Mémoire L3

ECOLE NATIONALE D’INFORMATIQUE [TAPEZ ICI] RIO TINTO
Service d’authentification et surveillance système et réseau 1
Couverture

CURRICULUM VITAE
HERINIAINA Jean Luc
Tanambao, Fianarantsoa
Lot IB 349/3611
mobile : 034 25 242 02
E-mail: heriniaina.luk@gmail.com
Né le 23 Mars 1993 (22 ans) à Taolanaro
LICENCE PROFESSIONNELLE EN INFORMATIQUE
SPÉCIALISÉ EN ADMINISTRATION SYSTEME ET RESEAU
Formation
2015 Troisième année à l’Ecole Nationale d’Informatique Fianarantsoa.
2014 Deuxième année à l’Ecole Nationale d’Informatique Fianarantsoa.
2013 Première année à l’Ecole Nationale d’ Informatique Fianarantsoa.
2012 Baccalauréat Générale série scientifique série D, au collège Sacre Cœur, Fort-Dauphin.
Autre formation
‘
2014 Formation Anglais Américain au ‘English Center Fort-Dauphin’.
2009 Informatique Bureautique (Word, Excel, PowerPoint, Publisher)
Expérience professionnelle
Mars 2015 : - Audit et surveillance réseau avec notification sms et mail.
Octobre 2015: - Projet javaFx (Gestion de bourse) avec MySQL.
Octobre 2015 : - Projet VoIP (Dial plan, Voice Mail, Meetme, IVR et CDR),
- Projet de routage dynamique (MPLS),
- Projet de Windows serveur (Network Load Balancing).
Mars 2014 : - Administrateur système et réseau au Rio Tinto QMM à Fort- Dauphin
(Élargissement de la zone de couverture réseau)
 Installation du matériel,
 Prise en charge de la maintenance des équipements,
 Préparation du matériel et des logiciels en fonction de différents
paramètres.
Septembre 2014 : - Projet langage perl (expression régulière) ;
- Développement web avec PHP, CSS, JQuery.
Octobre 2014 : - Projet de supervision à distance de router Cisco, client linux et Windows.

- Projet de routage statique et dynamique (RIP, OSPF, BGP).
Septembre-Octobre 2013 : - Projet de fin d’année à l’Ecole Nationale d’ Informatique (Développement
d’application d’interface graphique de configuration LAN avec QT Creator
et C++).
- Projet de fin d’année au sein de l’école (Développement de site Web
Dynamique avec le langage HTML, CSS, JavaScript, jQuery).
Compétences
Langues
Centres d’intérêt
Voyages :
Sport :
Association :
Passions :

REMERCIEMENTS

SOMMAIRE GENERAL

NOMENCLATURE

LISTE DES TABLEAUX

LISTE DES FIGURES

INTRODUCTION GENERALE

Chapitre 1 : PRESENTATION DE L’ECOLE NATIONALE D’INFORMATIQUE
1.1. Localisation
L’école Nationale d’informatique (ENI) se situe à Tanambao Fianarantsoa, sa boîte postale est
1487 avec le code postal 301, son téléphone est 75 508 01 et son adresse électronique est eni@univ-
fianar.mg.
1.2. Historique
L’ENI de l’université de Fianarantsoa constitue à l’heure actuelle la pépinière des élites
informaticiennes malgache. On peut considérer cette Ecole Supérieure comme la vitrine et la mesure
de l’avance technologie du pays. Elle se positionne dans le système socio-éducatif malgache comme
le plus puissant vecteur de diffusion et de vulgarisation des connaissances et des technologies
informatiques. L’ENI a été créée par le décret N°83/185 du 24Mai 1983, l’ENI ou l’Ecole National
d’Informatique est le seul établissement universitaire professionnalisé du pays pour mission de former
des Techniciens Supérieurs, des Licenciés en informatique et des Ingénieurs informaticiens de haut
niveau, aptes à répondre aux besoins et exigences d’informatique des entreprises, des sociétés et
des organismes implantés à Madagascar.
La filière de formation d’analystes programmeurs a été créée en 1983, et a été gelée par la suite en
1996.
La filière de formation d’Ingénieurs a été ouverte à l’Ecole en 1986.
La filière de formation de techniciens supérieurs en maintenance des systèmes informatique a été
mise en place à l’Ecole en 1996 grâce à l’appui matériel et financier de la Mission Française de
coopération dans la cadre du Programme de Renforcement de l’Enseignement Supérieurs(PRESUP).
Une formation pour l’obtention de la certification CCNA et/ou Network+, appelée « Cisco Network
Academy » à Madagascar, en 2002-2003, a été créé grâce au partenariat avec Cisco System et
l’Ecole Supérieure Polytechnique d’Antananarivo(ESPA).
Une formation Doctorale a été ouvert depuis l’année universitaire 2003-2004 avec une parfaite
coopération entre l’université de Fianarantsoa(ENI) et celle de Toulouse.
Une formation en Licence professionnel3e en informatique ayant comme options : Système et
Réseau (SR), Génie logiciel et Base des données(GB), a été ouverte pendant l’année universitaire
2007-2008.
Enfin une formation en Licence hybride en informatique a été mise en place depuis l’année
universitaire 2011-2012, à Fianarantsoa et Toliara.
Domaines de spécialisation :
 Génie logiciel et Base de données
 Maintenance des systèmes information
 Administration des systèmes et des réseaux
 Modélisation environnementale et système d’Information géographique

1.2.1. Organigramme de l’Ecole Nationale d’Informatique
Figure 1 : Organigramme de l’Ecole Nationale d’Informatique
1.3. PARTENARIAT
1.3.1. Au niveau national
Les stages pratiqués chaque année par ses étudiants mettent l’Ecole en relation permanente
avec plus de 300 entreprises, sociétés et organismes publics et privés nationaux.
L’organisation de stage en entreprise contribue non seulement à assurer une meilleure
professionnalisation et des formations dispensées, mais elle accroit également de façon
exceptionnelle les opportunités d’embauche pour les diplômés.
Les diplômes de l’ENI sont recrutés non seulement par des entreprises et organismes nationaux,
mais ils sont aussi embauchés dans des organismes de coopération internationale tels que l’USSAID
MADAGASCAR, la délégation de la commission Européenne, la commission de l’océan indien, etc…
1.3.1. Au niveau international
Entre 1996 et 1999, l’ENI a bénéficié de l’assistance technique et financière de la Mission
Française de Coopération et d’Action Culturelle dans le cadre du PRESUP.
L’ENI a signé des accords de coopération interuniversitaire avec : l’IREMA de l’université de la
Réunion, l’université de Rennes1 et l’Institution National Polytechnique de Grenoble(INPG).
Depuis le mois de juillet 2001, l’ENI abrite le centre du réseau Opérationnel (Network Operating
Center) du point d’accès à internet de l’Ecole et de l’université de Fianarantsoa. Grace à ce projet
Américain financé par l’USAID Madagascar, l’ENI et l’université de Fianarantsoa sont maintenant
dotées d’une ligne spécialisés d’accès permanent à l’Internet. Par ailleurs depuis 2002, une nouvelle
branche à vocation professionnelle a pu y mettre mise en place, en partenariat avec Cisco System.

