Active Directory : installation et configuration

Pour l’installation de l’AD, nous aurons besoins de:

–        D’un serveur 2012 R2

–        D’un client Windows 7

–        D’un nom de domaine

Installation et configuration de l’AD.

Avant de commencer, il est nécessaire de renommer notre machine et de lui donner une IP fixe.

Installer l’AD sans fonctionnalités supplémentaires

Choisir le rôle « AD DS » et cliquez sur suivant

Le DNS n’étant pas encore installé, on va l’installer en même temps que le rôle Active Directory. Pour cela on va ajouter une nouvelle forêt et renseigné le nom du domaine, ensuite Cliquez sur suivant.

Ensuite configurer un mot de passe en cas de restauration des services, la case Serveur DNS devant être cochée, ensuite cliquez sur suivant tout en laissant par défaut les chemins de stockage de l’AD, ensuite installer,

Après l’installation il faut le configurer en faisant un clic sur l’onglet « promouvoir ce serveur en contrôleur … »

Nous remarquons après l’installation qu’une zone a été créée et qu’il faut juste configurer la zone inverse.

  • Création de l’OU

Ouvrir l’outil d’administration > click sur Utilisateurs et ordinateurs Active Directory >clic droit sur le nom de domaine(epbooktic.local) >  nouveau > Unité d’Organisation et ensuite remplir les cases avec les informations données.

  • Création des groupes dans l’annuaire.

Clic droit sur l’OU dans laquelle il faut créer un groupe >nouveau >groupe et ensuite renseignez les informations qui vous sont données.

Dans une OU nous pouvons créer :

·        Des sous OU

·        Des groupes

·        Des ordinateurs

·        Des imprimantes

·        Des dossiers partagés

·        Des utilisateurs

Un groupe: est un ensemble de machines ou Users avec une politique particulière et des droits spécifiques.

Une unité d’Organisation: est un conteneur d’objets AD. Elle permet la hiérarchisation d’objets au sein d’un domaine.

Les éléments essentiels à la création d’un compte:

·        Le nom

·        Le prénom

·        Nom d’ouverture de session de l’utilisateur

·        Mot de passe (Azerty1 pour l’admin et Azerty2 pour le technicien) en appliquant des GPO

J’ai par la suite crée deux utilisateurs dans le groupe info qui sont les suivant:

Michel AMAR qui est technicien du service info

Philippe GRAND qui est admin réseau du service info.

  • Intégration de la machine cliente Windows 7 dans le domaine

Pour intégrer une machine dans le domaine aller sur démarrer > clic droit ordinateur >propriétés > Modifier les paramètres > Modifier et cocher la case “membre d’un : Domaine, ensuite un mot de passe administrateur vous sera demandé (utilisez le compte administrateur du serveur pour intégrer la machine), après le redémarrage de la machine, elle sera intégrée au domaine.

  • Test de connectivité à l’annuaire AD avec les utilisateurs

Je me suis connectée avec l’utilisateur Philippe GRAND qui est admin réseau du G_Info

  • Arborescence du domaine

“epbooktic.local”

Création des utilisateurs

Pour créer les utilisateurs, nous allons sélectionner une OU > click droit nouveau >utilisateur ensuite renseigner les champs : prénom, nom, nom d’ouverture de session (initiale prénom.nom) ensuite cliquez sur suivant.

Dans la nouvelle fenêtre entrer le mot de passe de l’utilisateur et configurer ses droits. Faire de même pour les autres utilisateurs.

Mettre chaque utilisateur dans un groupe

Clic droit sur l’utilisateur > Ajouter à un groupe…, dans la fenêtre qui s’ouvre clic sur avancé >rechercher pour avoir la liste de tous les groupes.

Stratégie de compte du domaine « epbooktic.local »

Pour ouvrir la console de gestion des stratégies de mot de passe, aller dans démarrer > outil d’administration > gestion des stratégies de groupe.

Une nouvelle fenêtre s’ouvre, déroulez le menu jusqu’à stratégie de mot de passe

Configuration ordinateur > stratégies > paramètres Windows >paramètres de sécurités >stratégies de comptes >stratégie de mot de passe.

Activer et entrez les valeurs nécessaires.

