Dédicace

Ce travail est dédié :

À l’École Supérieure de Technologie de Béni Mellal, un lieu d’excellence où nous
avons épanoui nos connaissances et forgé notre personnalité. Nous remercions
chaleureusement cet établissement pour son environnement stimulant et son engagement
envers la réussite de ses étudiants.

À l’ensemble du personnel de l’école – enseignants, administratifs et techniques – dont

le professionnalisme et la passion ont enrichi notre parcours. Vos efforts ont été déterminants
dans notre formation et notre épanouissement.

À nos familles, piliers indéfectibles de cette aventure. Votre soutien inconditionnel, vos
encouragements et votre amour nous ont portés et inspirés à chaque étape.

À Mme Acia IZEM, notre encadrante, pour sa guidance précieuse, sa patience et son
accompagnement sans faille. Votre expertise a été un atout majeur dans l’aboutissement de ce
projet de fin d’études.

Enfin, à nos amis, collègues et à toutes les personnes qui ont contribué, directement ou
indirectement, à ce projet. Votre présence et vos encouragements ont été une source d’énergie
et de motivation. Nous sommes honorés de partager cette réussite avec vous

1
 Remerciements
À l’issue de ce mémoire, nous saisissons l’occasion d’exprimer notre profonde
gratitude à l’ensemble de l’équipe pédagogique de l’École Supérieure de Technologie de
Béni Mellal, ainsi qu’aux intervenants professionnels responsables de la formation en
administration des réseaux informatiques. Leur expertise, leur engagement et leur soutien
constant ont été des piliers fondamentaux tout au long de notre parcours académique et dans
la réussite de ce projet.

Nous adressons tout particulièrement nos sincères remerciements à Mme Acia IZEM,
notre encadrante, pour son dévouement exceptionnel. Ses conseils avisés, sa disponibilité
sans faille et son expertise ont joué un rôle déterminant dans l’élaboration de ce travail, nous
guidant avec bienveillance vers l’aboutissement de ce mémoire.

Nous exprimons également notre gratitude particulière au M. Ahmed KAJOUNI, chef de

filière, pour son soutien précieux et ses orientations continues, qui ont contribué à créer un
environnement académique stimulant, ayant un impact positif sur la réalisation de ce travail.

Nous remercions également chaleureusement les membres du jury et les enseignants

qui ont accepté d’évaluer ce mémoire. Leurs analyses pertinentes, leurs remarques
constructives et leur expertise ont grandement enrichi la qualité et la rigueur de ce travail.

Enfin, nous tenons à adresser nos plus vifs remerciements à toutes les personnes qui, de
près ou de loin, ont contribué à la réalisation de ce projet. Que ce soit par leurs conseils
éclairés, leur soutien technique, leurs échanges enrichissants ou leur aide précieuse, leur
générosité et leur engagement ont été des facteurs clés de notre succès. Nous leur sommes
profondément reconnaissants pour leur contribution inestimable.

Merci à tous et à toutes

2
 Table des Matières

Dédicace...................................................................................................................................................1
Remerciements.........................................................................................................................................2
Table des Matières...................................................................................................................................3
Liste des figures.......................................................................................................................................7
Liste des tableaux.....................................................................................................................................8
Liste des abréviations...............................................................................................................................9
Introduction générale.............................................................................................................................11
Chapitre 1 : Méthodes d'Authentification dans les Réseaux Informatiques..........................................13
1. Introduction....................................................................................................................................14
1.1. définition.....................................................................................................................................14
1.2. Objectifs de l'authentification................................................................................................14
2. Types d'Authentification................................................................................................................15
2.1. Authentification simple (nom d'utilisateur + mot de passe)..................................................15
2.2. Authentification forte (MFA, biométrie)...............................................................................15
2.2.1. Authentification multifacteur (MFA) :........................................................................16
2.2.2. Biométrie :....................................................................................................................16
2.3. Authentification centralisée (SSO)........................................................................................16
2.3.1. Processus d'authentification centralisée basé sur des certificats..........................................16
3. Importance de l'Authentification dans les Réseaux.......................................................................17
3.1. Sécurité des données...................................................................................................................17
3.2. Gestion des accès...................................................................................................................18
3.2.1 Les Types de topologies de Réseau :.............................................................................18
4. Conclusion.....................................................................................................................................19
Chapitre 2 : Protocole LDAP.................................................................................................................20
1. Introduction........................................................................................................................................21
1.1. Définition de LDAP (Lightweight Directory Access Protocol).................................................21
1.2. Historique et origine ?............................................................................................................22
2. Principe de Fonctionnement de LDAP..........................................................................................22
2.1. Structure des données (DIT, entrées, attributs).........................................................................25
2.1.1. Racine de l'arbre (dc=mon-entreprise,dc=com) :.................................................................26
2.1.2. Unités organisationnelles (ou=Personnes, ou=Machines) :.................................................26

3
 2.1.3. Filiale (o=Filiale) :...............................................................................................................26
2.1.4. Entrées (cn=Marie, cn=Pierre, ou=Téléphones, ou=Ordinateurs, cn=filiale) :...................26
2.1.5. Détails de l'entrée (Marie) :.................................................................................................26
2.2. Opérations de base (recherche, ajout, modification, suppression).............................................28
3. Mécanismes de Sécurité dans LDAP................................................................................................29
3.1. Chiffrement (SSL/TLS).........................................................................................................29
3.2. Authentification.....................................................................................................................30
3.2.1. Authentification simple :...............................................................................................30
3.2.2. SASL (Simple Authentication and Security Layer):.....................................................30
3.2.3. Tableau Récapitulatif :...................................................................................................31
4. Menaces de Sécurité et Solutions pour LDAP..................................................................................31
4.1. Menaces......................................................................................................................................31
4.2. Solutions........................................................................................................................................32
5. Schémas et Explications:...................................................................................................................33
5.1. Diagramme de l'architecture LDAP............................................................................................33
5.2. Exemples d'utilisation dans les réseaux d'entreprise..................................................................34
5.2.1. Gestion des Utilisateurs.......................................................................................................34
5.2.2. Authentification Centralisée (SSO).....................................................................................34
5.2.3. Gestion des Groupes et des Permissions..............................................................................35
5.2.4. Intégration avec d'Autres Services.......................................................................................35
5.3. Avantages de LDAP...................................................................................................................35
5.4. Comparaison avec d'autres protocoles :......................................................................................36
6. Conclusion.........................................................................................................................................37
Chapitre 3: Protocole Kerberos..............................................................................................................38
1. Introduction....................................................................................................................................39
1.1. Definition de Kerberos:.........................................................................................................39
1.2. Historique et origine..............................................................................................................39
2. Principe de Fonctionnement de Kerberos......................................................................................39
2.1. Composants principaux (AS, TGS, Client, Serveur).............................................................40
2.2. Processus d'authentification (TGT, tickets de service)..........................................................40
3. Mécanismes de Sécurité dans Kerberos.........................................................................................41
3.1. Chiffrement des tickets..........................................................................................................41
3.2. Gestion des sessions et des tickets.........................................................................................42
4. Menaces de sécurité et solutions pour kerberos :..........................................................................42
4.1. Menaces :...............................................................................................................................42
4.2. Solutions :..............................................................................................................................43

4
5. Schémas et Explications................................................................................................................43
5.1. Diagramme du processus d'authentification Kerberos...........................................................43
5.2. Exemples d'utilisation dans les réseaux d'entreprise.............................................................44
6. Conclusion.....................................................................................................................................45
Chapitre 4: Protocole RADIUS.............................................................................................................46
1. Introduction....................................................................................................................................47
1.1. Définition de RADIUS (Remote Authentication Dial-In User Service)...............................47
1.2. Historique et origine..............................................................................................................47
2. Principe de Fonctionnement de RADIUS......................................................................................48
2.1. Composants principaux (Client, Serveur, Base de données).................................................48
2.2. Processus d'authentification et d'autorisation........................................................................50
3. Mécanismes de Sécurité dans RADIUS........................................................................................51
3.1. Chiffrement des données (MD5, TLS)..................................................................................51
3.2. Gestion des sessions et des utilisateurs..................................................................................51
4. Menaces de Sécurité et Solutions pour RADIUS..........................................................................52
4.1. Menaces.................................................................................................................................52
4.2. Solutions:..................................................................................................................................53
5. Schémas et Explications................................................................................................................53
6. Conclusion.........................................................................................................................................55
Chapitre 5: Comparaison des Méthodes d'Authentification..................................................................56
1. Introduction....................................................................................................................................57
2. Comparaison entre LDAP, Kerberos, et RADIUS........................................................................57
2.1. Avantages et inconvénients de chaque protocole..................................................................57
2.1.1. LDAP:............................................................................................................................57
2.1.2. Kerberos :.......................................................................................................................57
2.1.3. RADIUS :......................................................................................................................58
2.2. Cas d'utilisation typiques.......................................................................................................58
3. Tableau Comparatif :.....................................................................................................................59
3.1. Comparaison des fonctionnalités, sécurité, et performance..................................................59
4. Conclusion.....................................................................................................................................59
Chapitre 6 : Mise en place d'une Infrastructure d'authentification unifiée avec Kerberos, LDAP et
RADIUS.................................................................................................................................................60
1. Introduction (Objectifs du projet)..................................................................................................61
1.1 Contexte du Projet.......................................................................................................................61
1.2 Idée Globale du Projet.................................................................................................................61
1.3 Objectifs Techniques...................................................................................................................62