L’ENI a noué des relations de coopération avec l’institut de recherche pour le
développement(IRD).L’objet de la coopération porte sur la Modélisation environnementale du corridor
forestier de Fianarantsoa. Dans le même cadre, un atelier scientifique international sur la
modélisation des paysages a été organisé à l’ENI au mois de septembre 2008.
1.4. Perspectives
 Restructuration du système pédagogique de l’Ecole selon le schéma LMD (Licence Master
Doctorat).
 Mise en place à l’Ecole d’un Département de 3emecycle et d’études Doctorales en
Informatique
 Création de l’unité de Production MultiMedia, d’un club de logiciel libre Unix.
 Mise en place à l’Ecole de la Formation Hybride, au centre Fianarantsoa et Toliara.
1.4.1. Missions
L’ENI forme des techniciens, des licenciés et des ingénieurs directement opérationnels au terme
de leur formation respective. Ce qui oblige l’Ecole à entretenir des relations de collaboration étroites
et permanentes avec les entreprises et le monde professionnel de l’Informatique à Madagascar.
La responsabilité de l’Ecole pour cette professionnalisation des formations dispensées implique de :
Suivre les progrès technologiques en informatique (recherche appliquée, veille technologique,
technologie réseau, MultiMedia, internet,…)
Prendre en considération dans les programmes de formation les besoins évolutifs des entreprises et
des autres utilisations effectives et potentielles, de la technologie informatique.
Cependant la professionnalisation ne peut se faire en vase close ; elle exige une « orientation client »
et une « orientation marché». Ces sont les entreprises qui connaissent le mieux leurs besoins en
personnel informatique qualifié. Ces entreprises partenaires collaborent avec l’ENI en présentant des
pistes et des recommandations pour aménager et réactualiser périodiquement les programmes de
formation. Ainsi, dans le cadre de ce partenariat avec les sociétés dans les divers bassins d’emploi
en informatique, l’ENI offre sur le marché de l’emploi des cadres de bon niveau, à jour et directement
opérationnels.
L’architecture des programmes pédagogique à l’Ecole s’appuie sur le couple théorique-pratique :
 Des enseignements théoriques et pratiques de haut niveau sont dispenses intra-muros.
 Des voyages d’études sont effectués par les étudiants en quatrième année.
 Des stages d’application et d’insertion professionnelle sont pratiqués en entreprise chaque
année par les étudiants au terme de chaque formation académique à l’Ecole.
Les stages effectués en entreprise par les étudiants de l’ENI sont principalement des stages de pré-
embauche. Ces stages pratiques font assurer à l’ENI un taux moyen d’embauche de 97%, six mois
après la sortie de chaque promotion de diplômés.
L’ENI propose plusieurs formations et délivre des diplômes à chaque formation :
Cycle Licence en informatique spécialisé en systèmes et réseaux, puis en génie logiciel et base de
données, aboutissent au diplôme universitaire de licenciés informaticiens.

Cycle de formation d’ingénieurs informaticiens avec des compétences en gestion, systèmes et
réseaux, de niveau Baccalauréat+5 ans.
La formation en DEA en informatique organisée en partenariat avec l’université Paul Sabatier de
Toulouse. Les trois meilleurs étudiants de la promotion effectuent les trava4x de recherche à
Toulouse. Cette formation est un élément de la mise en place progressivement à l’ENI.
Une formation non diplômant en CISCO ACADEMY, soutenue par les Américains, avec certification
CCNA.
Le recrutement d’étudiants à l’ENI se fait chaque année uniquement par voie de concours
d’envergure, excepté celui concernant le « Cisco A Academy» et celui de la DEA, qui font l’objet de
sélection de dossier de candidature.

Chapitre 2 : PRESENTATION DE L’ENTREPRISE
2.1. Sur du Rio Tinto
Rio Tinto est un leader mondial dans le domaine de l’exploitation minière ayant son bureau dans
le Royaume-Uni et combinant Rio Tinto Plc, une société anonyme cotée en bourse à Londres et à
New York, et Rio Tinto Limited, cotée en bourse en Australie. Fortune 500 nous a classés au rang de
dixième entreprise la plus rentable au monde en termes de pourcentage de bénéfices nets sur les
revenus. Par ailleurs Rio Tinto se trouve être la seule compagnie minière parmi les dix entreprises en
tête du classement.
Le groupe est divisé en cinq branches d'activité : l'aluminium, le cuivre, les diamants et autres
minéraux, l'énergie et le minerai de fer. En 2007, il se composait de 80 entreprises établies dans 50
pays, emploient approximativement 103 000 personnes et en 2008, les bénéfices sous-jacents
étaient de 10,3 Milliards de dollars US. Les opérations comprennent des mines, des raffineries, des
fonderies et des installations de recherche…
2.1.1. Historique
Le Nom de la société provient de la rivière Rio Tinto, qui est devenue rouge, en raison d'une
pollution historique (drainage minier acide, causé par l'exploitation très ancienne de mines,
probablement dès l'Antiquité). Hugh Matheson fut le premier président de la société qui a organisé
l'achat des mines de Rio Tinto en Espagne.
La mine à ciel ouvert de Rio Tinto a été l'un des sites d'abord exploité en Espagne par le groupe Rio
Tinto dans les années 1980. La Pyrite a été l'un des principaux produits exploités par les premières
mines de Rio Tinto, non sans dégrader l'environnement.
2.1.2. Poids économique
Ses actifs principaux se trouvent en Australie (minerai de fer, charbon, aluminium), aux États-
Unis (cuivre, charbon), au Canada (aluminium et autres), en Amérique latine et en Afrique du Sud.
En mars 2009, Rio Tinto était réputée être la quatrième société minière au monde, avec un capital
d'environ 34 milliards et le groupe a été répertorié en 2008 par le magazine Fortune à la 263e place
dans le classement mondial des plus grandes entreprises Fortune Global 500[6].
Au Canada, en plus de l'aluminium d'Alcan, l'entreprise contrôle plusieurs mines et usines de métaux
de base. Par exemple, Rio Tinto possède, au Québec, QIT-Fer et Titane qui exploite le plus grand
gisement d'ilménite massive au monde, situé au lac Tito, à 43 kilomètres de Havre-Saint-Pierre sur la
Côte-Nord. À Sorel-Tracy, QIT extrait de ce minerai le dioxyde de titane utilisé comme pigment blanc
(opacifiant) dans les peintures, plastiques, papiers, etc., et comme principale source de titane. Elle
possède également, au Labrador, 59 % dans IOC, la plus importante mine de fer au Canada.

Figure. 2: localisation des opérations du Rio Tinto
2.1.3. Poids financier :
En 2006, Rio Tinto a déclaré un chiffre d'affaires de 22,5 milliards de dollars et des revenus de
8,6 milliards CAD. En 2007, la société a été évaluée à 147 milliards de dollars.
Bien que la société ait une longue histoire de compte d'exploitation positifs, et de bons rendements
pour les investisseurs, et malgré la forte demande en métaux de la part de la Chine, en 2007, le
rachat de la société canadienne Alcan pour 38,1 milliards de dollars a substantiellement endetté le
groupe Rio Tinto.
2.1.4. Importantes fusions et acquisitions :
Comme beaucoup de grandes sociétés minières, le groupe Rio Tinto a grandi à travers des
séries de fusions-acquisitions.
En octobre 2007, Rio Tinto a racheté, pour 38,1 milliards USD, le producteur canadien Alcan. Il est
ainsi devenu le numéro un mondial de l'aluminium devant le russe Rusal et l'américain Alcoa. La
nouvelle entité créée a pris le nom de Rio Tinto Alcan.
En février 2009, Rio Tinto tente d'obtenir la participation financière de Chinalco dans le but de
respecter ses obligations financières, dont le remboursement de 9 milliards USD de dettes vers la fin
de l'année 2009. Elle a vendu des actifs à Vale pour améliorer sa situation financière. De plus, elle a
annoncé la mise à pied de 14 000 employés pendant l'année 2009. Le 12 février 2009, Chinalco a
décidé d'investir 19,5 milliards USD dans Rio Tinto. En juin 2009, Rio Tinto a préféré obtenir du
financement auprès du marché public, tout en signant un partenariat avec BHP Billiton, délaissant
Chinalco dans le processus. Des journalistes spécialisés spéculent que le gouvernement chinois
exerce des représailles à l'encontre de Rio Tinto pour l'inciter à accepter une prise de contrôle par
Chinalco.

En août 2010, une nouvelle société, Alcan EP, est créée, regroupant l'activité produits usinés, c'est-
à-dire les anciennes activités de Pechiney dans les produits usinés en aluminium pour l'aéronautique
civile et militaire, l'automobile, la construction ferroviaire ou l'industrie.
Début 2011, 51 % d'Alcan EP sont cédés à un fonds d'investissement américain, Apollo, et 10 % sont
cédés au fonds souverain français, le Fonds Stratégique d'Investissement. Rio Tinto Alcan conserve
le solde du capital, soit 39 %. Alcan EP compte 70 sites et 11 000 salariés dans le monde, dont 5000
en France. Alcan EP a vocation à revenir en Bourse.
2.2. Sur du QMM
QMM est divisé en 12 départements, tous sous la direction du Président général : Ny Fanja
RAKOTOMALALA :
 Directeur des Ressources Humaines
 Directeur de la Communication et des affaires gouvernementales
 Directeur Environnement
 Directeur des Relations Communautaires et Développement Durable
 Directeur Financier et Contrôleur intérim
 Directeur du Port d'Ehoala
 Service Delivery Manager
 Compliance Manger
 Directeur Général des Opérations
 Directeur SPH
 Responsable Juridique
 Directeur de la Sécurité

QIT Madagascar Minérales est une société minière membre du Groupe Rio Tinto. Nous exploitons
des gisements d’ilménite dans la région Anosy dont les 75 millions de tonnes de réserves nous
assurent plus de 40 ans de production.
2.2.1. Historique :
QMM SA est née en 1986 après la signature du Joint-venture entre l’OMNIS et QIT Fer et
Titane Inc. C’est donc une société de coparticipation qui a été constituée en vue de prospecter la
Côte Est de Madagascar pour la recherche de sables minéralisés.
De 1986 à 1988, la société a commencé à effectuer des recherches géologiques, qui ont abouti à la
découverte d’un gisement de minerai d’une valeur économique potentielle près de Fort-Dauphin dans
le Sud-est de Madagascar.