GPO pour bloquer le panneau de configuration,

Cette GPO se fait au niveau des unités d’organisation. Créer la GPO sur une unité d’organisation ensuite lier un objet de stratégie de groupe existant … au niveau des autres OU

Aller dans comptabilité > créer un objet GPO dans ce domaine… pour créer un nouvel objet GPO

Par la suite entrer le nom de la GPO et click sur ok.

une fois la GPO créée,  click droit sur la GPO > Modifier

Dérouler le menu configuration utilisateur >stratégies >Modèles d’administration > panneau de configuration > Empêcher l’accès au panneau de configuration…   et activer la GPO

Pour appliquer la même GPO aux autres unités d’organisation , click droit sur l’OU( unité d’organisation) > lier un oblet de stratégie de groupe existant… Selectionner  la GPO à appliquer.

Interdiction aux paramètres réseaux

Copier et déployer un fond d’écran par GPO

Commencer par créer un dossier nommé « partage_im » à la racine du serveur, pour héberger le fichier du fond d’écran, il doit être accessible par le réseau par les postes clients. Étant donné qu’il s’agit d’une stratégie « ordinateur », nous attribuons les droits de lecture au groupe « Ordinateurs du domaine » pour qu’il puisse venir chercher le fichier. Ce logo sera imposé à tous les utilisateurs.

NB : Mettre le signe ” $ “ devant le dossier partage afin de le cacher (cela permet aux utilisateurs de ne pas voir le dossier à la racine).

Ensuite, sur le contrôleur de domaine, créez une nouvelle GPO que l’on peut par exemple nommer « Copy and Deploy Wallpaper ».

Pour commencer, on va créer un paramètre de préférence pour que le fichier image du fond d’écran soit copié sur les ordinateurs distants. On va créer un nouveau fichier, sous Configuration ordinateur > Préférences > Paramètres Windows > Fichiers.

Sélectionnez l’action « Créer » puisque ce fichier n’existe pas, et pour le fichier source indiquez le chemin vers le fichier image qui est sur votre partage. Pour le fichier de destination, indiquez où vous souhaitez copier le fichier sur l’ordinateur, en local.

Pour ma part, j’indique «SRV-VIRT\ partage_im$\logo booktic.jpg» pour le copier dans le répertoire où Windows stocke par défaut l’ensemble des fonds d’écran.

Dans l’onglet « Commun », vous devez cocher « Appliquer une fois et ne pas réappliquer » pour ne pas que le fond d’écran soit copié à chaque fois.

  • Appliquer le fond d’écran

Un paramètre nommé « Papier peint du Bureau » doit être activé, il se situe dans :

Ensuite dans configuration utilisateur > stratégies > modèles d’administration > bureau > bureau >papier peint du bureau.

Renseigner le chemin d’accès à l’image et cliquer sur activer, ensuite appliquer, pour cela aller dans :

La console de gestion de stratégie de groupe Default Domain Policy > Modifier, pour que la GPO s’applique à tous les utilisateurs du domaine

Ensuite clic droit sur autorisation pour configurer les droits au dossier. Ensuite noter le chemin pour la configuration de la GPO.

Nous devons l’activer, et indiquer le chemin vers lequel on pourra le trouver, en l’occurrence ici un chemin local. Enfin, nous pouvons également choisir le style du papier peint, pour décider s’il est en mosaïque, centré dans l’écran, étiré…

  • Tests

Il ne reste plus qu’à appliquer la GPO sur l’OU concernée et, nous pouvons tester sur un de nos postes de travail avec un utilisateur concerné, nous devons voir apparaître le fond d’écran.

Création des répertoires

Création d’un répertoire partagé caché appelé “commun” à la racine du serveur et à l’intérieur un répertoire pour chaque service portant le nom du service et affecter les droits NTFS

Créer un répertoire appelé “commun”

Créer dans le répertoire commun, les répertoires suivants :

ServEco : Facturation et Achats

CE

Informatique

RH

Clientèle : SAV et RelationClients

AccèsVPN

Affecter les droits comme suit :

Chaque OU possède un espace partagé dans lequel les utilisateurs lisent et déposent des fichiers

Les administrateurs réseaux ont accès, en contrôle total à tous les dossiers.

Tous les utilisateurs de chaque service peuvent accéder à leur dossier en « modification » et leur espace partagé en « écriture »

Les informaticiens accèdent en lecture à tous les dossiers partagés.

Création des scripts

Scripts de démarrage ex : « RHstart.bat » permettant la connexion des lecteurs réseaux accédant aux dossiers.