5
 1.3.1 Objectif Principal..................................................................................................................62
1.3.2 Objectifs Spécifiques............................................................................................................62
1.4 Public Cible et Cas d'Usage.........................................................................................................62
1.4.1 Bénéficiaires.........................................................................................................................62
1.4.2 Scénarios d'Application........................................................................................................62
2. Architecture (Schéma des serveurs + IPs) :.......................................................................................63
2.1 Schéma d'Infrastructure...............................................................................................................63
2.1.1 Diagramme Global................................................................................................................63
2.1.2 Flux d'Authentification......................................................................................................65
3. Configuration Pas à Pas.....................................................................................................................66
3.1 Configuration du Serveur LDAP (OpenLDAP)..........................................................................66
3.2. Configuration du Serveur Kerberos (MIT Kerberos)............................................................69
3.3. Configuration du Serveur RADUIS (FreeRADUIS).............................................................74
4. Conclusion.........................................................................................................................................79
Conclusion générale...............................................................................................................................81
Bibliographies:.......................................................................................................................................83

6
 Liste des figures

Figure 1:interface d'authentification simple avec un nom d'utilisateur et un mot de passe...................14

Figure 2:Différences entre identification, authentification, autorisation...............................................15
Figure 3:Processus d'authentification centralisé centralisée basé sur des certificats............................17
Figure 4:Topologies de réseau (bus, étoile, anneau) et leur impact sur la gestion des accès................18
Figure 5:Qu'est-ce que le protocole LDAP............................................................................................21
Figure 6:L’Architecture Client/Serveur.................................................................................................22
Figure 7: Ensemble de l'authentification externe LDAP.......................................................................23
Figure 8:Structure hiérarchique de l'annuaire LDAP de Mon-Entreprise.............................................25
Figure 9:Diagramme de l'architecture LDAP........................................................................................33
Figure 10:Diagramme du processus d'authentification Kerberos..........................................................43
Figure 11:Qu'est-ce que RADIUS.........................................................................................................46
Figure 12:Composants principaux de radius.........................................................................................47
Figure 13:RSN Phase 2 : Authentification 802.1X................................................................................49
Figure 14:Diagramme de l'architecture RADIUS..................................................................................53
Figure 15:Diagramme Global du Projet.................................................................................................63
Figure 16:Flux d’Authentification.........................................................................................................65
Figure 17:Structure de l’annuaire LDAP...............................................................................................66

7
 Liste des tableaux

Tableau 1:tableau récapitulatif...............................................................................................................31

Tableau 2:Comparaison avec d'autres protocoles..................................................................................36
Tableau 3 : Comparaison des fonctionnalités, sécurité, et performance...............................................59
Tableau 4:Technologies Choisies..........................................................................................................63
Tableau 5:Tableau des Composants......................................................................................................64
Tableau 6:Protocoles et Ports Utilisés...................................................................................................65
Tableau 7:paramétres de configuration du cliente dans FreeRADIUS..................................................77
Tableau 8:informations de test pour l'authentification LDAP via FreeRADIUS..................................79

8
 Liste des Abréviations

LDAP: Lightweight Directory Access Protocol

RADIUS: Remote Authentication Dial-In User Service
SSO: Single Sign-On
EAP: Extensible Authentication Protocol
DAP: Directory Access Protocol
DIT: Directory Information Tree
OSI: Open Systems Interconnection
KDC: Key Distribution Center
AS: Authentication Service
TGS: Ticket Granting Service
TGT: Ticket Granting Tickets
KDC: Key Distribution Center
TLS: Transport Layer Security

9
 Introduction générale

1. Contexte des Méthodes d'Authentification dans les Réseaux Informatiques

L'authentification est un pilier essentiel de la sécurité des réseaux informatiques. Avec

l'évolution des technologies et l'augmentation des cybermenaces, la protection des données et
des ressources est devenue une priorité pour les entreprises et les organisations. Les méthodes
d'authentification permettent de vérifier l'identité des utilisateurs et de contrôler l'accès aux
ressources sensibles.
L'authentification permet aux organisations de sécuriser leurs réseaux en autorisant
uniquement les utilisateurs ou les processus authentifiés à accéder à leurs ressources
protégées1. Une fois authentifié, un utilisateur ou un processus est généralement soumis à un
processus d'autorisation pour déterminer si l'entité authentifiée doit être autorisée à accéder à
une ressource ou un système protégé spécifique1.
Dans un monde où les attaques informatiques sont de plus en plus sophistiquées (ex :
phishing, attaques par force brute, vols de données), il est crucial de mettre en place des
systèmes d'authentification robustes et fiables. Des protocoles comme LDAP, Kerberos,
et RADIUS sont largement utilisés pour répondre à ces besoins, offrant des solutions
adaptées à différents contextes (réseaux d'entreprise, services cloud, etc.).
Ce rapport se concentre sur l'étude de ces protocoles, en explorant
leurs fonctionnements, leurs avantages, leurs limites, et leurs applications pratiques dans les
réseaux informatiques.
1. Objectifs du Rapport

L'objectif principal de ce rapport est de fournir une analyse approfondie des méthodes
d'authentification utilisées dans les réseaux informatiques, en mettant l'accent sur les
protocoles LDAP, Kerberos, et RADIUS. Plus spécifiquement, ce rapport vise à :
 Expliquer le fonctionnement de chaque protocole d'authentification.
 Comparer les avantages et les inconvénients de ces protocoles.
 Identifier les menaces de sécurité associées à chaque protocole et proposer des
solutions pour les atténuer.
 Montrer comment ces protocoles peuvent être configurés et utilisés dans un
environnement réel (ex : sous CentOS 10).
 Proposer une application pratique qui illustre l'utilisation de ces protocoles dans
un contexte d'entreprise.

Ce rapport s'adresse aux professionnels de l'informatique, aux étudiants en réseaux et

sécurité, ainsi qu'à toute personne intéressée par les technologies d'authentification.
1. Structure du Rapport

11
Pour atteindre ces objectifs, ce rapport est structuré en six chapitres principaux :
 Méthodes d'Authentification dans les Réseaux Informatiques
Ce chapitre introduit les concepts de base de l'authentification, les différents types
d'authentification et leur importance dans les réseaux.

 Protocole LDAP
Ce chapitre explore le protocole LDAP, son fonctionnement, ses mécanismes de
sécurité et ses applications.

 Protocole Kerberos
Ce chapitre se concentre sur Kerberos, en détaillant son architecture, son processus
d'authentification et ses avantages.

 Protocole RADIUS
Ce chapitre analyse le protocole RADIUS, son utilisation dans les réseaux et ses
mécanismes de sécurité.

 Comparaison des Méthodes d'Authentification

Ce chapitre compare les protocoles LDAP, Kerberos et RADIUS, en mettant en
évidence leurs forces et leurs faiblesses.

 Mise en place d'une infrastructure d'authentification unifiée avec Kerberos,

LDAP et RADIUS
Ce chapitre décrit les différentes étapes de réalisation de notre projet, qui consiste à
concevoir et déployer une infrastructure d’authentification centralisée en intégrant les
services LDAP, Kerberos et RADIUS sur des machines virtuelles basées sur
CentOS 10 et Debian , Il présente la configuration détaillée de chaque service, leur
intégration, ainsi que la sécurisation des communications entre eux. Des tests
fonctionnels ont également été réalisés pour valider le bon fonctionnement du système
dans un environnement simulé en laboratoire.

Enfin, le rapport se conclut par une synthèse des résultats et des perspectives d'avenir pour les
méthodes d'authentification.

Conclusion de l'Introduction
Ce rapport vise à fournir une compréhension complète des méthodes d'authentification
dans les réseaux informatiques, en combinant théorie et pratique. En explorant les protocoles
LDAP, Kerberos, et RADIUS, nous espérons offrir des outils et des connaissances utiles pour
renforcer la sécurité des réseaux et répondre aux défis actuels en matière de cybersécurité.

12
Chapitre 1 : Méthodes
d'Authentification dans les Réseaux
Informatiques

13
 1. Introduction

Dans le contexte actuel de la cybersécurité, l'authentification joue un rôle crucial en

garantissant que seules les entités autorisées accèdent aux ressources informatiques. Elle
constitue la première ligne de défense contre les accès non autorisés, protégeant ainsi les
données sensibles et les infrastructures critiques.

1.1 Definition de l'Authentification

L'authentification est un processus permettant de vérifier l'identité d'une entité

(utilisateur, appareil ou application) avant de lui accorder l'accès à des ressources
protégées. Ce mécanisme repose sur la validation des informations d'identification
fournies par cette entité, comme un mot de passe, une empreinte digitale ou un
certificat numérique. L'objectif est de garantir que seules les entités autorisées peuvent
accéder aux données ou systèmes sensibles [1].

