHAPITRE 3 : ACTIVE DIRECTORY
STRUCTURE D’ACTIVE DIRECTORY
Les objets compris dans la structure de l'Active Directory sont de trois types:
les ressources (poste de travail, imprimante, scanner, dossiers partagés, etc.)
les utilisateurs (comptes individuels et groupes, c'est-à-dire des listes d'utilisateurs avec leurs droits et leurs
services)
les services (courrier électronique,...).
Chacun des objets possède une identification unique et des attributs.
Un Active Directory permet de répertorier entre quelques centaines et plusieurs millions de ressources.
50. CHAPITRE 3 : ACTIVE DIRECTORY
ORGANISATION D’ACTIVE DIRECTORY
Les objets hiérarchisés compris dans la structure de l'Active
Directory sont de trois niveaux : les domaines, les arborescences
et les forêts.
La forêt regroupe de façon hiérarchisée un ou plusieurs
domaines indépendants, et donc l'ensemble des sous
domaines compris dans l'Active Directory
L'arbre ou arborescence contient tous les sous-domaines dans des
ramifications au sein du domaine principal.
Le domaine, la plus petite unité, représente les feuilles de l'arbre. Par exemple, les fichiers, …
L'annuaire actif sert à structurer les ressources, utilisateurs et services, et s’applique a Windows Server 2022,
Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, etc.
51. CHAPITRE 3 : ACTIVE DIRECTORY
STRUCTURE D’ACTIVE DIRECTORY
- Un domaine représente un périmètre de gestion
- Les objets pour un domaine donné sont stockés dans une
base de données unique et peuvent être gérés ensemble
- Une forêt est un périmètre de sécurité
- Les objets de différentes forêts ne peuvent pas interagir les uns
avec les autres, à moins que les administrateurs de chaque forêt ne
créent une relation de confiance entre elles
Par exemple, si vous disposez de plusieurs unités commerciales désorganisées, vous créerez peut-être plusieurs forêts.
52. CHAPITRE 3 : ACTIVE DIRECTORY
COMPOSANTS DE LA BASE DE DONNEES ACTIVE DIRECTORY
Des types d’objets AD, comme
les utilisateurs, les ordinateurs, les applications, les imprimantes et les dossiers partagés.
Certains objets peuvent contenir d’autres objets, d’où le concept de « hiérarchie » d’Active Directory.
les organisations simplifient souvent leur administration en organisant les objets AD en unités d’organisation et elles
rationalisent la sécurité en plaçant les utilisateurs dans des groupes.
Ces unités d’organisation et groupes sont eux-mêmes des objets stockés dans l’annuaire.
53. CHAPITRE 3 : ACTIVE DIRECTORY
COMPOSANTS DE LA BASE DE DONNEES ACTIVE DIRECTORY
- Visible: le nom de la personne, son mot de passe, son service et son adresse e-mail,
Les objets sont associés à des attributs:
- Invisible: l’identificateur global unique (GUID), l’identificateur de sécurité (SID), l’heure de la dernière connexion
et l’appartenance à des groupes
Active Directory peut être intégré sur des plateformes Unix grâce à des solutions proposées par Microsoft et de
nombreux autres éditeurs.
TAF: Créer un domaine Active Directory sous une famille Windows serveur de votre choix
54. AGENDA
INTRODUCTION
CHAPITRE 1 : SERVICES D’ACCÈS À DES FICHIERS DISTANTS
CHAPITRE 2 : LDAP, DNS et Kerberos
CHAPITRE 3 : ACTIVE DIRECTORY
CHAPITRE 4 : COURRIER ELECTRONIQUE
CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
55. CHAPITRE 4 : COURRIER ELECTRONIQUE
INTRODUCTION
Un courrier électronique, également appelé courriel, mail, est un message écrit, envoyé électroniquement via un
réseau informatique dans la boîte aux lettres électronique d’un destinataire.
En 1976, La reine d’Angleterre Elizabeth II envoie un courrier électronique.
C'est à l'ingénieur en électricité et programmeur Ray Tomlinson que l'on attribue la création du tout premier réseau
de courrier électronique, pour le compte de l'entreprise Bolt, Beranek and Newman. En 1971, il envoie le tout premier
courriel de l'histoire par le biais d'un programme nommé SNDMSG.