Script de connexion des utilisateurs d’AccèsVPN’

Script de connexion des utilisateurs du comité d’entreprise

Script de connexion des utilisateurs du service clientèle

Script de connexion des utilisateurs du service informatique

Script de connexion des utilisateurs du service des ressources humaines

Script de connexion des utilisateurs du service économique

Une fois le script rédigé, les enregistrer dans C:\windows\sysvol\nom_du_domaine\scripts

Monter le script sur chaque profil utilisateur

Création de 2 répertoires (profil et home) cachés à la racine du serveur, accessible par tous en modification.

Sur les propriétés de l’utilisateur, il va falloir configurer l’onglet profil pour que l’utilisateur accède à son profil à l’ouverture de session et qu’il connecte comme lecteur réseau « Z » son home.

La redirection des dossiers de base.

C’est une GPO qui va s’appliquer au niveau de chaque OU. Créer la GPO et la nommer.

Dérouler le menu configuration utilisateur > stratégies > paramètre Windows > redirection de documents > clic droit sur document >propriétés

Par la suite lier cette GPO aux autres OU.

PacketFence – Installation et configuration

Installation de Packetfence

Pour l’installation de Packetfence j’ai suivi la procédure simplifiée, en téléchargeant un image virtuelle au format OVA que j’ai importé dans Virtualbox.

Lien de telechargement : https://packetfence.org/download.html#/zen

Une fois le fichier téléchargé et dézippé, il faut l’importer dans VirtualBox.

Dans les parametre de VirtualBox, régler la carte réseau sur mode : accès par pont.

Au lancement de la machine virtuelle, il faudra saisir un login et un mot de passe.

  • Login: root
  • Password: p@ck3tf3nc3 (Attention au clavier querty. @ = maj+2

Une fois logé, passer le clavier en azerty avec cette commande : localectll set-key fr puis pour modifier le mot de passe voici la commande : passwd

Modifier les paramètre de carte réseau :

vi /etc/sysconfig/network-scripts/ifcg-{nom de carte réseau – ip a}

Modifier le serveur DNS :

Modifier le nom de machine :

vi /etc/hostname

le nouveau nom doit avoir moins de 14 caractères.

Redémarrer avec la commande : reboot

A partir d’un navigateur accéder à l’adresse ip/port afin d’administrer packetfence.

https://192.168.1.3:1443  dans mon cas.

Un message d’alerte s’affiche, ignorer et continuer…



Cochez comme ci-dessous puis suivant:

Ensuite cette page, cliquer sur eth0 et modifier.

Ensuite cliquer sur ADD VLAN et configurer un vlan d’enregistrement :

faire de même pour un VLAN d’isolation

Sur l’étape suivante, cliquer sur le bouton TEST, donner un nouveau mot de passe pour la base de données.

ensuite cliquer sur Create database…

et enfin créer un nouveau compte pf avec mot de passe.

Créer un compte admin a l’étape 5

A l’etape 6 fournir la clé API pour le fingerprinting, suivre le lien pour plus de details.

Enfin a l’etape 7 lancer packetfence , cela peut prendre quelques minutes.

Une fois l’application démarrée on est invité vers le panneau de configuration.

Configuration du switch

Cette configuration active le 802.1x sur les ports 5 a 20. Aussi, le serveur RADIUS et SNMP