Figure 1:interface d'authentification simple avec un nom d'utilisateur et un mot de passe

L'authentification repose sur la fourniture de preuves d'identité, appelées facteurs
d'authentification, qui peuvent être classés en plusieurs catégories :

 Ce que l'on sait : informations connues uniquement de l'utilisateur, comme un mot de

passe ou un code PIN.
 Ce que l'on possède : objets physiques détenus par l'utilisateur, tels qu'une carte à
puce, un Token ou un smartphone.
 Ce que l'on est : caractéristiques biométriques uniques, comme les empreintes
digitales ou la reconnaissance faciale.
 Ce que l'on fait : comportements spécifiques, tels que la dynamique de frappe au
clavier ou les habitudes de navigation.

L'utilisation combinée de plusieurs facteurs d'authentification renforce la sécurité en

rendant plus difficile l'usurpation d'identité.

 Exemple : Lorsque vous vous connectez à votre compte Gmail, vous devez fournir
un nom d'utilisateur et un mot de passe. Ce processus est une forme d'authentification.

1.2. Objectifs de l'authentification

L'authentification vise plusieurs objectifs essentiels dans les réseaux informatiques :

14
 1. Sécuriser l'accès : Empêcher les entités non autorisées d'accéder aux systèmes et
données sensibles.
2. Assurer la confidentialité : Protéger les informations contre les divulgations non
autorisées.
3. Garantir l'intégrité : S'assurer que les données ne sont pas altérées par des entités
non autorisées.
4. Permettre la traçabilité : Enregistrer les accès pour des audits et des analyses de
sécurité.
5. Faciliter la gestion des accès : Attribuer des droits d'accès appropriés en fonction
des rôles et responsabilités des utilisateurs.

En mettant en œuvre des mécanismes d'authentification robustes, les organisations peuvent

renforcer leur posture de sécurité, se conformer aux réglementations en vigueur et instaurer un
climat de confiance avec leurs utilisateurs. [31]

2. Types d'Authentification
2.1. Authentification simple (nom d'utilisateur + mot de passe)

L'authentification simple repose sur un seul facteur, généralement un identifiant (nom

d'utilisateur) et un mot de passe. Bien que largement utilisée, cette méthode est vulnérable
aux attaques telles que le phishing, l'enregistrement des frappes clavier ou les devinettes [8].
 Avantages : - Facilité d'utilisation et déploiement peu coûteux.
 Inconvénients : - Vulnérabilité aux attaques par force brute, hameçonnage (phishing)
et enregistrement de frappes (keylogging).
- Dépendance à la robustesse du mot de passe choisi par l'utilisateur.

 Exemple : Connexion à un compte de messagerie électronique.

Selon la CNIL, l'authentification par mot de passe est le moyen le plus simple et le moins
coûteux à déployer, mais présente un niveau de sécurité faible bien que généralement
acceptable [32]

2.2. Authentification forte (MFA, biométrie)

15
L’authentification forte est un mécanisme de sécurité avancé qui repose sur plusieurs facteurs
d’authentification. Contrairement à l’authentification simple, elle ne se base pas uniquement sur un
mot de passe, mais exige au moins deux éléments distincts parmi les trois catégories suivantes :

1. Ce que vous savez (mot de passe, code PIN)

2. Ce que vous avez (smartphone, carte à puce, token)

3. Ce que vous êtes (biométrie : empreinte, visage, iris)

L’idée est de compliquer la tâche des attaquants : même s’ils volent un mot de passe, ils auront
besoin d’un autre facteur difficile à reproduire.

Figure 2:Différences entre identification, authentification, autorisation

Différences entre identification, authentification et autorisation dans un système de sécurité

 Identification: Il s'agit de la première étape du processus de sécurité, consistant à
reconnaître l'identité d'un utilisateur ou d'un objet dans un
système457. L'identification consiste à fournir une identité unique, comme un nom
d'utilisateur, une adresse e-mail, un numéro de téléphone ou un numéro
d'identification personnel25.
 Authentification: C'est le processus de vérification de l'identité d'un utilisateur qui a
été identifié13458. L'authentification confirme que l'utilisateur est bien celui qu'il
prétend être1. Ce processus peut impliquer la saisie d'un mot de passe, l'utilisation de
l'authentification à deux facteurs (2FA), la biométrie ou une carte à puce236.

16
  Autorisation: L'autorisation détermine les ressources auxquelles un utilisateur
authentifié a le droit d'accéder126. Elle spécifie les droits d'accès et les privilèges
accordés à un utilisateur, garantissant que les ressources et les données sont protégées
contre tout accès non autorisé256. L'autorisation intervient après une authentification
réussie pour vérifier qu'une tentative de connexion est légitime5.

L'authentification forte repose sur plusieurs facteurs pour valider l'identité d'un utilisateur.
Elle inclut [10] :

2.2.1. Authentification multifacteur (MFA) :

Définition :

La MFA (Multi-Factor Authentication) consiste à exiger deux ou plusieurs types de preuves

d'identité. Exemple typique :

- L'utilisateur entre son mot de passe (quelque chose qu’il sait)

- Puis reçoit un code par SMS ou via une application comme Google Authenticator (quelque
chose qu’il a) [33]

Combine au moins deux types de facteurs parmi :

 Ce que l'on connaît (mot de passe, code PIN).
 Ce que l'on possède (jeton matériel, smartphone).
 Ce que l'on est (empreintes digitales, reconnaissance faciale).
Par exemple, une connexion peut nécessiter un mot de passe suivi d'un code
envoyé sur un téléphone mobile.
 Quelque chose que vous connaissez (ex : mot de passe).
 Quelque chose que vous possédez (ex : téléphone pour recevoir un code OTP).
 Quelque chose que vous êtes (ex : empreinte digitale, reconnaissance faciale).
Exemples concrets :
 Connexion à Gmail : mot de passe + code SMS
 Accès à une banque en ligne : mot de passe + carte à puce ou lecteur de carte
 Accès aux services Microsoft 365 : mot de passe + application Microsoft
Authenticator
Avantages :

17
  Très efficace contre le vol de mot de passe
 Renforce la sécurité des accès distants (VPN, cloud)
 Compatible avec de nombreux systèmes
Limites :
 Moins pratique pour l’utilisateur
 Nécessite une connexion (si envoi de code)
 Peut être contournée en cas d’attaque par hameçonnage ciblé avec vol de code
temporaire
Outils populaires :
 Google Authenticator
 Microsoft Authenticator
 Duo Security
 YubiKey (clé physique)

Schéma Explicatif :

18
 2.2.2. Biométrie :

Définition :

Cette méthode repose sur des caractéristiques physiques uniques à chaque individu. On parle aussi
de facteurs intrinsèques. Elle est utilisée principalement dans les smartphones, les entreprises ou les
postes sensibles.

Exemples :

19
  Empreinte digitale sur téléphone

 Reconnaissance faciale sur les MacBook et iPhone (Face ID)

 Scanner d’iris ou rétine pour les installations militaires

 Reconnaissance vocale dans certains call centers

Types de biométries :

Type Description Précision

Empreinte digitale Capteur lit les motifs de la peau Élevée

Reconnaissance faciale Caméra analyse les traits du visage Moyenne à élevée

Iris / rétine Scanne de l’œil Très élevée

Voix Analyse du spectre vocal Moyenne

Avantages :
 Très pratique : rien à mémoriser ou transporter
 Très difficile à falsifier (sauf attaque avancée)
 Temps de connexion rapide
Inconvénients :
 Sensible aux conditions : humidité, éclairage, etc.
 Problèmes de confidentialité (vol de données biométriques)
 Impossibilité de “changer” une empreinte comme un mot de passe

Illustration :

20
 2.3. Authentification centralisée (SSO)

Définition

L’authentification centralisée, aussi appelée SSO (Single Sign-On), est une méthode qui permet à un
utilisateur de s’authentifier une seule fois pour accéder à plusieurs applications ou services sans
avoir à ressaisir ses identifiants à chaque fois.

Exemple : Un employé se connecte à son compte d’entreprise, et peut ensuite accéder à ses e-mails,
son intranet, ses fichiers cloud (comme SharePoint ou Google Drive), sans devoir se reconnecter à
chaque service.

Fonctionnement général :

21
L’authentification centralisée repose sur un serveur d’authentification ou fournisseur d'identité
(IdP). Lorsqu’un utilisateur tente d’accéder à un service, celui-ci le redirige vers le serveur central,
qui effectue la vérification d’identité. Une fois authentifié, le système délivre un jeton (token) qui
permet d’accéder aux autres services.

Schéma simplifié :

Avantages
Simplicité pour l’utilisateur :
 Il ne se connecte qu'une fois par session.
 Il n’a qu’un seul mot de passe à mémoriser.
Moins de mots de passe → moins de risques :
 Réduction du phishing, car l’utilisateur saisit ses identifiants moins souvent.
Administration centralisée :
 Les droits d'accès sont gérés depuis une seule interface.