En 1977, le courrier électronique a connu la première normalisation.
56. CHAPITRE 4 : COURRIER ELECTRONIQUE
INTRODUCTION
La transmission des courriels d’un émetteur vers un
destinataire s’effectue au sein d’un ensemble du système,
nomme La messagerie électronique.
La figure ci-contre illustre clairement le principe de la
messagerie dans une organisation ou une entreprise.
Pour émettre et recevoir des mails, l’internaute doit disposer d’une adresse électronique et d’un client de messagerie
ou d’un webmail permettant l’accès aux messages via un navigateur Web.
57. CHAPITRE 4 : COURRIER ELECTRONIQUE
4.1 Qu’est-ce qu’une adresse de messagerie ?
Une adresse électronique, adresse e-mail ou adresse courriel est une chaîne de caractères permettant de recevoir du
courrier électronique dans une boîte aux lettres électronique.
Une adresse e-mail comprend les trois éléments suivants, dans cet ordre :
une partie locale, identifiant généralement une personne (djamilatou, kenmoe.marc, isabelle123) ou un nom de
service (info, vente, postmaster)
le caractère séparateur @ (arobase), signifiant at (« à » ou « chez ») en anglais
l’adresse du serveur, généralement un nom de domaine identifiant l’entreprise hébergeant la boîte électronique
(exemple.net, exemple.com, exemple.org).
Exemple d’adresse de messagerie: denis.awe@univ-maroua.cm
58. CHAPITRE 4 : COURRIER ELECTRONIQUE
4.2 Méthodes d’accéder à la messagerie
59. CHAPITRE 4 : COURRIER ELECTRONIQUE
4.2 Méthodes d’accéder à la messagerie
• Le webmail permet l’accès aux e-mails à l’aide d’un navigateur Web depuis n’importe quel ordinateur.
L’internaute accède (en HTTP) au serveur Webmail du fournisseur de messagerie en saisissant son adresse e-mail
et mot de passe pour se connecter.
Un serveur Webmail est un client interne de messagerie hébergé chez le fournisseur.
60. CHAPITRE 4 : COURRIER ELECTRONIQUE
4.2 Méthodes d’accéder à la messagerie
• Client de messagerie
L’internaute doit installer et paramétrer le logiciel de messagerie sur son ordinateur:
- Le protocole IMAP(Internet Message Access Protocol) pour recevoir les e-mails,
- et le protocole SMTP(Simple Mail Transfer Protocol) pour envoyer les e-mails vers les serveurs de messagerie
sur les ports 25 (sans chiffrement); 465 (chiffrement implicite); 587 (chiffrement explicite).
L’internaute utilise ensuite son logiciel pour recevoir et envoyer les e-mails.
L’internaute utilise ensuite son logiciel pour recevoir et envoyer les e-mails, par
exemple Windows mail, Outlook, Thunderbird, Mail (Mac), etc.
TAF: Configurer le serveur de messagerie libre hMailServer.
61. AGENDA
INTRODUCTION
CHAPITRE 1 : SERVICES D’ACCÈS À DES FICHIERS DISTANTS
CHAPITRE 2 : LDAP, DNS et Kerberos
CHAPITRE 3 : ACTIVE DIRECTORY
CHAPITRE 4 : COURRIER ELECTRONIQUE
CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
62. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
INTRODUCTION
Dans ce dernier chapitre, nous allons présenter brièvement:
le protocole d’administration réseau SNMP,
le monitoring,
et enfin la métrologie réseau.
63. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Le protocole SNMP(Simple Network Management Protocol) a été crée en 1988 par l'IETF (Internet Engineering Task Force).
SNMP permet de gérer les équipements réseau et les machines informatiques, et à la couche 7 du modèle de
référence OSI (couche application) .
SNMP est utilisé par les administrateurs réseau pour détecter à distance les problèmes qui surviennent sur leur
réseau étant donné que chaque ordinateur possède de nombreuses informations pour l'administrateur réseau (la
quantité de mémoire utilisée, l'utilisation du processeur, l'espace disque, etc.)
SNMP permet de remonter ces informations à l'administrateur pour qu’il réagisse en temps réel aux pannes
hypothétiques.
64. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Fonctionnement
Le protocole SNMP se compose de deux parties: la station de gestion
SNMP et l'agent SNMP. La station de gestion SNMP est un nœud central.
L’agent collecte et conserve les informations sur les éléments SNMP dans
une base de données appelée MIB (Management Information Base),
traite les informations et envoie les informations à l'administrateur
réseau. L'agent SNMP s'exécute sur chaque nœud de réseau géré,
collecte des informations sur le nœud, interagit avec la station de gestion
SNMP et reçoit et exécute les commandes de la station de gestion.
La communication entre la station SNMP (port 162) et l'agent SNMP (port
161) se fait via le protocole UDP.
65. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Structure of Management Information
Chaque information de la MIB peut être retrouvée soit à partir de son nom de variable,
soit à partir d’un arbre de classification. Cela revient à parcourir des sous-dossiers et
dossiers d’un disque dur.
Supposons que vous souhaitiez consulter la variable System d’un hôte, vous pouvez soit
lui demander la variable System directement, soit lui demander la variable ayant pour
OID (Object IDentification) 1.3.6.1.2.1.1… correspondant à l’arborescence de la variable
(ISO, Identified Organization, dod, Internet, Management, MIB2, System)
TAF: 1- A quoi peuvent servir les Private MIB et les MIB R-MON?
2- Installer snmpd, puis effectuer en local des tests et analyses des trames.
66. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
SNMP a trois versions: SNMPv1, SNMPv2c et SNMPv3.
SNMPv1 est la version initiale de SNMP et fournit les fonctions minimales de gestion du réseau. SNMPv1 fournit une
authentification basée sur les noms de communauté, ce qui entraîne une faible sécurité. De plus, un nombre limité
de codes d'erreur sont renvoyés par paquets.
SNMPv2c fournit également une authentification basée sur les noms de communauté. Par rapport à SNMPv1,
SNMPv2c a amélioré les codes d'erreur standard, les types de données (Counter64 et Counter32) et les opérations, y
compris GetBulk et Inform.
SNMPv3 améliore la sécurité et fournit une authentification et un cryptage basés sur le module de sécurité basé sur
l'utilisateur (USM) ainsi qu'un contrôle d'accès basé sur le modèle de contrôle d'accès basé sur la vue (VACM).
SNMPv3 prend en charge les mêmes opérations que SNMPv2c.
67. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Fonctionnement et manipulation des Traps
Les commandes get-request, get-next-request et set-resquest sont toutes émises par le manager à destination d'un agent et
attendent toutes une réponse get-response de la part de l'agent.
La commande Trap est une alerte. Elle est toujours émise par l'agent à destination du manager et n'attend pas de réponse.
68. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Les ports SNMP
Port 161: ce numéro de port est utilisé lorsque le NMS envoie des demandes Get, GetNext, GetBulk et Set et que
l'agent SNMP répond à ces demandes.
Ce numéro de port est configurable. Assurez-vous que le numéro de port utilisé par le NMS pour envoyer les paquets
de demande est le même que celui utilisé par l'agent SNMP pour répondre aux paquets de demande.
Port 162: ce numéro de port est utilisé par l'agent SNMP pour envoyer des interruptions ou informer des messages
au NMS.
Ce numéro de port est configurable. Assurez-vous que le numéro de port utilisé par l'agent SNMP pour envoyer des
interruptions ou informer des messages est le même que celui utilisé par le NMS pour écouter les interruptions ou
informer des messages.
69. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Commandes d'opération SNMP
Le protocole SNMP est facile à utiliser car il fournit trois commandes de fonctionnement de base pour contrôler les
objets MIB.
Get: la station de gestion lit les informations sur l'objet agent. Il s'agit de la commande la plus fréquemment utilisée
dans le protocole SNMP car c'est le moyen de base pour obtenir des informations de gestion à partir des
périphériques réseau.
Set: La station de gestion définit la valeur de l'objet au niveau de l'agent. Il s'agit d'une commande privilégiée car elle
permet de modifier la configuration de l'appareil ou de contrôler l'état de fonctionnement de l'appareil. Il peut
définir le nom d'un périphérique, arrêter un port ou effacer des entrées dans une table de résolution d'adresses, etc.