Figure 3 : Localisation des opérations du QMM à Fort-Dauphin
De 1988 à 1992, la société est entrée dans PHASE I, c’est-à-dire aux études sociales et
environnementales, suivi d’une négociation de l’entente juridique et fiscale.
Un processus de consultation publique au niveau régional, national et international permet d’informer
et de consulter la population sur l’orientation et l’évolution des travaux afin de déterminer ses
préoccupations et attentes dans la conception du projet minier et des infrastructures publiques
associés dans un cadre de développement régional a été lancée. Les résultats ont servi à
l’établissement des termes de références des études sociales et environnementales PHASE II, d’une
durée de deux ans, dans le cadre de la MECIE.
La décision d’Investissement a été annoncée officiellement le 04 Août 2005 par le Premier ministre
Jacques Sylla, les représentants de Rio Tinto, ainsi que les représentants de l’OMNIS, venu en
personne sur les lieux.
QMM débutera donc les travaux de constructions : routes, port, usines et autres infrastructures d’une
durée de trois (03) ans, au premier trimestre de l’an 2006 et l’exploitation en l’an 2008.
2.2.2 Localisation
La côte QIT Madagascar Minerals (QMM), détenue à hauteur de 80% par Rio Tinto et de 20%
par l’Etat malgache, a mis en chantier une opération d’extraction de sables minéralisés près de Fort
Dauphin à l’extrémité sud-est de Madagascar. Au cours des 40 années à venir, QMM prévoit extraire
de l'ilménite et du zircon à partir des sables minéraux lourds sur une zone d'environ 6000 hectares le
long.

2.2.3 Exploitation minière
Le principal domaine d’activité de la société QMM est l’exploitation de l’ilménite. L'activité
minière actuelle est localisée au site de Mandena sur 2000 ha, au nord de Fort-Dauphin. La
production de ce site augmentera pour atteindre éventuellement 750.000 tonnes par an. Les phases
ultérieures se dérouleront à Sainte Luce et Petriky.
Les activités principales liées à l’exploitation minière des sables minéraux de QMM sont :
 Enlèvement de la couverture végétale et stockage de la couche d'humus le cas échéant ;
 Extraction du sable, jusqu'à 20 mètres de profondeur, à l'aide d'une drague flottante ;
 Séparation mécanique des minerais lourds (5%) au moyen de spirales, et le sable siliceux résiduel (95%) sera
retournée dans le gisement en vue des opérations de réhabilitation futures ;
 Séparation de l'ilménite et du zircon des autres minerais lourds en utilisant des procédés magnétiques et
électrostatiques ;
 Acheminement par camion de l'ilménite et du zircon sur environ 15 km par une nouvelle route de desserte
vers le port.
L'ilménite extraite dans la région de fort-dauphin a une teneur en TiO2 de 60%, ce qui lui confère une
qualité supérieure à celle de la plupart des autres gisements dans le monde.
La matière première sera enrichie pour produire de nouvelles scories à 90% de chlorure de dioxyde
de titane destinées aux marchés globaux de matières premières de titane pour être vendues comme
matière de base aux producteurs de pigment de titane. Le pigment confère une couleur de finition
blanche aux peintures, plastiques, papiers et teintures.
2.2.4 Education
L’appui de Rio Tinto QMM au secteur de l’Education dans l’Anosy a débuté dès son
implantation en tant que Projet dans la Région. La société se positionnait déjà en ces temps-là
comme un partenaire du développement. C’est pourquoi les appuis se basaient généralement sur les
priorités identifiées par les plans de développement des communes rurales environnantes :
construction et réhabilitation d’établissements scolaires.
Un projet d’éducation pour ces enfants et jeunes déscolarisés ou analphabètes a été élaboré. Des
partenariats avec le PNUD (qui œuvre déjà dans le domaine de l’éducation des enfants
déscolarisés), la direction régionale de l’éducation nationale (pour valider officiellement les certificats
délivrés aux élèves) et l’ONG Cielo Terra (qui a les compétences nécessaires pour promouvoir et
mettre en œuvre le projet d’éducation) ont été conclus pour mener à bien le projet.

Chapitre 3 : DESCRIPTION DU PROJET
Le projet tel qu’il m’a été présenté lors de ma première réunion avec l’administrateur réseau du
Rio Tinto QMM et le chef de service infrastructure IS&T qui est mon encadreur professionnel,
consistait l’implémentation d’infrastructure d’active directory et d’authentification sécurisé ainsi que la
supervision du système et réseau.
La chronologie du projet devait s’articuler autour de quatre axes :
 Installation et configuration de Samba 4 et Winbind
 Installation et configuration du serveur FreeRADIUS et couplage avec Winbind.
 Mise en place d’outil de surveillance système et réseau avec Zabbix;
 Installation et configuration de Zabbix ;
 Ajout du matériel et serveur à surveiller ;
 Teste du service sur le réseau de l’entreprise ;
 Active Directory Domaine Contrôleur ;
 Authentification du client FreeRadius et l’utilisateur.
 Mise en œuvre du projet sur le réseau GEUST de l’entreprise.
3.1. Objectif et besoins de l’entreprise
Mon projet au sein de l’entreprise est de mettre un serveur pour contrôler la machine et
l’utilisateur ainsi que les matériels connecté dans le réseau, j’ai décidé donc de mettre en place un
serveur d’active directory pour centralisé l’authentification du client précisément l’employer du QMM
et leur invité, en suite, une méthode sécurisé pour s’authentifier aux point d’accès du réseau sans fil
et à fin, surveiller tous les serveurs, les routeurs, et les matériels connecté au sein du réseau QMM,
cela est a pour objectif de sécuriser l’accès au réseau QMM pour mieux contrôler l’utilisateur et
l’activité de l’entreprise.
Les objectifs de ce projet pour l’entreprise sont les suivants :
 Installation et configuration du serveur Samba 4 comme Active Directory Domain Controler
 Teste de connexion de la machine Windows 7 sur le serveur AD DC
 Installation de l’outil d’administration de serveur à distance
 Installation de Winbind
 Installation du serveur FreeRADIUS
 Configuration du Client FreeRADIUS
 Configuration de l’autorisation de client FreeRADIUS
 Configuration de l’authentification de l’utilisateur du réseau sans fil avec Winbind
 Configuration de routeur pour s’authentifier au près du serveur FreeRADIUS
 Configuration de l’AP pour utiliser le serveur FreeRADIUS
 Installation et configuration du serveur Zabbix
 Ajout des matériels à surveiller sur Zabbix
 Teste Final pour la mise en œuvre
 Mise en œuvre du projet au sein de l’entreprise

3.2. Moyens nécessaires à la réalisation du projet
3.2.1. Moyen humain
Un administrateur réseau du QMM qui va m’accompagner pour le teste de mise en œuvre
final chaque soir et deux stagiaire pour le client de teste et le chef de service infrastructure pour
superviser et accordé le teste demander.
3.2.2. Moyen matériel et financier
Pour réaliser le travail, l’entreprise a donné de matériel nécessaire pour la documentation et la
mise en œuvre du projet :
 Un ordinateur de bureau, pour la documentation et l’analyse du trafic réseau
 RAM : 4Go
 CPU : 2,7 GHz
 HDD : 80 Go
 Fabricant : DELL
 Un serveur, pour la mise en œuvre
 CPU X5355 @ 2.66GHz
 Un point d’accès sans fil, pour le teste d’authentification
 Fabricant : Cisco System, Inc.
 Version : Cisco Aironet 1200 serie
 Un switch, pour la mise en œuvre
 Fabricant : Cisco System, Inc.
 Version : Cisco 3500 EX
3.3. Résultats attendus
Voici le résultat que l’entreprise a besoin au final de ce projet :
Toutes les machines connectée au réseau Guest du QMM doit s’authentifier sur le contrôleur du
domaine ; du même mot de passe, il peut s’authentifier sur le point d’accès sans fil. Du côté de
l’administrateur, l’Administrateur peut surveiller la bande passante du routeur, le switch ainsi que le
point d’accès.