22
  Si un compte est désactivé, l'accès est coupé partout.
Inconvénients / Risques
Point unique de défaillance :
 Si le serveur d’authentification est indisponible, l’accès à tous les services est bloqué.
Compromission d’un seul compte → accès total :
 Un attaquant qui vole le mot de passe d’un utilisateur a accès à tous les services
connectés au SSO [34]
Exemples de solutions SSO :

Solution Description

LDAP + Kerberos Utilisé dans les systèmes d’entreprise (Windows AD, Linux)

Google Workspace SSO Permet l’accès unique à Gmail, Drive, Docs, etc.

Microsoft Azure Active Permet SSO pour toutes les applications Office 365 et
Directory applications tierces

Okta, OneLogin Fournisseurs SSO pour entreprise en mode SaaS

2.3.1. Processus d'authentification centralisée basé sur des

certificats.

Certaines solutions SSO utilisent des certificats numériques pour sécuriser la communication entre
le fournisseur d’identité (IdP) et les applications. Cela se fait via des protocoles comme SAML
(Security Assertion Markup Language) ou OAuth 2.0/OpenID Connect [35]

Étapes d’un SSO avec certificats :

- L’utilisateur demande à accéder à une application.
- L’application redirige l’utilisateur vers l’IdP (avec certificat signé).
- L’IdP vérifie l’identité de l’utilisateur et renvoie un jeton signé (SAML ou JWT).
- L’application valide le certificat/jeton.
- L’utilisateur accède sans ressaisie du mot de passe.

23
 Figure 3:Processus d'authentification centralisé centralisée basé sur des certificats.

Le Single Sign-On (SSO) permet à un utilisateur de s'authentifier une seule fois pour accéder
à plusieurs applications ou services. Cette méthode repose souvent sur des protocoles comme
SAML ou OAuth [11].

 Avantages :
 Simplifie l'expérience utilisateur en réduisant le nombre d'identifiants
nécessaires.
 Améliore la gestion centralisée des identités.
 Inconvénients :
 Si les identifiants SSO sont compromis, toutes les ressources accessibles via le
SSO sont exposées.
 Exemple : Connexion à Google Workspace (Gmail, Drive, Docs) avec un seul compte

3. Importance de l'Authentification dans les Réseaux

3.1. Sécurité des données

L'authentification protège la confidentialité et l'intégrité des données en garantissant que seuls

les utilisateurs autorisés peuvent y accéder. Cela réduit considérablement les risques liés aux
violations de données et aux cyberattaques [36]

24
  L'authentification est essentielle pour protéger les données sensibles contre les accès
non autorisés.
 Exemple : Dans une entreprise, seuls les employés autorisés doivent pouvoir accéder
aux fichiers confidentiels.
 Enjeux : Sans authentification, les données pourraient être volées, modifiées ou
supprimées par des personnes malveillantes [1].

3.2. Gestion des accès

3.2.1 Les Types de topologies de Réseau :

Voici les différents types de topologies de réseau (bus, étoile, anneau), qui peuvent être
utilisées pour expliquer comment l'authentification est gérée dans différents types de réseaux.

Figure 4:Topologies de réseau (bus, étoile, anneau) et leur impact sur la gestion des accès

- La gestion des accès dépend de la structure du réseau. Par exemple, dans un réseau en
étoile, l'authentification peut être centralisée sur un serveur, tandis que dans un réseau
en anneau, elle peut être distribuée [12].

- Une authentification efficace permet :

 De restreindre l'accès aux ressources en fonction du rôle ou du niveau d'autorisation.

 De mettre en place une traçabilité des actions réalisées dans le système.
 De limiter les erreurs humaines grâce à une gestion centralisée et automatisée des
droits.
 L'authentification permet de contrôler qui a accès à quoi dans un réseau.
Exemple : Un administrateur réseau peut accorder des permissions spécifiques à certains
utilisateurs (ex : accès en lecture seule, accès complet).

25
 Enjeux : Une mauvaise gestion des accès peut entraîner des fuites de données ou des
perturbations du réseau.
Journalisation et Audit :
o L'authentification permet de suivre les activités des utilisateurs grâce à des
logs (journaux).
o Exemple : En cas de problème de sécurité, les logs peuvent aider à identifier
la source de l'attaque.
o Enjeux : Sans journalisation, il serait difficile de détecter et de répondre aux
incidents de sécurité.
Autres Méthodes Avancées :
Outre les méthodes mentionnées ci-dessus, certaines techniques avancées sont utilisées pour
renforcer la sécurité dans les réseaux informatiques [22]:
 Protocole CHAP (Challenge-Handshake Authentication Protocol) : Utilise un
échange crypté pour vérifier l'identité d'un utilisateur tout au long d'une session
réseau14.
 Protocole EAP (Extensible Authentication Protocol) : Permet une authentification
flexible dans les réseaux sans fil via diverses méthodes comme le PEAP ou EAP-
TLS13.
 RADIUS (Remote Authentication Dial-In User Service) : Fournit une
authentification centralisée pour les réseaux locaux ou étendus en utilisant un serveur
dédié4.
Ces méthodes offrent une sécurité accrue grâce à leur capacité à chiffrer les échanges et à
vérifier régulièrement l'identité pendant la session.

4. Conclusion

L’authentification est cruciale pour sécuriser les réseaux, en protégeant les données,
contrôlant les accès et assurant la traçabilité. Les méthodes simples, fortes (MFA, biométrie)
et centralisées (SSO) répondent à divers besoins, malgré des vulnérabilités. Les protocoles
CHAP, EAP et RADIUS renforcent la sécurité par le chiffrement. La gestion des accès et la
journalisation optimisent la gouvernance. Ce chapitre introduit l’étude des protocoles LDAP,
Kerberos et RADIUS pour sécuriser les réseaux modernes.

26
Chapitre 2 : Protocole LDAP

27
 1. Introduction
1.1. Définition de LDAP (Lightweight Directory Access Protocol)

- Qu'est-ce que le protocole LDAP ?

Figure 5:Qu'est-ce que le protocole LDAP

Le Lightweight Directory Access Protocol (LDAP) est un protocole standard utilisé

pour accéder et gérer des services d'annuaire. Il permet aux utilisateurs et aux applications de
rechercher, modifier et authentifier des informations stockées dans un annuaire distribué.
LDAP a été conçu pour être léger par rapport à son prédécesseur, le Directory Access
Protocol (DAP), qui était trop complexe pour une utilisation efficace dans les grandes
entreprises 127.
Le protocole LDAP est un protocole logiciel qui permet aux applications de communiquer
entre elles au sein des services d'annuaire, facilitant ainsi la recherche et la vérification
d'informations au sein d'une organisation2. Il sert à localiser des données sur des
organisations, des individus et d'autres ressources sur les réseaux publics et d'entreprise3.

 LDAP est un protocole d'accès standardisé pour les requêtes et les modifications dans
les services d'annuaires distribués et centralisés, basé sur un modèle client-serveur5. Il

28
 permet aux utilisateurs de trouver des informations sur d'autres utilisateurs, leurs
attributs, ressources, applications et autres détails d'annuaire4.
 LDAP est une version allégée du protocole d'accès DAP (Directory Access Protocol)
de la norme X.50035. Le terme « Lightweight » fait référence à cette simplification
par rapport au protocole DAP [9].

1.2. Historique et origine ?

LDAP a été développé dans les années 1990 comme une version simplifiée du Directory
Access Protocol (DAP), qui faisait partie de la norme X.500 définie par l'UIT (Union
internationale des télécommunications). DAP était complexe et nécessitait des ressources
importantes, ce qui a conduit à la création de LDAP pour répondre aux besoins croissants en
matière d'accès aux annuaires sans la surcharge associée à DAP.
Les premières spécifications de LDAP ont été publiées en 1993 par Tim Howes, Mark
Smith, et Gordon Good. Depuis lors, LDAP a évolué pour devenir un standard largement
adopté dans divers systèmes d'annuaires, y compris Active Directory de Microsoft,
OpenLDAP, et d'autres solutions[13].

Évolution :
Au fil des ans, LDAP a intégré plusieurs fonctionnalités pour améliorer la sécurité et
l'efficacité :
 L'utilisation de TLS/SSL pour sécuriser les connexions.
 L'introduction de mécanismes d'authentification variés (comme Kerberos) pour
renforcer la sécurité.
 La normalisation des schémas d'attributs et d'objets pour assurer une interopérabilité
entre différents systèmes46.

2. Principe de Fonctionnement de LDAP

Figure 6:L’Architecture Client/Serveur

29
  Utilisateur/Client: Un utilisateur (représenté par une personne devant un écran
d'ordinateur affichant des données) initie une requête. Il s'agit de la personne ou de
l'application qui souhaite accéder à des informations ou des services.
 Serveur LDAP: Le serveur LDAP est un composant central. Il reçoit les requêtes du
client. Le serveur LDAP ne stocke pas nécessairement les informations lui-même,
mais il sait comment les trouver.
 Active Directory: C'est le répertoire (sous forme d'un triangle contenant un
ordinateur portable, un ordinateur de bureau, une pile de serveurs et un utilisateur) où
sont stockées les informations d'authentification, les profils d'utilisateurs, les droits
d'accès, etc. Le serveur LDAP interroge l'Active Directory pour répondre aux requêtes
du client [26].
 Fonctionnement général:
- L'utilisateur/client envoie une requête au serveur LDAP (généralement une demande
d'authentification ou d'informations). Ceci est symbolisé par la flèche entre
"Utilisateur/Client" et "Serveur LDAP".
- Le serveur LDAP reçoit cette requête et la traduit en un format compréhensible par
l'Active Directory.
- Le serveur LDAP communique avec l'Active Directory pour obtenir les informations
demandées. Ceci est symbolisé par la flèche entre "Serveur LDAP" et "Active Directory".
- L'Active Directory renvoie les informations au serveur LDAP.
- Le serveur LDAP transmet ensuite les informations à l'utilisateur/client, en lui
donnant accès aux ressources ou services demandés (si l'authentification réussit, par
exemple) [14].