Trap: l'agent signale de manière proactive les événements importants à la station de gestion. La fonction de l'agent de
gestion est d'informer le système de gestion de réseau de certaines situations ou problèmes particuliers sans exigences
spécifiques du système de gestion de réseau. Par ex. ColdStart, WarmStart, LinkUP et AuthentificationFailure
70. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.1- LE PROTOCOLE SNMP
Commandes d'opération SNMP
Il existe quatre types de requêtes :
GetRequest : permet d’obtenir une variable.
GetNextRequest : permet d’obtenir la variable suivante (si existante, sinon retour d’erreur).
GetBulk : " permet la recherche d’un ensemble de variables regroupées. «
SetRequest : permet de modifier la valeur d’une variable.
Puis, les réponses:
GetResponse : permet à l’agent de retourner la réponse au NMS(Network Management Station).
NoSuchObject : informe le NMS que la variable n’est pas disponible.
Les types d’erreurs sont les suivants : NoAccess, WrongLenght, WrongValue, WeongType, WrongEncoding, NoCreatio,
NoWritable et AuthorisationError.
71. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.2- LE MONITORING
La supervision réseau (ou monitoring) désigne la surveillance du bon fonctionnement d'un système ou d'une activité.
Elle permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systèmes informatiques,
mais aussi d'avoir une vue globale du fonctionnement et des problèmes pouvant survenir dans un réseau.
Le monitoring se préoccupe des 04 aspects suivants:
Technique: surveillance du réseau, de l'infrastructure et des machines.
Applicative: surveillance des applications et processus métiers.
Contrat de services: surveillance respect des indicateurs.
Métiers: surveillance des processus métiers de l'entreprise.
72. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.2- LE MONITORING
Comment marche-t-il?
La supervision réseau peut être mise en œuvre sur la base d’analyse de logs, de résultats de commandes et de scripts
locaux mais c’est surtout sur la base de protocoles standards comme le protocole snmp que le monitoring des réseaux
informatiques fonctionne.
De nombreux logiciels de monitoring existent sur internet. La communauté du logiciel libre (open source) est
particulièrement active dans le domaine, par exemple avec des logiciels open source disponibles comme Nagios, ZENOSS
CACTI, etc.
Ces logiciels permettent d’assister l’administrateur grâce aux alertes SMS, email mais aussi en proposant des solutions
concrètes pour résoudre ou anticiper un problème.
73. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.2- LE MONITORING
Avantages d’utilisation des logiciels de surveillance
effectuent des analyses et des diagnostics réseau constants ;
veillent en permanence au bon fonctionnement des processus sur le réseau ;
centralisent les données clés à monitorer et l’information de la santé du réseau ;
assurent l’envoi d’alertes aux agents de l’équipe informatique dès qu’une anomalie est détectée
74. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.2- LE MONITORING
75. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
La métrologie désigne la science des mesures.
En réseau informatique, l’objectif de la métrologie est :
- de connaître et comprendre le réseau afin de pouvoir,
- non seulement intervenir dans l'urgence en cas de problème,
- mais aussi anticiper l'évolution du réseau,
- planifier l'introduction de nouvelles applications et améliorer les performances pour les utilisateurs
76. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
La métrologie des réseaux désigne donc la mesure des caractéristiques d'un réseau sous de nombreux aspects.
La complexité du réseau étant en augmentation constante, la mesure du comportement de ce réseau est devenue
essentielle pour avoir une compréhension de son fonctionnement et de l'interaction des protocoles mis successivement
en œuvre. Selon le résultat attendu, la nature des mesures et les méthodes employées seront bien différentes. .
Lorsque l'on effectue des mesures, il faut tenir compte de plusieurs facteurs :
• Les caractéristiques du trafic IP
• Les métriques pour la QoS
77. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
Le trafic IP est subdivise en 02 classes:
Le trafic de type « streaming », dont la durée et le débit sont des éléments incompressibles. En effet, ce trafic est
associé à la notion de services « orientés connexion », son intégrité temporelle doit être préservée par le réseau. Le
délai de transfert des données et la gigue, doivent être contrôlables, tandis qu'un certain degré de perte de paquets
peut être tolérable. Les flux de trafic streaming sont typiquement produits par les services téléphoniques et vidéo.