Switch#sh run
Building configuration…

Current configuration : 10324 bytes
!
! Last configuration change at 21:29:58 UTC Mon Mar 1 1993 by admin
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$d8/.$ColJDdp8AYWZWILYD7BTf.
!
username admin secret 5 $1$R1ix$fJA6eJGfB9xeps3/mCnAL/
aaa new-model
!
!
aaa group server radius packetfence
server 192.168.1.3 auth-port 1812 acct-port 1813
!
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence
!
!
!
!
!
aaa server radius dynamic-author
client 192.168.1.3 server-key 7 110E0B0003134A5B536B
port 3799
!
aaa session-id common
system mtu routing 1500
!
!
ip domain-name esiee.fr
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1877809664
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1877809664
revocation-check none
rsakeypair TP-self-signed-1877809664
!
!
crypto pki certificate chain TP-self-signed-1877809664
certificate self-signed 01
 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
 69666963 6174652D 31383737 38303936 3634301E 170D3933 30333031 30303030
 35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38373738
 30393636 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
 8100C888 2CFBD01A FAB7BD7C 59D05392 9A88E87E 38400884 6F7C5742 F4C17224
 1BB2B95C F2EB1501 184194D5 3330C1DA 0B6CA735 B847830C 80885C5E 8C658EBB
 B6A175B5 54D403F0 7C7043D8 E760F26A 8C6D1425 B2817BDA BB02E07D 8152FA84
 B804C950 79A49DAB CD0A2425 01043414 C7C6F29D DA3C2DFC 2C5A11B3 40623E7D
 326D0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
 551D2304 18301680 1470EE12 365855E8 66A4A54B E726AF16 AFAA7F46 F2301D06
 03551D0E 04160414 70EE1236 5855E866 A4A54BE7 26AF16AF AA7F46F2 300D0609
 2A864886 F70D0101 05050003 8181005D 9EE0F041 2B62F3EA 306A29A7 6F9CAE71
 A1351BAA 2E7FBAB3 3F0CD4A2 F5F96FF4 390A31D7 47E5962F 2EB74926 E0CDDB62
 B1E245EA FA528134 495B5CD3 7E07FCCD FE23C6E3 ACDA1C8F BBFF30AE 7B9FBB49
 28F66F06 09695A45 27C30E3C 26D1A372 FC4AEA59 1F957E21 D4D2A80F E649333C
 E3171A8E 12D4401B 62141BCA E70DE3
     quit
dot1x system-auth-control
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
interface FastEthernet0/1
switchport trunk allowed vlan 1-3
switchport mode trunk
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/6
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/7
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/8
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/9
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/10
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/11
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/12
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/13
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/14
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/15
switchport access vlan 2
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/16
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/17
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/18
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/19
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/20
switchport mode access
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 10800
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3
spanning-tree portfast
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.20 255.255.255.0
no ip route-cache
!
interface Vlan2
no ip address
no ip route-cache
!
interface Vlan3
no ip address
no ip route-cache
!
interface Vlan4
no ip address
no ip route-cache
!
interface Vlan5
no ip address
no ip route-cache
!
ip http server
ip http secure-server
!
ip access-list extended registration
deny   ip any host 192.168.1.3
permit tcp any any eq www
permit tcp any any eq 443
access-list 100 deny   ip any host 192.168.1.3
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
snmp-server community public RO
snmp-server community private RW
radius-server host 192.168.1.3 auth-port 1812 acct-port 1813 timeout 2 key 7 06011D24584F484E5256
radius-server vsa send authentication
!
radius server packetfence
key 7 00030103105A4A515860
!
!
!
!
line con 0
line vty 0 4
password 7 0303490E120E601B1948
transport input ssh
line vty 5 15
password 7 0303490E120E601B1948
!
end

Configuration de la source d’authentification Active Directory

Aller a cette page : https://IP_packetfence:1443/admin/configuration#configuration/domains/domain

puis cliquer sur ADD DOMAIN et remplir comme ci-dessous

Mettre en Username/Password l’administrateur du compte AD. enfin cliquer sur SAVE AND JOIN. ceci ajoutera packetfence au domaine active directory.

Si tout se passe bien, un message de succès s’affiche et dans active directory on peut constater la présence de la machine packetfence.

Ensuite dans l’onglet REALMS :

Configurer le switch dans packetfence

Aller dans l’onglet : https://IP_packetfence:1443/admin/configuration#configuration/switches/switch

Ajouter un switch: ADD SWITCH => default

Dans le rôle “default” mettre le rôle par défaut ou les utilisateur accepté seront redirigés.

Le mot de passe défini dans le switch :

Méthode de connection au switch et login/mdp :

Configurer une source d’authentification : AD

Aller a cet onglet :

https://IP_packetfence:1443/admin/configuration#config/source

ADD SOURCE => INTERNAL=> AD

Remplir les champs comme ci-dessous :

Cliquez sur TEST pour vérifier que la connection entre packetfence et l’AD est correct

Modification du profile de connection “default”

Aller a cet onglet :

https://IP_packetfence:1443/admin/configuration#config/profile/default/read

Cliquer sur ADD A SOURCE puis sélectionner la source précédemment créée  : AD

Test du portail captif

Pour tester la bonne configuration de Packetfence, le switch et l’AD, je connecte un pc windows au port 10 du switch.

Le windows n’est pas configurer en supplicant 802.1x, donc une page web devrait s’afficher lorsqu’un navigateur est ouvert.

Test du 802.1x

Pour cela il faut impérativement que l’équipement se connectant au switch ait le 802.1x d’actif.