30
 Figure 7: Ensemble de l'authentification externe LDAP

Ensemble de l'authentification externe LDAP, plus précisément dans le contexte d'une

"Université" et du système "Compilatio". Elle détaille comment un utilisateur de l'université
s'authentifie en utilisant le système Compilatio via LDAP (Lightweight Directory Access
Protocol).
Voici une décomposition des étapes [15] :
 Un utilisateur rejoint l'URL d'accès dédiée de votre Compilatio : (Voir la flèche
étiquetée "1"). Un utilisateur de l'Université accède à Compilatio via une URL spécifique
désignée pour l'accès.
 Compilatio demande à l'utilisateur ses identifiants universitauires : (Voir la
flèche étiquetée "2"). Compilatio invite l'utilisateur à saisir ses identifiants universitaires (par
exemple, nom d'utilisateur et mot de passe).
 L'utilisateur envoie ses identifiants : (Voir la flèche étiquetée "3"). L'utilisateur
saisit ses identifiants et les soumet à Compilatio.
 Compilatio envoie une requête à votre serveur LDAP : (Voir la flèche étiquetée
"4"). Compilatio n'authentifie pas directement l'utilisateur. Au lieu de cela, il transmet les
identifiants soumis sous forme de requête au serveur LDAP de l'Université.
 Votre serveur LDAP envoie la réponse à Compilatio : (Voir la flèche étiquetée
"5"). Le serveur LDAP de l'Université vérifie les identifiants par rapport à son annuaire. Il
renvoie ensuite une réponse à Compilatio, indiquant si l'authentification a réussi.
 Compilatio affiche le compte d'utilisateur ou un message d'erreur : (Voir la
flèche étiquetée "6"). En fonction de la réponse du serveur LDAP, Compilatio accorde à

31
l'utilisateur l'accès à son compte ou affiche un message d'erreur indiquant que
l'authentification a échoué.

Composants Clés :
 Université : Représente le système de l'Université, y compris l'ordinateur de
l'utilisateur et le serveur LDAP.
 Utilisateur : La personne qui essaie d'accéder aux services de Compilatio.
 Serveur LDAP : Le serveur de l'Université responsable de la vérification des
identifiants de l'utilisateur.
 Compilatio : Le service ou la plateforme externe qui utilise le serveur LDAP de
l'Université pour l'authentification de l'utilisateur.
 Serveurs : Les serveurs de Compilatio qui hébergent leur application.

2.1. Structure des données (DIT, entrées, attributs)

Figure 8:Structure hiérarchique de l'annuaire LDAP de Mon-Entreprise

Le schéma représente une arborescence LDAP (DIT - Directory Information Tree)

simplifiée, qui est une représentation hiérarchique des données stockées dans l'annuaire.
Chaque nœud de l'arborescence représente une entrée, et les relations entre les nœuds
indiquent la structure organisationnelle [16].

32
 2.1.1. Racine de l'arbre (dc=mon-entreprise,dc=com) :
 dc signifie "domainComponent".
 dc=mon-entreprise,dc=com représente le domaine de l'entreprise, qui est la base de
l'arborescence. C'est le point de départ pour toutes les recherches dans cet annuaire.

2.1.2. Unités organisationnelles (ou=Personnes, ou=Machines) :

 ou signifie "organizationalUnit".
 ou=Personnes représente une unité organisationnelle contenant des informations sur les
personnes (employés, utilisateurs).
 ou=Machines représente une unité organisationnelle contenant des informations sur les
machines (ordinateurs, téléphones).

3.1.1. 2.1.3. Filiale (o=Filiale) :

 o signifie "organization".
 o=Filiale représente une filiale de l'entreprise.

3.1.2. 2.1.4. Entrées (cn=Marie, cn=Pierre, ou=Téléphones,

ou=Ordinateurs, cn=filiale) :
 cn signifie "commonName".
 cn=Marie et cn=Pierre représentent des entrées individuelles dans l'unité "Personnes",
probablement des employés.
 ou=Téléphones et ou=Ordinateurs représentent des entrées dans l'unité "Machines",
décrivant des groupes de machines.
 cn=filiale représente une entrée sous l'organisation "Filiale", décrivant des informations
spécifiques à cette filiale.

3.1.3. 2.1.5. Détails de l'entrée (Marie) :

 La zone inférieure de l'image montre les attributs spécifiques de
l'entrée cn=Marie,ou=Personnes,dc=mon-entreprise,dc=com.
 dn (Distinguished Name) : L'identifiant unique de cette entrée dans l'arborescence LDAP.
 cn (Common Name) : Le nom commun de la personne (Marie).
 sn (Surname) : Le nom de famille (Dupond).
 gn (Given Name) : Le prénom (Marie).
 telephone : Le numéro de téléphone.
 email : L'adresse e-mail.

 Interprétation Globale

33
 Le schéma illustre une structure LDAP typique, où l'on organise les informations en
fonction de la hiérarchie de l'entreprise. Il montre comment les entrées sont regroupées
sous des unités organisationnelles et comment chaque entrée a des attributs spécifiques.
Ce type d'organisation facilite la recherche, la gestion des accès et l'administration des
informations au sein d'une organisation.

 Cas d'Utilisation Typique

Dans un scénario réel, ce schéma pourrait être utilisé pour :
 Gestion des utilisateurs : Centraliser les informations des employés (nom, e-mail,
téléphone) pour l'authentification et l'accès aux ressources de l'entreprise.
 Gestion des équipements : Suivre les ordinateurs et téléphones de l'entreprise, en
associant des informations comme le modèle, le numéro de série, et l'utilisateur
assigné.
 Gestion des filiales : Organiser les informations spécifiques à chaque filiale, comme
l'adresse, les contacts, etc.

- La structure des données dans LDAP est organisée de manière hiérarchique, facilitant la
gestion et la recherche d'informations4. Les principaux éléments de cette structure sont le
DIT, les entrées et les attributs1.
 Directory Information Tree (DIT): Le DIT est une arborescence qui organise les entrées
de l'annuaire13. Chaque nœud de l'arbre correspond à une entrée137. La structure du DIT
reflète souvent l'organisation politique, géographique ou organisationnelle4. Au sommet
de cette organisation se trouve l'entrée "Suffix" ou "Root Entry", qui définit l'espace de
nommage géré par le serveur LDAP1. Un serveur LDAP peut gérer plusieurs arbres,
chacun ayant sa propre "Root Entry"1.
Entrées: Chaque entrée représente une collection d'informations sur un objet ou une
entité14. Les entrées sont identifiées de manière unique par un "Distinguished Name"
(DN), qui est comparable au chemin d'un fichier dans un système de fichiers UNIX15. Le
DN est construit à partir des attributs des entrées parentes1. Chaque élément qui compose
le DN est appelé "Relative Distinguished Name" (RDN)1.
Par exemple, le DN de l'entrée Ziggy pourrait être: uid=ziggy, ou=personne,
dc=ingenieurs2000, dc=umlv1.
 Attributs: Les entrées sont composées d'attributs, qui sont des éléments d'information
associés à une valeur2. Chaque attribut a un nom, un type, une méthode de comparaison,
un "Object Identifier" (OID), et une valeur1. Les attributs classiques incluent cn (common
name), ou (organizational unit), telephoneNumber, et userPassword12. Les types d'entrées
et leurs attributs sont définis dans un schéma, qui décrit l'ensemble des types d'entrées
gérés par le service LDAP1. Les types d'entrées sont organisés de manière hiérarchique,
avec un système d'héritage où chaque type hérite des attributs de son type parent1.

34
  Opérations de base
LDAP permet de manipuler les données stockées dans l'annuaire à travers plusieurs
opérations fondamentales1.
 Recherche: L'opération de recherche permet de récupérer des entrées en spécifiant une
base de recherche, un filtre et une portée1. Le filtre de recherche permet de spécifier les
critères que les entrées doivent satisfaire pour être retournées5. La portée définit la
profondeur de la recherche dans le DIT, à partir de la base de recherche5.
Par exemple : ldap[s]://<hostname>:<port>/<base_dn>?<attributes>?<scope>?<filter>5
 Ajout: L'opération d'ajout permet d'ajouter une nouvelle entrée dans l'annuaire1. Pour
ajouter une entrée, il est nécessaire de spécifier le DN de la nouvelle entrée ainsi que les
attributs et leurs valeurs1.
 Modification: L'opération de modification permet de modifier les attributs d'une entrée
existante1. Les modifications peuvent inclure l'ajout, le remplacement ou la suppression de
valeurs d'attributs1.
 Suppression: L'opération de suppression permet de supprimer une entrée de
l'annuaire1. Pour supprimer une entrée, il suffit de spécifier son DN1.
Ces opérations permettent de gérer efficacement les informations stockées dans un annuaire
LDAP, en assurant la conformité avec le schéma défini1.