Le trafic dit « élastique », ainsi nommé car son débit peut s'adapter à des contraintes extérieures (bande passante
insuffisante par exemple) sans pour autant remettre en cause la viabilité du service. Cette classe de trafic est
essentiellement engendrée par le transfert d'objets numériques tels que des pages Web (application HTTP), des
messages électroniques (e-mail, application SMTP) ou des fichiers de données (application FTP). Le respect de leur
intégrité est indispensable mais les contraintes de délai de transfert sont moins fortes.
78. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
Les métriques pour la QoS se limitent a 03 points importants:
Le délai de transmission des paquets,
Le débit,
Le taux de perte au niveau des paquets.
Tenir aussi compte de:
Complexité et taille du réseau
Référence temporelle unique inexistante
Rapatriement des mesures aux points de traitement
Adapter les mesures aux supports
79. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
La métrologie des réseaux se présente sous 02 formes: passive et active.
Les mesures passives ont pour objectif la mesure des flots réseaux dans un point particulier du réseau.
Les mesures passives macroscopiques sont effectuées sur des métriques agrégées comme le débit total, le débit par
flot ou le nombre de connexions traversant le point de mesures.
Les mesures passives microscopiques tendent à enregistrer des informations sur chacun des paquets qui traversent un
point (un routeur ou un point de présence POP) du réseau. Ces informations, qui sont fréquemment l'entête des
paquets ainsi que la taille des paquets, permettent ensuite de dépiler les connections qui ont partagées une ressource
à un instant donné.
80. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
La métrologie passive est confrontée à plusieurs problèmes :
- Il est nécessaire d'adapter la précision et la capacité de traitement en fonction du débit, car on ne peut mesurer de
la même manière le débit d'un réseau LAN et celui du backbone d'un opérateur.
- Il faudrait avoir la possibilité de corréler les événements de plusieurs traces et de suivre les flux à travers le réseau.
- Il est également nécessaire de trouver un moyen de ramener les données vers les machines d'analyse de façon
efficace et sans trop influer sur le réseau et sa charge.
- Enfin, il se pose un problème juridique lié aux données collectées.
81. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
Outils de métrologie passive:
- TCPDump, Ethéreal, qui sont les outils de métrologie passive de base
- SNMP et les MIBs
- Traffic Designer
- IPANEMA
- DAG
- Netflow, pour les statistiques de données de flux
82. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
La métrologie des réseaux se présente sous 02 formes: passive et active.
Le principe des mesures actives est fondé sur l'hypothèse que la qualité offerte de bout en bout ne peut être évaluée
que par une application qui emprunte ce lien.
Les mesures actives visent à mesurer directement la qualité de service du réseau telle qu'elle est ressentie par une
application quelconque sur le réseau.
Pour les mécanismes de mesures actives chaque paquet émis est une sonde qui en traversant le réseau se charge de
l'information de qualité du lien. Le trafic généré par un mécanisme de mesures actives est restreint de façon à ne pas
perturber l'état du réseau. Les métriques mesurées par les mesures actives sont généralement le processus de pertes
et la variation de délai observé par les paquets sondes.
83. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
La métrologie passive est aussi confrontée à des problèmes :
Les outils de métrologie active doivent générer du trafic pour effectuer leurs mesures, ce qui peut engendrer des
perturbations sur le réseau. En effet, si l'on souhaite mesurer la bande passante à un instant X, il faut envoyer des
trames de plus en plus grande, jusqu'à constater des pertes (et donc la saturation du lien)
Ensuite, la précision des mesures est difficiles à assurer : par exemple, le calcul du délai de transmission d'un paquet
peut poser problème dans le cas ou l'on souhaite avoir uniquement le temps du trajet aller (cela pose moins de
problèmes pour les temps d'aller-retour comme ping peut le faire). Il faut donc trouver un moyen pour s'assurer que
les sondes sont bien synchroniser sur la même heure, car dans le cas contraire, la mesure n'aurait plus d'intérêt.
84. CHAPITRE 5 : LE MONITORING ET LA METROLOGIE
5.3- LA METROLOGIE
Outils de métrologie active:
- Ping, Traceroute, qui sont les outils de métrologie active de base
- MGEN
- CoSMon
- Cisco SAA
- NIMI
- RIPE-TTM
83/83