Chapitre 4 : ANALYSE PREALABLE
4.1. Analyse de l’existant et besoin de l’entreprise
Une bonne compréhension de l'environnement informatique aide à déterminer la portée du
projet d'implémentation des solutions.
La phase d'analyse permet de lister les résultats attendus, en termes de fonctionnalités, de
performance, de robustesse, de maintenance, de sécurité, d'extensibilité, etc.
La phase de conception permet de décrire de manière non ambiguë, le plus souvent en utilisant un
langage de modélisation, le fonctionnement futur du système, afin d'en faciliter la réalisation.
Il sera nécessaire de réaliser une analyse de l’existant avant de passer à la phase de conception.
Le réseau QMM Guest a la même topologie du réseau Rio Tinto Corp, la différence est le réseau
Corp se connecte vers RioNet mondial et le réseau QMM Guest se connecte via le FAI TELMA.
4.1.1. Topologie réseau
Figure 4 : Topologie de réseau du Rio Tinto QMM
4.1.2. Type du réseau
Pour savoir le réseau est mieux comprendre la topologie du réseau, il est nécessaires de savoir la
différente type du réseau existe pour l’analyse de l’existant. Il permet de connaitre le réseau utilisé
comme le LAN, WAN, Wi Max, la vitesse et surtout la protection.

Les tableaux ci-dessous montrent le type du réseau Rio Tinto QMM :
Type Vitesse Protection
LAN 100 Mbs Authentification AD DC (Corp)
Wireless LAN
Guest : 54 Mbs
RTCorp :
Guest : WPA
RTCorp : Auth Radius
WiMax 100 Mbs Réseau privée
Fibre Optique 1Go/s Auth Radius (Corp)
Le tableau ci-dessous montre que l’accès aux réseaux de Rio Tinto sont fortement protégé
mais ce n’est pas le cas pour le Guest. Pour connecter au réseau LAN, il faut ouvrir la machine à un
compte Rio Tinto qui a été créé à l’étranger et c’est la même pour le WLAN Rio Tinto (RTCorp). Le
Wi Max sert pour la liaison entre les sites et il est protégé par son configuration et du mot de passe.
La fibre optique sert à lier entre deux switch pour supporter VLAN/VTP et la connexion du port PCC
est assuré par la liaison fibre optique.
connexion Technologie Fonctionnement
TELMA LINK Wi Max LLI
TELMA LINK Wi Max Point to Point
Satellite WWAN Backup
4.1.3. Equipements d’interconnexions
Un réseau informatique est un ensemble d’équipements interconnectés entre eux pour
échanger des informations. Pour interconnecter des équipements, nous avons besoins d’autres
équipements nommés équipements d’interconnexion, d’où leur importance dans l’analyse d’un
environnement informatique.
Désignation Constructeur Model Nombre
Switch Cisco System, Inc. Catalyst 3560 serie 4
Switch Cisco System, Inc. Catalyst 3750 serie 15
Switch Cisco System, Inc. Catalyst 2960 10
Switch Cisco System, Inc. Catalyst 4506-E 16
Point d’Accès Cisco System, Inc. Aironet 1200 serie 3
Wi Max Alvarion et Tsunami BreezeMax VCL
Satellite Non connu

Ces serveurs se situent dans le local technique et sont très bien climatisés et bien arrangés, ils
ont aucun risques.
Toutefois les matériels utilisés, même si on peut dire qu’ils sont puissants ne sont plus appropriés au
temps modernes car leur date de fabrication remonte déjà à très longtemps, et ils sont déjà très
vieux.
4.1.4. Postes de travail
Rio Tinto possède six sites actives jusqu’ à maintenant et se repartie en plusieurs départements
pour fonctionner la production. Tous les sites disposent 600 des postes sans comptée pour les
invitées et le machine personnels, reparties du département finances, les ressources humaines,
science, mines, port Ehoala, ISOS, ….
Les postes sont utilisées par les employeurs pour faire leurs travails et les invitées en de visites sur
les sites.
Voici donc les caractéristiques de l’ordinateur utilisées aux seins de l’entreprise, ce tableau montre le
nombre de l’ordinateur, les caractéristiques, le logiciel de base utilisé par l’ordinateur, emplacement
et la méthode pour s’authentifier au machine.
Nombres caractéristiques
Système
d’exploitation
Méthode
d’authentification
Emplacement Nombre sur chaque site
600 PC
CPU : 2.7 GHz
HDD : 80 Go
RAM : 4 Gb
Windows XP AD DC Cnaps 25
Windows 7 AD DC Mandena 528
Windows 7 AD DC Port Ehoala 10
Windows 7 AD DC ISOS 12
Windows 7 ADDC WetPlant 25
D’après ce tableau, les ordinateurs de bureau sont tous authentifier sur le serveur Active Directory
Domain contrôleur du RIO TINTO, et la performance de l’ordinateur est en bonne qualités, mais sur le
réseau QMM, il n’est pas encore contrôler par un serveur d’active directory et le responsable veulent
implémenter ce service au sein de l’entreprise.
4.1.5. Serveurs
Par définition, Un serveur est un dispositif informatique matériel ou logiciel qui offre des services à
des clients comme la sauvegarde de données, accès aux informations, le courrier électronique, le
partage de données ou imprimante, etc.
Ils existent 2 types de serveur qui tourne au sein de l’entreprise QMM : serveurs virtuels et serveurs
Physiques.

Ce tableau ci-dessous présente la liste des serveurs au sein de l’entreprise QMM :
Désignation Caractéristiques Système
d’exploitation
Service Authentification
Intel(R) Xeon(R) CPU X5355 @
2.66GHz
Windows 2003 Serveur de fichier Système de fichier
2.66GHz
Windows 2003 Serveur DHCP Système de fichier
(3) Intel(R)
Xeon(R)
CPU X5355 @
2.66GHz
Windows 2003 Serveur contrôleur
de domaine
Système de fichier
2.66GHz
Windows 2008 Serveur NPS Système de fichier
(4) Intel(R)
Xeon(R)
CPU X5355 @
2.66GHz
Windows 2008 2003 Serveur de bases des
données
Système de fichier
(14) Intel(R)
Xeon(R)
CPU X5355 @ 2.66GHz Windows 2003 2008 Serveur
d’application
Système de fichier
Intel(R) Xeon(R) CPU X5355 @ 2.66GHz Windows 2008 Serveur de
Terminale serveur
Système de fichier
ntel(R) Xeon(R) CPU X5355 @ 2.66GHz Windows 2008 Serveur Mail Système de fichier
Intel(R) Xeon(R) CPU X5355 @ 2.66GHz Windows 2003 Serveur SMS Système de fichier
Ces serveurs se situent dans le local technique et sont très bien climatisés et bien arrangés, ils ont
aucun risques.
Toutefois les matériels utilisés, même si on peut dire qu’ils sont puissants ne sont plus appropriés au
temps modernes car leur date de fabrication remonte déjà à très longtemps, et ils sont déjà très
vieux.
4.1.6. Gateway ou Passerelle
Rio Tinto QMM Fort-dauphin est considéré comme l’un du site Rio Tinto mondiaux, tous les sites
du Rio Tinto mondiaux sont connectés en permanence entre eux à l’aide du Liaison Louée
Internationale.
Pour Rio Tinto QMM, cette liaison est assurée par Telma en passant par le back-bonne (MSP Tower
Mandena), jusque-là, la liaison est contrôler par Telma en plaçant de routeur Broadband qui passe
par le switch du Rio Tinto qui joue ici le rôle d’un router et le Satellite du Rio Tinto joue un rôle comme
backup en cas du panne du réseau TELMA.
Dans notre analyse, nous n’avons pas collectée des informations à propos de la passerelle car cette
information est à l’étranger, sa fonctionnement est aussi ignorer par l’administrateur réseau à
Madagascar.