2.2. Opérations de base (recherche, ajout, modification, suppression)

LDAP permet de réaliser plusieurs opérations de base pour interagir avec les données
stockées dans l’annuaire [25]:
 Recherche: L'opération de recherche permet de récupérer des entrées en spécifiant une
base de recherche, un filtre et une portée1. Le filtre de recherche permet de spécifier les
critères que les entrées doivent satisfaire pour être retournées5. La portée définit la
profondeur de la recherche dans le DIT, à partir de la base de recherche5.
Par exemple : ldap[s]://<hostname>:<port>/<base_dn>?<attributes>?<scope>?<filter>5
 Ajout: L'opération d'ajout permet d'ajouter une nouvelle entrée dans l'annuaire1. Pour
ajouter une entrée, il est nécessaire de spécifier le DN de la nouvelle entrée ainsi que les
attributs et leurs valeurs1.
 Modification: L'opération de modification permet de modifier les attributs d'une entrée
existante1. Les modifications peuvent inclure l'ajout, le remplacement ou la suppression de
valeurs d'attributs1.
 Suppression: L'opération de suppression permet de supprimer une entrée de
l'annuaire1. Pour supprimer une entrée, il suffit de spécifier son DN1.
 Stockage d'informations : Permet de conserver des données sur les utilisateurs,
groupes, ressources, etc.
35
  Authentification : Vérifie l'identité des utilisateurs souhaitant accéder aux données.
 Gestion des accès : Facilite l'autorisation des utilisateurs à accéder à certaines
ressources.

 Principe de fonctionnement [17].

LDAP fonctionne selon un modèle client-serveur. Voici les étapes typiques du processus :
1. Connexion : L'utilisateur établit une connexion sécurisée avec le serveur LDAP.
2. Demande de recherche : L'utilisateur envoie une requête pour rechercher des
informations spécifiques (par exemple, un email).
3. Authentification : Le serveur vérifie si l'utilisateur est autorisé à accéder aux données
demandées.
4. Réponse : Le serveur fournit les informations requises à l'utilisateur134.

3. Mécanismes de Sécurité dans LDAP

LDAP, bien qu'initialement conçu sans mécanismes de sécurité robustes, a évolué pour
intégrer diverses techniques visant à protéger la confidentialité et l'intégrité des données, ainsi
qu'à authentifier les utilisateurs.

3.1. Chiffrement (SSL/TLS)

Le chiffrement est un élément clé pour sécuriser les communications LDAP. Les
protocoles SSL (Secure Sockets Layer) et son successeur TLS (Transport Layer Security)
sont utilisés pour établir un canal de communication chiffré entre le client et le serveur LDAP
[18].
 Fonctionnement :

 Le client initie une connexion sécurisée avec le serveur LDAP.

 Le serveur présente un certificat SSL/TLS au client pour prouver son identité.
 Le client vérifie la validité du certificat.
 Si le certificat est valide, une clé de session est négociée et utilisée pour chiffrer
toutes les communications suivantes.
 Avantages :

 Confidentialité : Les données échangées sont chiffrées, empêchant ainsi les

interceptions et la lecture des informations par des tiers non autorisés.
 Intégrité : Le chiffrement garantit que les données ne sont pas altérées pendant la
transmission.

36
  Mise en œuvre :

 LDAPS (LDAP over SSL/TLS) : Utilise directement SSL/TLS sur le port 636.
Toutes les communications sont chiffrées dès le début de la session.
 StartTLS : Permet de transformer une connexion LDAP non chiffrée (port 389) en
une connexion chiffrée via TLS. C'est une méthode plus flexible qui permet de
commencer par une connexion non sécurisée avant de passer à une connexion
sécurisée.

3.2. Authentification
L'authentification est le processus de vérification de l'identité d'un utilisateur avant de lui
accorder l'accès aux ressources LDAP [29].

3.2.1. Authentification simple :

 Fonctionnement : L'authentification simple implique l'envoi du nom
d'utilisateur (DN) et du mot de passe en clair (bien que cela soit déconseillé)
ou haché au serveur LDAP.
 Sécurité : Cette méthode est vulnérable aux attaques si elle n'est pas utilisée
avec le chiffrement SSL/TLS, car les informations d'identification peuvent
être interceptées.
 Utilisation : Principalement utilisée dans des environnements de test ou
lorsqu'une connexion chiffrée est établie.

3.2.2. SASL (Simple Authentication and Security Layer):

 Fonctionnement : SASL est un framework qui permet d'utiliser divers mécanismes
d'authentification, offrant ainsi une flexibilité et une sécurité accrues.
 Mécanismes SASL courants :

- Kerberos : Utilise des tickets pour authentifier les utilisateurs sans envoyer de mot de
passe sur le réseau. Offre une sécurité robuste et est souvent utilisé dans les
environnements d'entreprise.
- GSSAPI (Generic Security Services Application Program Interface) : Permet aux
applications d'utiliser les services de sécurité disponibles sur le système d'exploitation,
comme Kerberos.
- DIGEST-MD5 : Utilise un échange de messages chiffrés pour authentifier
l'utilisateur.
- CRAM-MD5 : Similaire à DIGEST-MD5 mais moins sécurisé.
 Avantage :
- Sécurité renforcée : SASL permet d'utiliser des mécanismes d'authentification plus
sûrs que l'authentification simple.
- Flexibilité : Prend en charge plusieurs mécanismes d'authentification, permettant de
choisir celui qui convient le mieux à l'environnement.

37
 3.2.3. Tableau Récapitulatif :

Tableau 1:tableau récapitulatif

Mécanisme Description Sécurité Utilisation

Assure la
Chiffrement des confidentialité et Indispensable pour
communications entre le l'intégrité des protéger les
SSL/TLS client et le serveur. données. informations sensibles.

Envoi du nom d'utilisateur et Déconseillé en

Authentification du mot de passe (en clair ou Faible si non utilisé production, sauf avec
simple haché). avec SSL/TLS. une connexion chiffrée.

Framework pour divers

mécanismes Recommandé pour les
d'authentification, comme Varie en fonction du environnements
Kerberos, GSSAPI, mécanisme utilisé. nécessitant une
DIGEST-MD5, CRAM- Kerberos offre une authentification forte et
SASL MD5. sécurité élevée. flexible.

4. Menaces de Sécurité et Solutions pour LDAP

4.1. Menaces
 Attaques par injection LDAP :

 Description : Similaires aux attaques par injection SQL, les attaques par
injection LDAP se produisent lorsque des données non validées sont insérées
dans une requête LDAP. Un attaquant peut manipuler la requête pour
contourner les contrôles d'accès ou accéder à des informations sensibles.
 Exemple : Un formulaire web qui permet à un utilisateur de rechercher des
informations sur un autre utilisateur peut être vulnérable si les entrées de
l'utilisateur ne sont pas correctement validées avant d'être utilisées dans une
requête LDAP.
 Vol de mots de passe :

 Description : Les mots de passe stockés dans l'annuaire LDAP peuvent être
compromis si les mesures de sécurité appropriées ne sont pas en place. Cela
peut se produire par l'interception de mots de passe en transit (si le chiffrement
n'est pas utilisé) ou par l'accès non autorisé à la base de données LDAP.

38
  Exemple : Un attaquant qui accède à la base de données LDAP pourrait tenter
de casser les hachages de mots de passe pour obtenir les mots de passe en
clair.
 Accès non autorisé aux données :

 Description : Si les contrôles d'accès soéaazsnt mal configurés, des utilisateurs

non autorisés peuvent accéder à des informations sensibles stockées dans
l'annuaire LDAP.
 Exemple : Un employé ayant des privilèges insuffisants pourrait accéder aux
informations personnelles des autres employés, telles que leurs salaires ou
leurs dossiers médicaux.

4.2. Solutions
 Utilisation de SSL/TLS pour chiffrer les communications :

 Description : Le chiffrement SSL/TLS garantit que toutes les communications

entre le client et le serveur LDAP sont protégées contre l'interception. Cela
empêche les attaquants de voler des informations sensibles, telles que les mots
de passe, en transit.
 Mise en œuvre : Configurer LDAPS (LDAP over SSL) ou activer StartTLS
pour chiffrer les connexions LDAP.
 Mise en place de politiques de mots de passe forts :

 Description : L'application de politiques de mots de passe forts, telles que la

longueur minimale des mots de passe, la complexité (utilisation de caractères
spéciaux, de chiffres et de lettres majuscules et minuscules) et l'expiration
régulière des mots de passe, réduit le risque de vol de mots de passe.