Dans le cas de windows, voici la procédure pour l’activer :

  1. Appuyer sur les touches Windows+R. Une fenêtre apparaît.
  2. Taper services.msc, valider.
  1. Choisir (en bas) l’onglet Standard ;
  2. Double-cliquer sur la ligne Configuration automatique de réseau câblé (ou Wired AutoConfig en anglais) ;
  1. Choisir Type de démarrage : Automatique ;
  1. Cliquer sur Appliquer ;
  2. Cliquer sur Démarrer ;
  3. Cliquer sur OK ;

Carte réseau :

  1. Ouvrir le Panneau de configuration ;
  2. Aller dans Réseau et Internet > Centre réseau et partage ;
  3. Cliquer (à gauche) sur Configurer les paramètres de la carte ;
  4. Faire un clic-droit sur Connexion au réseau local ou Ethernet, et choisir Propriétés ;
  5. Choisir l’onglet Authentification ;
  6. Cocher la première case et choisir Méthode d’authentification réseau : Microsoft : EAP (PEAP)
  1. Cliquer sur Paramètres ;
  2. S’assurer que Validate server certificate n’est pas coché.
  3. EAP-MSCHAPv2 sélectionné
  4. Redémarrer l’ordinateur.

Au redémarrage de la session, une pop-up s’affiche demandant d’entrer les identifiants.

Il faudra saisir les identifiants valide d’un compte dans l’AD.

une fois cela fait, le port est mis dans le bon VLAN et l’accès à internet sera opérationnel.

Il est possible dans les paramètres vu précédemment d’utiliser les identifiants d’ouverture de sessions pour activer l’accès au réseau. de manière à ne pas avoir a les re-rentrer par le biais de la pop-up.

Enfin, on a la possibilité de suivre ce qui ce passe en consultant les log de packetfence

tail -f /usr/local/pf/logs/packetfence.log

VirtualBox – Installation sur Debian

Dans un terminal :

sudo apt install virtualbox-5.2

Une fois l’installation terminé, il est probable que le lancement d’une VM ou de virtualbox lui même ne se fasse pas. Pour y remédier il faut :

sudo modprobe vboxdrv

sudo apt update

sudo apt install –reinstall linux-headers-$(uname -r)

sudo virtualbox-dkms dkms

Redémarrer et lancer:

sudo modprobe vboxdrv

Si le problème persiste, il faut désactiver le “Secure Boot” dans le BIOS.

PfSense – Installation et configuration

Définition

Le firewall pfSense: est un OS transformant n’importe quel ordinateur en routeur/pare-feu. Basé sur FreeBSD, connu pour sa fiabilité et surtout sa sécurité, Pfsense est un produit OpenSource adapté à tout type d’entreprise.

Il offre la possibilité de déployer une multitude de services tels que

– Gestion complète par interface web

– Pare-feu stateful avec gestion du NAT, NAT-T

– Gestion de multiples WAN

– DHCP server et relay

– Failover (possibilité de monter un cluster de pfsense)

– Load balancing

– VPN Ipsec, OpenVPN, L2TP

– Portail captif

Installation :

Aller sur le site https://www.pfsense.org/download/ et telecharger l’iso.

L’installer avec Hyper-V

Aller dans paramètres hyper-v et ajouter deux cartes réseaux (3 au total)  pour les différentes interfaces (WAN,LAN,DMZ).

Configuration :

Lors du premier démarrage de Pfsense,nous avons configuré les différentes interfaces (WAN, LAN, DMZ, etc.), il faut donc bien repérer les différentes cartes réseaux afin de ne pas vous tromper dans notre configuration auquel cas nous n’aurons pas accès à l’interface web et notre pare-feu ne fonctionnera pas.

Pfsense nous affiche nos différentes cartes réseaux avec leur adresse MAC, ce qui nous permettra de les différencier.

Une fois PfSense lancé, procéder à sa configuration comme ci-dessous :

Configuration des interfaces pfsense

  • em0 → WAN
  • em1→ LAN
  • em2→ DMZ

Attribution des adresses IP aux différentes interfaces

  • WAN → 192.168.5.228/24
  • LAN→ 172.18.0.1/29
  • DMZ→ 172.17.2.1/28

Accéder l’interface web à partir du réseau LAN. Se connecter avec les identifiants par défauts :

Login : admin

password : pfsense

Changer le mot de passe une fois connecté.

Onglet routage ( voir modif)

Onglet pare feu : NAT

s’assurer que le mode automatique est actif

Onglet pare feu : Règles (voir modif)

Pour la sauvegarde/restauration de configuration aller dans l’onglet

Diagnostics=> Sauvegarde&restauration

Un fichier au format XML sera généré. Il servira à restaurer la config au cas de crash.