4.1.7. Partage
Les partages de données sont nécessaires pour les entreprises comme celui-ci ; mais par contre,
il n’en est pas encore de serveur de partage comme NAS et NFS par exemple.
Au lieu de créer un serveur de partage, ils ont décidé de mettre en permanence un ordinateur
desktop à 1To de disque dur pour faire le partage de données.
En effet, ce partage est géré par l’administrateur et limite l’accès à la donnée confidentielle.
4.1.8. Routage
Le réseau local de l’entreprise utilise un routage dynamique vu l’étendue du réseau qui est très
vaste.
Le routage sur le réseau de l’entreprise est varié selon la grandeur du sous réseau ; mais
principalement, le protocole de routage très utilisée est OSPF et BGP.
Notre analyse est limitée à cause de l’information qui n’est pas présente qu’à l’étranger, alors le
routage vers internet est n’est pas reconnu.
4.1.9. Disponibilité
Pour connaitre l’architecture et le bon fonctionnement du réseau, c’est très utile de savoir les
disponibilités des choses qui tournent à l’intérieur du réseau.
Voici quelques points importants pour pouvoir évaluer la disponibilité du réseau de Rio Tinto QMM :
 Les Applications : les applications marchent toute les jours de toute la semaine 24h sur 24
et 7 jours sur 7, la coupure de courant est très rare, chaque pilonne possède un générateur de
courant en cas de coupure de courant et activer automatiquement.
 Les serveurs sont tout le temps disponibles sauf en cas de maintenance des services ou en
cas de panne matériel qui est très rare jusqu’à présent.
 Les données : les bases de données sont utilisées par des applications ou des logiciels de
l’entreprise en marche, que ce soit les plateformes numériques ou bien d’autre.
 Les ressources matérielles : les ressources matérielles des machines ou plutôt des serveurs
sont supérieurs, c’est-à-dire tous les matériels sont en haute performance pour le bon
fonctionnement des services simultanément présente sur les ordinateurs et les serveurs.
 Internet : en ce qui concerne la connexion internet ou la bande passante, la connexion est
stable de 14Mb/s download et 2Mb/s upload. On peut constater que ce débit de connexion est
déjà considérable.
 Politique de sauvegarde : Tous le serveur du Rio Tinto possèdent des disques de
sauvegarde par jour de la semaine, par semaine du mois et par mois de l’année.
4.1.10.Surveillance
Tous sont surveillés sur l’entreprise comme le switch, le routeur, la machine Corp., l’imprimante,
les serveurs et même chaque bâtiments mais la surveillance est lieu à l’étranger aussi sauf les
bâtiments par la caméra de surveillance, tout ça est sur e réseau du RIO TINTO (CORP) mais le
réseau du QMM comme il est un accès internet seulement, le réseau n’est pas surveiller.

4.1.11. Analyse du trafic réseau
Analyse de trafic DNS
Analyse de trafic http
4.1.12. Analyse du besoin de l’entreprise
4.2. Fonctionnement du réseau de QMM
Depuis le fournisseur d’accès internet TELMA, le réseau GUEST du QMM est liée seulement au
router et passé au switch de l’entreprise en fin de pouvoir utiliser par le client de l’entreprise.
Voici une topologie résumant le fonctionnement du réseau GUEST sans passé au site :
Figure 5 : Topologie de la fonction de réseau depuis TELMA jusqu’au MSP Tower
4.3. Critiques du fonctionnement réseau
4.3.1. Critique de l'existant et spécification des besoins
L'étude du réseau Guest a permis de définir un nombre importants de contraintes pouvant réduire ses
performances voir sa dégradation.
Le réseau Guest n’est pas sécuriser depuis l’extérieur et aussi à l’intérieur, l’utilisation du réseau n’est
pas contrôler, aucun audit n’a pas été fait et la qualité du service que le réseau fournit est faible.

Spécification des besoins
L’entreprise a besoin beaucoup de service qu’il doit implémenter dans son réseau mais d’après
mon analyse, tous le service important pour son réseau est prioritaire comme la sécurité depuis la
connexion externe et interne, un contrôleur de domaine et la surveillance de tous les systèmes et le
réseau ; ensuite, je spécifie que après l’implémentation de ces service très important, l’entreprise
peut produire toutes les services nécessaire comme http, ftp, rpc, mail …
Besoins fonctionnels
Car QMM est dans une réduction du coût pour la gestion d’économie, l’administrateur a spécifiée
que tous les services qui va implémenter ne doit pas bénéficier aucun coût ni aucun perte de matériel
utiliser, je suis obligé alors d’utiliser les matériels qui existent déjà dans la société et choisir la solution
open source pour réaliser le projet que j’ai proposé tel que le contrôleur de domaine et la
surveillance système et réseau car la sécurité du réseau a déjà donner à un autre stagiaire.
Chapitre 5 : PROPOSITION DES SOLUTIONS
5.1. Compte tenu de l’analyse de l’existant
D’après l’analyse de l’existant c’est que j’ai affecté : beaucoup de postes disponibles sur le réseau
Guest, la connexion Guest recouvre tous les sites du QMM, selon les besoin de l’entreprise, j’ai
proposé de mise en place d’active directory pour contrôler les machines sur le réseau, j’ai proposé
aussi de mettre en place un serveur d’authentification sécurisé sur point d’accès wifi et de mettre en
place un outil de surveillance. Donc, le réseau Guest du QMM ne fournit uniquement un accès direct
sur internet sans contrôleur et sans surveillance mais il est le vrai besoin de l’entreprise actuelle.
5.2. Compte tenu de l’analyse du trafic

Chapitre 6 : CHOIX DE L’OUTIL ET CAHIER DE CHARGE
6.1. Comparaison des outils disponibles
6.1.1. Comparaison des outils disponibles sur l’Active Directory
Active Directory centralise toutes les informations et la gestion du réseau, des utilisateurs, des
ordinateurs, des imprimantes, des téléphones mobiles ou encore des applications. Il constitue la clé
de voûte de toute l’architecture informatique de l’entreprise et a pour vocation de permettre à un
utilisateur de trouver et d’accéder à n’importe quelle ressource qui doit être mise à sa disposition.
Active Directory Avantages Inconvénients
Samba 4  La simplicité de mise en
œuvre.
 Linux et Samba sont gratuits,
donc pas d'investissement en
logiciel côté serveur.
 Samba supporte le protocole
SMB/CIFS qui permet aux
systèmes d'accéder aux
ressources des systèmes
Microsoft et inversement.
 Samba est impossible de faire
tourner des exécutables Microsoft
sur un serveur Linux. Cela signifie
que si le serveur de l'entreprise fait
à la fois office de serveur de
fichiers et de serveur d'applications,
la solution Linux/Samba est
inadapté.
Microsoft Active Directory
6.1.2. Comparaison des outils disponibles sur l’Authentification et Autorisation
Selon la taille d’environnement, les différentes méthodes d'autorisation d'accès aux comptes
administrateur présentent chacune des avantages et des inconvénients qui vont orienter les choix.
Tableau montrant le comparatif du serveur d’authentification
Type Avantages Inconvénients
FreeRadius
TACACS+
IAS

6.1.3. Comparaison des outils disponibles sur la surveillance réseau
La désignation de l’outil de supervision est précédé par une définition des besoins de l’entreprise
qui se base sur sa taille et le niveau de qualité de service voulu, mais aussi une comparaison de
plusieurs outils grâce à des recherches (articles WEB, commentaires d’utilisateurs ou de « testeurs »)
qui permettent de faire ressortir les + et les – des différentes solutions.
Tableau comparatif des outils de supervision
Outil de supervision Avantages Inconvénients
Zabbix  Installation facile
 Génération facile de
graphs
 Très bien documenté
 Monitoring en temps réel
 gestion des événements.
 Slide shows, export/import
en XML
 Client Zabbix obligatoire sur
chaque machine
 Limité au Ping si pas de
client
 Configuration sur le Switch
compliqué
Nagios  Grosse communauté
 Puissant
 Dispose de nombreux
plugins qui
complètent les
fonctionnalités
manquantes, l'interface
graphique et les outils
proposés.
 Installation et configuration
difficile
 Bien documenté
 Manque de convivialité
 Difficile à prendre en main
Zenoss  Installation facile
 Configuration facile
 Graphes automatiques
 Cartes graphiques des
réseaux (générée
automatiquement)
 Demande énormément de
ressource
 Version comportant, plus
d’options payantes
Cacti
Monitorix
MRTG