 Mise en œuvre : Configurer les politiques de mots de passe dans le serveur

LDAP pour imposer des exigences de complexité et d'expiration. Utiliser des
fonctions de hachage robustes (comme bcrypt ou Argon2) pour stocker les
mots de passe.
 Restriction des accès aux données sensibles :

 Description : Limiter l'accès aux informations sensibles aux seuls utilisateurs

qui en ont besoin pour effectuer leur travail. Mettre en place des contrôles
d'accès basés sur les rôles (RBAC) pour gérer les privilèges des utilisateurs.

39
  Mise en œuvre : Configurer les listes de contrôle d'accès (ACL) dans le
serveur LDAP pour définir qui peut lire, écrire ou modifier certaines entrées
ou attributs.
En mettant en œuvre ces solutions, vous pouvez considérablement renforcer la sécurité de
votre annuaire LDAP et protéger les informations sensibles contre les menaces potentielles.

5. Schémas et Explications:

5.1. Diagramme de l'architecture LDAP.

Figure 9:Diagramme de l'architecture LDAP

Le diagramme représente une architecture LDAP simplifiée et son interaction avec d'autres
protocoles. Voici une description détaillée :

1. LDAP - Serveur :
 Représente un serveur LDAP, qui stocke et gère les informations d'annuaire.
Les clients LDAP interagissent avec ce serveur pour effectuer des recherches,
des mises à jour, et des authentifications.
2. LDAP - Client :
 Représente un client LDAP (par exemple, une application, un système
d'exploitation, ou un autre serveur) qui effectue des requêtes au serveur
LDAP.

40
  Les clients peuvent être des applications d'authentification, des systèmes de
gestion des utilisateurs, ou des applications qui nécessitent des informations
d'annuaire.
3. Protocole LDAP et LDAP - TCP/IP :
 Indique que LDAP utilise le protocole TCP/IP pour la communication réseau.
Les requêtes et les réponses LDAP sont encapsulées dans des paquets TCP/IP
pour être transmises sur le réseau.
4. X.500 - Serveur :
 Représente un serveur utilisant le protocole X.500, l'ancêtre de LDAP. X.500
est plus complexe et moins largement utilisé que LDAP, mais il sert de base
conceptuelle à LDAP.
5. Passerelle LDAP :
 La passerelle LDAP sert de pont entre les serveurs X.500 et les clients LDAP.
Elle traduit les requêtes LDAP en requêtes DAP (Directory Access Protocol)
compatibles avec X.500, et vice versa.
 Cela permet aux clients LDAP d'accéder aux informations stockées sur des
serveurs X.500, assurant une certaine interopérabilité entre les deux
protocoles.
6. DAP / OSI :
 Indique que la communication avec le serveur X.500 se fait via le protocole
DAP, qui est défini dans le cadre du modèle OSI (Open Systems
Interconnection).

5.2. Exemples d'utilisation dans les réseaux d'entreprise.

5.2.1. Gestion des Utilisateurs

o Description :
LDAP est largement utilisé pour gérer les comptes utilisateurs dans un réseau
d'entreprise. Il stocke des informations comme les noms, les adresses e-mail,
les mots de passe, et les permissions d'accès.
o Exemple :

 Une entreprise utilise LDAP pour centraliser la gestion des utilisateurs.

 Les employés peuvent se connecter à différents services (e-mail,
fichiers partagés) avec un seul compte LDAP.
 L'administrateur peut ajouter, modifier ou supprimer des utilisateurs
via l'annuaire LDAP.

41
 5.2.2. Authentification Centralisée (SSO)
o Description :
LDAP est souvent intégré à des systèmes d'authentification centralisée (SSO)
pour permettre aux utilisateurs de se connecter une seule fois à plusieurs
services.
o Exemple :

 Un employé se connecte à son poste de travail avec son compte LDAP.

 Il accède ensuite à des services comme les e-mails, les fichiers
partagés, et les applications métiers sans avoir à se réauthentifier.

5.2.3. Gestion des Groupes et des Permissions

o Description :
LDAP permet de créer des groupes d'utilisateurs et de leur attribuer des
permissions spécifiques.
o Exemple :

 Un groupe "RH" peut avoir accès aux fichiers des ressources

humaines.
 Un groupe "IT" peut avoir des permissions pour gérer les serveurs et
les réseaux.

5.2.4. Intégration avec d'Autres Services

o Description :
LDAP peut être intégré à d'autres services comme les serveurs de messagerie, les
systèmes de gestion de contenu, et les applications cloud.

o Exemple :

 Un serveur de messagerie utilise LDAP pour vérifier les identités des

utilisateurs avant d'autoriser l'accès aux e-mails.

 Une application cloud utilise LDAP pour synchroniser les comptes

utilisateurs avec l'annuaire d'entreprise.

5.3. Avantages de LDAP

 Performance et rapidité :

LDAP est conçu pour des requêtes rapides, permettant un accès efficace aux données. Son
langage léger et sa structure claire facilitent les opérations de recherche et de modification12.

 Flexibilité et compatibilité :

LDAP fonctionne sur divers systèmes d'annuaires, qu'ils soient centralisés ou décentralisés, et
est compatible avec de nombreux logiciels open-source. Cela favorise les implémentations à
grande échelle et permet une intégration facile avec d'autres systèmes126.

42
  Extensibilité :

Le protocole permet de stocker des données distribuées, ce qui est essentiel pour les
organisations ayant des besoins variés en matière de gestion des informations12.

 Sécurité renforcée :

LDAP offre des mécanismes de sécurité robustes, notamment par l'utilisation de SSL/TLS pour
le chiffrement des données échangées. Cela protège les informations sensibles contre la
manipulation et le vol125.

 Gestion centralisée :

Il permet une gestion centralisée des utilisateurs et de leurs accès, simplifiant ainsi
l'administration des ressources informatiques et réduisant les risques de compromission des
données56.

 Standard ouvert :

Étant un protocole standard ouvert, LDAP n'est pas lié à un fournisseur spécifique, ce qui le
rend polyvalent et adaptable à différents environnements technologiques34.

 Facilité d'implémentation :

Comparé à d'autres protocoles comme X.500, LDAP est plus facile à mettre en œuvre, ce qui en
fait un choix populaire pour les organisations souhaitant établir rapidement un service
d'annuaire46.

5.4. Comparaison avec d'autres protocoles :

Tableau 2:Comparaison avec d'autres protocoles

Caractéristique LDAP Active Directory Autres Protocoles (SAML,

OAuth)

Type Protocole léger Service d'annuaire Protocoles d'authentification

Principalement
Flexibilité Haute (multi-plateforme) Windows Variable selon l'implémentation

SSL/TLS pour le
Sécurité chiffrement Authentification intégrée Basé sur la méthode utilisée

Performance Requêtes rapides Peut-être plus lent Dépend du contexte

Centralisation Oui Oui Non spécifiquement

43
6. Conclusion
Le protocole LDAP est essentiel pour la gestion efficace des données dans les réseaux
modernes. Grâce à sa structure hiérarchique et ses mécanismes de sécurité robustes, il facilite
non seulement l'accès aux informations mais aussi leur protection contre les accès non
autorisés. Sa large adoption dans diverses applications témoigne de son importance dans la
gestion des services d'annuaire et l'authentification centralisée.Pour une compréhension
approfondie, il est recommandé d'explorer davantage sur les spécificités techniques et les
mises en œuvre pratiques du protocole LDAP dans différents environnements réseau.

44
 Chapitre 3: Protocole Kerberos

1. Introduction
Kerberos est un protocole d'authentification sécurisé conçu pour protéger les échanges sur
un réseau en évitant l'envoi des mots de passe en clair. Il repose sur un mécanisme de tickets

45
et un centre de distribution des clés (KDC) pour permettre un accès sécurisé aux services via
le principe du Single Sign-On (SSO). Largement utilisé dans les environnements Windows et
UNIX/Linux, il garantit une authentification fiable et centralisée.

1.1. Definition de Kerberos:

Kerberos est un protocole de sécurité utilisé pour l'authentification sur un réseau non
sécurisé. Son but est de permettre à un utilisateur de prouver son identité sans envoyer de mot
de passe en clair, réduisant ainsi les risques de vol de données. Il utilise un système de tickets
cryptés et temporaires pour authentifier les utilisateurs auprès des services du réseau.

Kerberos repose sur la cryptographie à clé symétrique et nécessite un Centre de

Distribution de Clés (KDC), qui est un tiers de confiance. Le KDC se compose de deux
parties :

 Le serveur d'authentification (AS) : qui délivre le premier ticket d'authentification.

 Le serveur de distribution des tickets (TGS) : qui délivre des tickets
supplémentaires pour accéder à des services spécifiques après validation par l’AS
[19].

1.2. Historique et origine.

- Le protocole Kerberos a été développé au MIT dans les années 1980 dans le cadre du projet
Athena. L'objectif était de créer un système d'authentification sécurisé permettant aux
utilisateurs de prouver leur identité sans envoyer de mot de passe en clair.
- Il a été nommé Kerberos d'après Cerbère, le chien mythologique gardien des portes de
l'enfer.
- La première version de Kerberos a été mise en place en 1988 et a rencontré un grand succès,
en particulier dans les systèmes UNIX. En 1993, la version V5 a été publiée avec des
améliorations de sécurité et de nouvelles fonctionnalités.
- Aujourd'hui, Kerberos est largement utilisé dans les réseaux d'entreprises et dans les
environnements Windows pour assurer une authentification sécurisée des utilisateurs et des
services [30].