Pour mettre à jour pfsense :

Système>mise à jour>

Si une mise à jour est disponible un bouton s’affiche.

Pour modifier le clavier en AZERTY

il faut installer le paquet  

Système> Gestionnaire de paquets > Paquets disponibles

Chercher et installer le paquet : Shellcmd

Une fois installé, aller dans :

Service > shellcmd

puis saisir comme ci-dessous :

Ca prendra effet au prochain démarrage

Exemple de règles :

Référence :

https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html

https://www.it-connect.fr/installation-de-pfsense%EF%BB%BF/

Squid – Surveillance avec Zabbix

Il est possible de surveiller et mettre en place des alertes à l’aide de Zabbix. A travers le protocole SNMP.

Telecharger le  modele squid :

https://share.zabbix.com/component/mtree/cat-app/squid-proxy-snmp

Décompresser le fichier

Aller dans l’interface web de zabbix et importer ce modèle :

Configuration > modeles > importer

Chercher le fichier .XML puis l’importer

Ajouter ces lignes au fichier de configuration de squid

vi /etc/squid/squid.conf
snmp_port 3401
acl zabbix snmp_community zabbix
snmp_access allow zabbix all

NB  : Cette configuration n’est pas sécurisée et permet à tout hôte d’accéder à Squid SNMP.  Une ACL plus restrictive que ALL doit être appliquée.

snmp_port 3401
acl zabbix snmp_community zabbixacl Adminhost src 172.16.2.4snmp_access allow zabbix Adminhost all

Créer 2 macros dans zabbix :

{$SQUID_SNMP_COMMUNITY} > zabbix

{$SQUID_SNMP_PORT} > 3401

SNMP community correspond au mot défini dans le fichier de squid.conf

Configuration d’un hôte :

modèle :  ajouter le modèle importé précédemment

Résultat attendu :

référence :

http://etutorials.org/Server+Administration/Squid.+The+definitive+guide/Chapter+14.+Monitoring+Squid/14.3+Using+SNMP/

Xmodem & CISCO

Cette procédure sert à restaurer le système IOS de CISCO si celui-ci est défaillant ou absent d’un équipement tel que switch ou routeur.

Pour réparer, il faut utiliser XMODEM et EXTRA-putty. Disposer d’une image en .bin de l’ios cisco.

1/ Préparer le switch à recevoir l’IOS

2/ Envoyer l’image .bin

3/ Patientez quelques heures (2 à 3 heures)

4/ Si tout se déroule correctement :

5/ La commande : show version donne :

TFTP & CISCO

Mise en place d’un service TFTP afin de réaliser les sauvegardes de switch et routeur cisco

Linux : installation et configuration

apt install tftpd

mkdir /srv/tftp

chmod -R 777 /srv/tftp

chown -R nobody /srv/tftp

touch /srv/tftp/cisco.backup

chmod -R 777 /srv/tftp

chown -R nobody /srv/tftp

CISCO : Sauvegarde de configuration

CE_2#copy running-config tftp:
Address or name of remote host []? 64.104.207.171
Destination filename [ce_2-confg]? cisco.backup


CISCO : Restauration de configuration

Router#copy tftp: running-config

Address or name of remote host []? 64.104.207.171
Source filename []? backup_cfg_for_my_router
Destination filename [running-config]?
Accessing tftp://10.66.64.10/backup_cfg_for_my_router…
Loading backup_cfg_for_router from 64.104.207.171 (via FastEthernet0/0): !
[OK – 1030 bytes]

CISCO : restauration du bootloader

copy tftp://192.168.3.47/c3560-ipservicesk9-mz.150-1.SE.bin flash:

Zabbix – Ajouter pfsense comme hôte

Pour l’ajout de pfsense dans la supervision zabbix, il faut accéder à l’interface web d’administration et installer le paquet zabbix.

Système > Gestionnaire de paquets > Paquets disponibles

chercher et installer le paquet compatible avec le serveur /

dans mon cas, j’ai installé celui-ci :Zabbix Agent 4.0

Ensuite, aller dans l’onglet service > Zabbix Agent 4.0

Remplir comme ci-dessous, pour atteindre le serveur zabbix et cocher “Enable zabbix…”

Ensuite aller sur zabbix :

Configuration > Hôtes > créer un hôte

puis, ajouter un hôte comme vu précédemment ici : tuto ajout hôte zabbix
Mettre le Template OS FreeBSD (Template App Zabbix Agent)