6.2. Choix de l’outil par rapport aux disponibles
6.2.1. Choix du Debian
Voici quelques avantages de l'utilisation de Debian:
 Contrôle de la qualité remarquable
 Très stable et sans bogue
 Support large de l'architecture
Tous les serveurs utilisés sont sur Debian Jessie (Debian 8).
6.2.2. Choix du Samba 4
Samba 4 prend en charge d’une manière transparente des domaines Active Directory, en
implémentant en natif les protocoles tels que LDAP, Kerberos, RPC et SMB 3. En fait, Samba 4 est
l’Active Directory, qui est composé des protocoles : LDAP, Kerberos et DNS. L’Active Directory
permet aux administrateurs système Windows de gérer en toute sécurité les objets d'annuaire d'une
infrastructure de base de données évolutive et centralisée. Les objets (utilisateurs, systèmes,
groupes, imprimantes, applications) sont stockées selon une hiérarchie composée de nœuds,
d’arbres, de forêts et domaines.
C’est pour ces raisons qu’on a choisi Samba 4 car il est un Active Directory mais en licence
gratuit et libre.
6.2.3. Choix du FreeRadius
RADIUS est un serveur de type AAA, c’est-à-dire qu’il se fait en trois étapes :
 Authentification : savoir qui parle au serveur RADIUS.
 Autorisation : savoir quelles autorisations sont accordées à l’utilisateur.
 Accounting : savoir ce que l’utilisateur fait. Savoir combien de temps l’utilisateur reste
connecté au système pour assurer à la fois la journalisation des accès et la facturation.
Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base
d'identification (fichier local, base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS
(Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. Le mot de
passe servant à authentifier les transactions entre le client RADIUS et le serveur RADIUS est chiffré
et authentifié grâce à un secret partagé. Il est à noter que le serveur RADIUS peut faire office de
proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS.
Dans ce projet, le choix s'est porté sur FreeRadius. FreeRadius est un serveur RADIUS libre
open source. Il offre une alternative aux autres serveurs d'entreprise RADIUS, et est un des serveurs
RADIUS les plus modulaires et riches en fonctionnalités disponibles aujourd'hui.

6.2.4. Choix du Zabbix
Grâce à ses nombreuses sondes et connecteurs, il surveille des paramètres et déclenche des
alertes, voire des actions correctives (en mode automatique, si souhaité). Les sondes sont
extensibles afin de prendre en charge des applications spécifiques.
Simple à utiliser, son interface d'administration et d'exploitation est entièrement webisée et permet
ainsi à tout public d'en tirer rapidement parti, offrant moyen de livrer rapidement une vue synthétique
sur l'état et l'emploi des éléments supervisés à des populations ignorant tout de la technique, sous
forme de tableaux de bords conviviaux couvrant les besoins de reporting technique et contractuel
(Service Level Agreement - SLA).
ZABBIX est à comparer à des outils Open Source (Nagios, RDDTools, Munin...) et à des produits
propriétaires (BMC Patrol, HP Open View, ...), il est simple, riche, souple et efficace.
6.3. Présentation des outils disponibles
6.3.1. Samba 4
La branche 3 de Samba peut assurer la fonction de contrôleur de domaine type NT, Samba
4.0 implémente la partie serveur de l'environnement Active Directory utilisé par Windows 2000 et les
versions suivantes ; en plus, Samba 4 utilise LDAP comme base de donné pure.
Il est donc maintenant possible de joindre un domaine Samba 4 avec toute version de
Windows à partir de Windows NT4, et de profiter des fonctionnalités de l'Active Directory
correspondantes.
Afin de fournir un ensemble pleinement compatible, cette version inclut sa propre implémentation de
serveur LDAP, un serveur Kerberos, un serveur DNS, un serveur RPC, un serveur NTP ainsi qu'un
serveur de fichiers basé sur Samba 3.
L'ensemble fonctionne sous un seul service nommé samba.
Il est donc possible d'utiliser Samba 4 pour mettre à disposition des clients Windows, entre autres,
des profils itinérants ou des stratégies de groupes.
6.3.2. Free Radius
Origines
Radius avait tout d’abord pour objet de répondre aux problèmes d’authentification
pour des accès distants, par liaison téléphonique, vers les réseaux des fournisseurs
d’accès ou des entreprises. C’est de là qu’il tient son nom qui signifie Remote Access
Dial In User Service. Au fil du temps, il a été enrichi et on peut envisager aujourd’hui
de l’utiliser pour authentifier les postes de travail sur les réseaux locaux, qu’ils soient
filaires ou sans fil.

Présentation
RADIUS (Remote Authentification Dial In User Service) est un protocole d'authentification
client/serveur habituellement utilisé pour l'accès à distance, défini par la RFC 2865. Ce protocole
permet de sécuriser les réseaux contre des accès à distance non autorisés. Ce protocole est
indépendant du type de support utilisé. Le protocole Radius repose principalement sur un serveur
(serveur Radius), relié a une base d’identification (fichier local, base de données, annuaire LDAP,
etc.) et un client Radius, appelé NAS (Network Access Server), faisant office d’intermédiaire entre
l’utilisateur final et le serveur. Le mot de passe servant à authentifier les transactions entre le client
Radius et le serveur Radius est chiffré et authentifier grâce a un secret partagé. Il est à noter que le
serveur Radius peut faire office de proxy, c’est-à-dire transmettre les requêtes du client a d’autres
serveurs Radius.
Concept du Protocol AAA
AAA signifie Authentication, Authorization, Accounting, soit authentification, autorisation et compte.
La signification de ces termes est la suivante :
 Authentication : l’authentification consiste à vérifier qu’une personne/équipement est bien
celle qu’elle prétend être. Ceci est généralement réalisé en utilisant un secret partagé entre
l’utilisateur et le serveur mère AAA ou à l’aide de certificats (exemple X.509).
 Authorization : l’autorisation consiste à permettre l’accès à certains services ou ressources.
Un utilisateur peut par exemple demander à avoir une certaine bande passante. Le serveur
AAA lui autorisera ou non cette demande.
 Accounting: le serveur AAA a la possibilité de collecter des informations sur l’utilisation des
ressources. Ceci permet à un opérateur de facturer un utilisateur suivant sa consommation.
En pratique, une architecture client-serveur AAA permet de rendre l’ensemble de ces services. Les
serveurs AAA dans les domaines mère et visité permettent de gérer les utilisateurs. Les clients AAA
sont hébergés sur des routeurs ou sur des serveurs d’accès au réseau.
Principe de fonctionnement
Le fonctionnement de Radius est basé sur un scénario proche de celui-ci :
 Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;
 Le NAS achemine la demande au serveur Radius ;
 Le serveur Radius consulte la base de données d'identification afin de connaître le type de
scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une
autre méthode d'identification est demandée à l'utilisateur. Le serveur Radius retourne ainsi
une des quatre réponses suivantes :
 ACCEPT : l'identification a réussi ;

 REJECT : l'identification a échoué ;
 CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de
l'utilisateur et propose un « défi » (en anglais « challenge ») ;
 CHANGE PASSWORD : le serveur Radius demande à l’utilisateur un nouveau mot de passe.
Suite à cette phase d’authentification débute une phase d’autorisation ou le serveur retourne
les autorisations aux utilisateurs.
Tableau du Protocol Radius
Protocol UDP port 1812 : authentification/autorisation
UDP port 1813 : gestion des comptes
Chiffrement Chiffrement du mot de passe à l’aide du
secret partagé
Architecture Autorisations liées à l’authentification
Emission du profile Profile global envoyé au NAS à la fin de
l’authentification
Protocol non supportés ARA et NetBEUI (NetBIOS Extended User
Interface)
Challenge/réponse Unidirectionnelle
Tableau : Protocol Radius

Fonctionnement détaillé
Figure 6 : Méthode d’authentification utilisée par FreeRADIUS.
6.3.3. Zabbix
6.4. Définition du cahier des charges

Chapitre 7 : REALISATION
7.1. Réalisation du service d’authentification
7.1.1. Préparation de l’installation du Samba 4
Samba 4 est livrée avec :
 Un annuaire LDAP Active Directory ;
 Un serveur d’authentification Kerberos KDC ;
 Un serveur DNS dynamique sécurisé ;
 Le support de la version 3.0 du Protocol SMB ;
 Un serveur RPC (Remote Procedure Call) ;
 La prise en charge des GPO ;
 Le support de Winbind
 Le support de configuration via le service RSAT depuis un client Windows ;
 L’administration du domaine en ligne de commande se fait grâce à l’utilitaire samba-tool.
Tous les services fonctionnent sous un seul processus nommé samba.
Tous d’abord, la configuration de l’interface réseau en IP statique est nécessaire, l’adresse IP du
serveur est 192.168.10.254/24 pour le contrôleur de domaine, srvaddc pour le nom de la machine et
QMM.NET pour le nom de domaine.
Tous les paquets suivants sont nécessaires pour le bon fonctionnement du Samba 4 et On peut tous
les installer en une fois :
root@srvaddc:~#apt-get install build-essential libacl1-dev libattr1-dev
libblkid-dev libgnutls28-dev libreadline-dev python-dev libpam0g-dev
python-dnspython gdb pkg-config libpopt-dev libldap2-dev
dnsutils libbsd-dev attr krb5-user docbook-xls libcups2-dev
apt-get install krb5-user pour disposer des outils kinit et klist.
On va utiliser ces outils après l’installation.
Configuration d’interface pour une adresse IP static
Modification du fichier /etc/network/interfaces.
On doit changer iface eth1 inet dhcp en iface eth1 inet static.
auto eth1
iface eth1 inet static
address 192.168.10.254
netmask 255.255.255.0
network 192.168.10.0
broadcast 192.168.10.255
dns-nameservers 192.168.10.254 41.188.60.130
dns-search qmm.mg
Configuration du fichier /etc/hostname

srvaddc
Configuration du fichier /etc/hosts
127.0.0.1 localhost
192.168.10.254 srvaddc.qmm.net srvaddc
Pour appliquer le changement du nom de la machine et l’interface réseau, il faut redémarrer le
service hostname et network.
root@srvaddc:~#/etc/init.d/hostname.sh restart
root@srvaddc:~#/etc/init.d/networking restart
Configuration du montage du système de fichier pour le partage du dossier.
On a besoin d’un système de fichier qui prend en charge les ACL et les attributs étendus.
Modification du fichier /etc/fstab
/dev/sda1 / ext4 defaults,user_xattr,acl,barrier=1 1 1
Puis, on monte le disque pour qu’il prend en charge par le ACL
root@srvaddc:~#mount / -o remount,acl,user_xattr,barrier=1
Après cette dernière commande, on doit redémarrer le serveur pour que ce soit tout de suite pris en
compte.
L’option barrier=1 garantit que les transactions tbd (Tide Data Base) sont protégées contre les
pertes de courants inattendues.
Mise à jour du système
root@srvaddc:~#apt-get update
7.1.2. Installation du Samba 4 et Winbind
Avec Samba3, il fallait configurer une machine indépendante, installer Kerberos, la connecter
à l'AD, configurer Winbind, puis installer Freeradius avec le module ntlm_auth. Tout ça parce que
Winbind ne pouvait pas fonctionner directement sur le DC, et que ntlm_auth dépend de Winbind.
Samba4 change la donne, puisqu'il gère lui-même le service Winbindd.
Récupération du paquet, compilation et installation :
root@srvaddc:~#wget –no-check-certificate
https://www.samba.org/samba/ftp/stable/samba-4.2.3.tar.gz
root@srvaddc:~#tar –zxvf samba-4.2.3.tar.gz
root@srvaddc:~#cd samba-4.2.3
root@srvaddc:~/samba-4.2.3#./configure
root@srvaddc:~ /samba-4.2.3#make
root@srvaddc:~ /samba-4.2.3#make install

 Voici quelque interrogation par kerberos sur le domaine.
Figure 8 : Nom du Royaume utilisé par Kerberos pour le domain
Figure 9 : Noms d’hôtes des serveurs Kerberos
Figure 10 : Nom d’hôte du serveur administratif pour le royaume Kerberos
7.1.3. Configurations du Samba 4
Création du domaine
Comme tout bon programme Unix, Samba4 est entièrement administrable en ligne de commande.
La commande samba-tool permet de réaliser l’ensemble des tâches courantes d’administration
d’un réseau Microsoft Windows.
La syntaxe de la commande est très bien détaillée dans l’aide contextuelle. Les paramètres
additionnels sont documentés en indiquant le paramètre -h à la sous-commande désirée sans
indiquer de paramètres.

Configuration kerberos locale, modification du fichier /etc/krb5.conf, suppression tout ce qu'il y
a dedans et rajout :
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = QMM.MG
Si le fichier smb.conf a déjà été généré, on doit l’effacer (il va être régénéré par la commande de
provision du samba-tool juste après)
root@srvaddc:~#rm -f /usr/local/samba/etc/smb.conf
La commande suivant est équivalent dcpromo.exe pour Windows Server,
root@srvaddc:~#/usr/local/samba/bin/samba-tool domain provision --use-
rfc2307 --interactive
 L’option --use-rfc2307 active les attributs Posix de l’AD de Samba. Cela crée aussi les
informations NIS dans l’AD, ce qui vous permet d’administrer les UIDs/GIDs et autres
paramètres UNIX (dans la table “Unix attributes” de l’ADUC…Active Directory Users and
Computers). Il est plus simple de l’activer durant cette préparation (Provisioning), plutôt que
par la suite.
 L’option --interactive indique à la commande samba-tool qu’il faut demander le
royaume, le nom du domaine, le serveur DNS utilisé, la redirection du DNS et en fin, le mot de
passe d’administrateur « Administrator ».
Retour console :
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=qmm,DC=mg
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container

Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=qmm,DC=mg
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at
/usr/local/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: srvaddc
NetBIOS Domain: QMM
DNS Domain: qmm.mg
DOMAIN SID: S-1-5-21-2638599352-3633269236-1915159511
Par défaut la création de la forêt et du domaine va se faire en niveau fonctionnel Windows 2003. Il est
possible de “upgrader” plus tard ou de le définir dès maintenant.
Pour cela il faut inclure --function-level=2008_R2 à la commande de samba-tool.
Voici le contenu du fichier /etc/samba/smb.conf créé par samba-tool
# Global parameters
[global]
workgroup = QMM
realm = QMM.MG
netbios name = SRVADDC
server role = active directory domain controller
dns forwarder = 8.8.8.8
idmap_ldb:use rfc2307 = yes
[netlogon]
path = /var/lib/samba/sysvol/qmm.mg/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
Samba crée déjà une configuration
Contenu du fichier /etc/krb5.conf
[libdefaults]
default_realm = QMM.MG
dns_lookup_realm = false
dns_lookup_kdc = true

 Configuration du Kerberos
Samba a déjà généré la bonne configuration pour Kerberos, On doit sauvegarder la configuration
original du fichier /etc/krb5-conf, en suite remplacer le fichier créer par Kerberos à celui créer par
samba.
mv /etc/krb5.conf /etc/krb5.conf.orig
ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf
Création du ticket de service Kerberos:
root@srvaddc:~#kinit Administrator@QMM.MG
Si le teste exécute normalement, il demande le mot de passe, en suite affiche la réponse suivant :
Figure 13 : Réponse de la commande kinit du Kerberos
 Informations sur le ticket de service : klist
Teste du fonctionnement de l’Active Directory
 Teste du DNS :
root@srvaddc:~#host –t SRV _ldap._tcp.qmm.mg
_ldap._tcp.qmm.mg has SRV record 0 100 389 srvaddc.qmm.mg.
root@srvaddc:~#host –t SRV _kerberos._tcp.qmm.mg
_kerberos._tcp.qmm.mg has SRV record 0 100 88 srvaddc.qmm.mg.
root@srvaddc:~# host -t A srvaddc.qmm.mg 192.168.10.254
Using domain server:
Name: 192.168.10.254
Address: 192.168.10.254#53
Aliases:
srvaddc.qmm.mg has address 192.168.10.254
srvaddc.qmm.mg has address 192.168.56.254
Pour que la machine client peut se trouver le serveur et le nom du domaine, cette teste doit réaliser
pour vérifier la résolution de nom de domaine.
 Teste du domaine
root@srvaddc:~#Net join –U Administrator@QMM.MG
Enter Administrator's password:
Joined domain QMM.
Cela veut dire que le client peut joindre le domaine avec le mot de passe et nom d’utilisateur
d’Administrator.

 Teste du client
Figure 13 : Test avec la commande smbclient
Quelque commande :
root@srvaddc:~#cd /usr/local/samba/bin/
wbinfo -u
wbinfo -g
wbinfo –t
sambastatus
smbpasswd
testparm
Teste de couplage samba 4 avec Winbind
Avec la commande suivant, la liaison entre l’utilisateur Samba et Winbind vont assurer et vérifier pour
le couplage.
Voici la commande ntlm_auth pour tester le couplage samba 4 avec Winbind :
root@srvaddc:~#ntlm_auth --request-nt-key --domain=QMM --username=Administrator
password:
NT_STATUS_OK: Success (0x0)

7.1.4. Préparation de l’installation du serveur FreeRADIUS
Radius est utilisé pour faire :
 Authentification wifi (ce qu’on va faire)
 Authentification / autorisation vpn
 Authentification à distance
 Authentification filaire
 Portail captif
FreeRADIUS a besoin de trois paquages pour bien fonctionner le serveur et toute la configuration, les
paquages de bases sont le suivant : freeradius, freeradius-common et freeradius-utils
Voici la commande d’installation du freeradius
root@srvaddc:~#apt-get install freeradius freeradius-common freeradius-utils
Cette commande va installer tous les paquages nécessaires.
Figure 14 : Installation du FreeRADIUS
7.1.5. Configuration du FreeRADIUS
Pour que FreeRADIUS marche bien, les fichiers suivants doivent être configurés :
 client.conf
 modules/ntlm_auth
 sites-available/default
 sites-available/inner-tunnel
 radius.conf
Tous d’abord, tous les fichiers modifiés, on doit sauvegarder l’original pour éviter la mauvaise
manipulation.
Par exemple, le fichier radius.conf
root@srvaddc:~#cp /etc/freeradius/radius.conf /etc/freeradius/radius.conf.orig
Modification du fichier radius.conf
On change option allow_vulnerable_openssl = no par yes dans la partie security.
Cette commande indique au serveur FreeRADIUS d’utilisé l’authentification sécurisé par openssl.

Ensuite, Modification du fichier modules/ntlm_auth
La ligne suivant est important pour freeradius, il laisse FreeRADIUS d’utiliser l’utilisateur de l’Active
Directory de s’authentifier. On doit dé commenter la ligne et corriger le chemin vers le fichier binaire
du ntlm_auth et remplacer le domain par le domain QMM.MG.
Figure 15 : Fichier modifier du modules/ntlm_auth
Modification du fichier sites-available/default
authorize {
…
# ajouter tous les lignes suivants
if(!control:Auth-type){
update control{
Auth-Type = "ntlm_auth"
}
}
…
}
authenticate{
# ajouter tous les lignes suivants
Auth-Type NTLM_AUTH {
ntlm_auth
}
…
}
Modification du fichier sites-available/inner-tunnel
authorize{
…
ntlm_auth # ajouter ce ligne
…
}
…
authenticate{
…
ntlm_auth # ajouter ce ligne
…
}
Pour finir la configuration, on va modifier le fichier client.conf
On va remplacer le contenu du fichier client.conf par celui-ci :

client localhost {
ipaddr = 127.0.0.1
secret = localhost123
require_message_authenticator = no
nastype = other
}
client 192.168.10.0/24 {
secret = radping123
shortname = ap-network
nastype = cisco
}
Pour que toutes les modifications soient prises en compte, on doit redémarrer le service :
root@srvaddc:~#/etc/init.d/freeradius restart
Teste d’authentification du client Samba au FreeRADIUS
Voici la commande utilisé :
radtest <User-Name> <User-password> <addr-server> <port> <Key>
Testons maintenant la connexion du client FreeRADIUS au NAS et l’authentification d’un utilisateur
sur le serveur :
Figure 16 : Teste d’Authentification au serveur FreeRadius
Ce teste indique que l’accès du Packet depuis l’adresse 192.168.10.254 sur le port 1812 est accepté.

On peut lister tous les utilisateurs et tous les groupes accepter Samba qui peut se connecter sur le
serveur FreeRadius par la commande de Winbind suivants :
Figure 17 : Liste de l’utilisateur et le groupe Samba

7.2. Réalisation de l’outil de surveillance Système et Réseau
Zabbix est une solution complète et open-source, sous licence GPLv2, la version disponible des
paquets Zabbix à partir des dépôts du Debian 8 est 2.2.* LTS.
Zabbix est composé de trois parties :
 zabbix-server-mysql : le serveur
 zabbix-frontend-php : l’interface web
 zabbix-agent : l’agent de supervision installé sur les hôtes
7.2.1. Préparation de l’installation de Zabbix
Installation de zabbix
apt-get install zabbix-server-mysql zabbix-frontend-php zabbix-agent
Les paquets suivants sont installés pour le bon fonctionnement du serveur
Figure 18 : Paquets nécessaire pour l’installation de zabbix
Ensuite,
apt-get install php5-mysql
L’installation est finie pour zabbix, l’étape suivant est la configuration.

7.2.2. Préparation de la configuration du serveur
Configuration du serveur zabbix
Modification du mot de passe pour la connexion au serveur mysql :
root@srvzabbix~#nano /etc/zabbix/zabbix_server.conf
DBHost=localhost
DBName=zabbix
DBPassword=zabbix
DBSocket=/var/run/mysqld/mysqld.sock
DBPort=3306
Puis, on doit relancer le serveur zabbix :
root@srvzabbix:~#systemctl restart zabbix-server
Vérification du fonctionnement de zabbix dans le log:
Figure 19 : Vérification du fonctionnement du serveur zabbix
Configuration de l’interface web de zabbix
On va créer un fichier de configuration pour Appache2 :
root@srvzabbix:~#nano /etc/apache2/conf-available/zabbix-server.conf
On colle ceci :
<IfModule mod_alias.c>
Alias /zabbix /usr/share/zabbix
</IfModule>
<Directory /usr/share/zabbix>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow, deny
Allow from all
</Directory>

Activation de la nouvelle configuration :
root@srvzabbix:~#a2enconf zabbix-server
Modification du fichier de configuration de php :
root@srvzabbix:~#nano /etc/php5/apache2/php.ini
max_execution_time=600
max_input_time=600
memory_limit=256M
post_max_size=32M
upload_max_file_size=16M
date.timezone=”Europe/Paris”
Relancer Apache2:
root@srvzabbix:~#/etc/init.d/apache2 restart
La configuration du serveur zabbix via la console est terminée ; maintenant, on va configurer zabbix
via l’interface web pour terminer la configuration :
On va ouvrir un lien vers le serveur zabbix : http://192.168.56.252/zabbix/setup.php
Figure 20 : Page d’accueil du
lien setup.php
Cette page d’accueil montre
l’étape de la configuration par
interface web du serveur
zabbix.

Figure 21 : vérification des
outils nécessaire pour zabbix
Figure 22 : Configuration de
Mysql qui est le serveur base
de données utilisé par zabbix
Figure 23 : Information
nécessaire pour zabbix

Figure 24 : Résumé de la
configuration
Figure 25 : Installation de
configuration dans le serveur
Figure 26 : Installation de
configuration terminer

Figure 27 : Authentification
auprès du serveur zabbix
Pour se connecter à l’interface web à la fin de l’installation est :
 Login : admin
 Mot de passe : zabbix
Le serveur est prêt à fonctionner maintenant pour surveiller le réseau et le matériel sur le réseau ainsi
que le système.
Voici le tableau de bord du serveur zabbix :

Chapitre 8 : VALIDATION
8.1. Validation avec du teste de mise en œuvre
8.2. Validation avec wireshark

CONCLUSION

CONCLUSION GENERAL

REFERENCES BIBLIOGRAPHIQUES
REFERENCES WEBOGRAPHIQUES

GLOSSAIRE

ANNEXES
ANNEXE 1
Enregistrement et authentification du client Windows sur le domaine QMM
Pour enregistrer la machine Windows à l’Active Directory Domain Controler, il faut aller au menu
démarrer, en suite clique droite sur Ordinateur et propriété.
 Connexion du machine windows 7 sur le domaine
Menu  clique droite sur Ordinateur  clique sur Propriétés  clique sur Modifier les paramètres  …
Figure 15 : Propriétés système Figure 16 : Modification du domaine de
l’ordinateur
Figure 17 : Vérification d’un compte autorisé à joindre le domaine

Installation des outils d'administrations Windows Serveur 2008 R2 :
Connexion en tant qu'Administrator' du domaine sous Windows Seven, on va maintenant
administrer le AD DC SAMBA 4.
Téléchargement des outils d'administrations :
http://stephane.lebegue.free.fr/downloads/Windows6.1-KB958830-x64-RefreshPkg.msu
Après installation, ajout des fonctionnalités des logiciels :
Panneau de configurationTous les Panneaux de configurationProgrammes et
fonctionnalitésActivez ou désactivez des fonctionnalités Windows
On ajoute les outils d'administration de serveur distant.
Pour administrer les utilisateurs et l’ordinateur sur l’Active Directory :
On exécute : dsa.msc
On peut maintenant administrer le serveur SAMBA 4 comme un Windows Serveur 2008 R2.
TABLES DES MATIERES

RESUME

ABSTRACT

Mémoire L3

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Mémoire L3

Similar a Mémoire L3 (20)

Mémoire L3