2. Principe de Fonctionnement de Kerberos

Kerberos utilise le principe du Single Sign-On (SSO), où l'utilisateur s'authentifie une
seule fois auprès du KDC (Key Distribution Center) et utilise ensuite un ticket pour
s'authentifier auprès de chaque service demandé 6.

46
 2.1. Composants principaux (AS, TGS, Client, Serveur).

 Les principaux composants de Kerberos sont [20]:

 Client: Entité (utilisateur ou service) qui initie une demande d'accès à un service réseau
et consomme des services après authentification. Le client peut être n'importe quelle
entité du domaine connaissant un secret du du KDC.
 Serveur (Serveur d'Application): Héberge le service auquel le client souhaite accéder
et contrôle l'accès à ce service. Le serveur doit être enregistré auprès du KDC5.
 Authentication Service (AS): Effectue l'authentification initiale du client. L'AS vérifie
l'identité de l'utilisateur et, en cas de succès, délivre un Ticket Granting Ticket (TGT).
 Ticket Granting Service (TGS): Connecte l'utilisateur au serveur de service en émettant
des tickets de service. Le TGS fournit les tickets d'accès aux différents services du
réseau10

2.2. Processus d'authentification (TGT, tickets de service).

Le processus d'authentification dans Kerberos repose sur l'utilisation de Ticket Granting
Tickets (TGT) et de tickets de service pour permettre aux utilisateurs d'accéder à des
services de manière sécurisée. Voici un aperçu détaillé de ce processus.

 Étapes du Processus d'Authentification[28] .

 Demande de TGT:

Le client envoie une requête d'authentification au Key Distribution Center (KDC),

spécifiquement à l'Authentication Service (AS). Cette requête contient l'identifiant de
l'utilisateur et est généralement chiffrée à l'aide d'un mot de passe partagé.

 Verification des Identifies:

L'AS vérifié les informations d'identification du client en consultant sa base de données. Si

les identifiants sont valides, l'AS génère un TGT et une clé de session, qui sont ensuite
renvoyés au client.

 Délivrance du TGT

Le TGT est un ticket chiffré qui contient des informations sur le client, la durée de validité, et
est chiffré avec la clé secrète du TGS (Ticket Granting Service). Ce ticket permet au client
d'obtenir des tickets pour accéder à d'autres services sans avoir à se ré-authentifier.

 Demande de Ticket de Service :

Lorsque le client souhaite accéder à un service spécifique, il envoie le TGT au TGS,

accompagné d'une demande pour un ticket de service pour le serveur cible.

 Émission du Ticket de Service:

47
Le TGS déchiffre le TGT avec sa clé secrète. Si le TGT est valide, il émet un ticket de
service, qui est également chiffré avec la clé secrète du serveur cible et envoyé au client.

 Accès au Service:

Le client utilise le ticket de service pour s'authentifier auprès du serveur cible. Ce ticket
prouve que le client a été authentifié par le KDC et lui permet d'accéder aux ressources
demandées

 Caractéristiques des Tickets[27]:

TGT (Ticket Granting Ticket):

Contient des informations sur l'utilisateur et est utilisé pour demander des tickets de service.

Chiffré avec la clé secrète du TGS, ce qui garantit que seul le TGS peut le déchiffrer.

Tickets de Service:

Utilisés pour accéder à des services spécifiques

Contiennent des informations similaires au TGT mais sont chiffrés avec la clé secrète du
serveur cible.

3. Mécanismes de Sécurité dans Kerberos

Kerberos est conçu pour offrir une authentification sécurisée et protéger contre diverses
attaques en utilisant plusieurs mécanismes de sécurité

3.1. Chiffrement des tickets

o Chiffrement Symétrique : Kerberos utilise un mécanisme de chiffrement
symétrique, où la même clé est utilisée pour chiffrer et déchiffrer les
informations. Chaque ticket est chiffré avec une clé secrète connue uniquement
du Centre de Distribution de Clés (KDC) et du service concerné1 4.
o Contenu des Tickets : Un ticket Kerberos contient plusieurs informations
essentielles, telles que l'identifiant de l'utilisateur, le serveur/service concerné,
une clé de session, l'adresse IP autorisée, ainsi que la durée de validité du
ticket24. Cela permet d'assurer que seul le client authentifié peut accéder aux
services requis.
o Authentification Mutuelle : Kerberos permet une authentification mutuelle, où
non seulement le client prouve son identité au serveur, mais le serveur prouve
également son identité au client. Cela renforce la sécurité en garantissant que les
deux parties sont authentiques [23].

48
 3.2. Gestion des sessions et des tickets.

 Types de Tickets : kerberos utilise principalement deux types de tickets : le Ticket

Granting Ticket (TGT) et les Service Tickets. Le TGT est obtenu lors de
l'authentification initiale auprès du KDC et permet au client de demander des tickets pour
accéder à d'autres services sans avoir à seré-authentifier1
 Durée de Validité et Renouvellement : Les tickets ont une durée de validité limitée
pour minimiser les risques en cas de compromission. Une fois expirés, le client doit
demander un nouveau TGT. Ce processus est généralement transparent pour l'utilisateur3
 Gestion Centralisée : Le KDC joue un rôle central dans la gestion des tickets. Il émet
les tickets après avoir vérifié les identifiants du client. Les administrateurs peuvent
configurer des politiques concernant l'émission et la durée de validité des tickets, mais ne
peuvent pas révoquer un ticket une fois qu'il a été émis2.
 Outils de Manipulation : Des outils comme "Rubeus" et "impacket" permettent aux
administrateurs de manipuler les tickets Kerberos manuellement, bien que cela soit
généralement géré automatiquement dans les environnements d'entreprise4

Ces mécanismes font de Kerberos un protocole robuste pour sécuriser les

communications sur les réseaux, en protégeant les identités des utilisateurs tout en
facilitant l'accès aux ressources nécessaires [24].

4. Menaces de sécurité et solutions pour kerberos :

Bien que Kerberos soit un protocole d'authentification robuste, il n'est pas exempt de faiblesses et
de menaces potentielles Voici quelques menaces courantes et les solutions associées :

4.1. Menaces :

o Attaques par rejeu(replay attacks) .

Un attaquant intercepte un ticket Kerberos valide et le réutilise pour se faire passer pour
l'utilisateur authentifié 1

o Vol de tickets kerberos.

Les attaquants volent les tickets Kerberos pour accéder aux ressources réseau en se faisant
passer pour des utilisateurs légitimes. Cela peut se faire via des logiciels malveillants ou des
vulnérabilités du système 1.
o Expiration des tickets non gérée.

Si les tickets Kerberos ne sont pas correctement gérés, ils peuvent expirer de manière
inattendue, interrompant l'accès aux services pour les utilisateurs. De plus, une mauvaise
gestion de l'expiration des tickets peut permettre à des tickets volés d'être utilisés plus
longtemps que prévu5

49
 4.2. Solutions :
o Utilisation de timestamps pour prévenir les attaques par rejeu .

Intégration de timestamps : Kerberos utilise des timestamps dans les messages

d'authentification pour garantir que les tickets sont valides uniquement pour une période
limitée. Cela réduit la fenêtre dans laquelle un ticket peut être réutilisé par un attaquant13
o Renouvellement régulier des tickets.
Politique d'expiration des tickets : Configurer des politiques d'expiration appropriées pour
les tickets Kerberos. Les tickets doivent avoir une durée de vie limitée, après quoi ils
doivent être renouvelés ou revalidés 1

o Surveillance des activités suspectes.

Systèmes de détection d'intrusion (IDS): Installer des systèmes de détection d'intrusion
pour surveiller le trafic réseau et détecter les comportements anormaux, tels que des
demandes de tickets inhabituelles ou des connexions depuis des adresses IP non reconnues 2.
Alertes en temps réel : Configurer des alertes en temps réel pour informer les
administrateurs de toute activité suspecte, comme plusieurs demandes de ticket échouées ou
l'utilisation simultanée de plusieurs tickets à partir de différents emplacements
géographiques2

5. Schémas et Explications
5.1. Diagramme du processus d'authentification Kerberos.

50
 Figure 10:Diagramme du processus d'authentification Kerberos

5.2. Exemples d'utilisation dans les réseaux d'entreprise.

Le protocole Kerberos est largement utilisé dans les entreprises pour assurer une
authentification sécurisée et éviter l’envoi des mots de passe en clair sur le réseau. Voici
quelques cas d’usage concrets de Kerberos en entreprise :

 Authentification centralisée dans Active Directory: Kerberos est intégré à Active

Directory pour valider les connexions utilisateurs sans transmettre de mots de passe en
clair2
 Single Sign-On (SSO): Permet une authentification unique pour accéder à plusieurs
services, comme les fichiers partagés ou intranet, grâce à l'utilisation de tickets Kerberos1

51
Exemple : Un employé ouvre sa session Windows, puis accède automatiquement à son
intranet, sa boîte email (Microsoft Exchange, Outlook) et ses fichiers partagés sans devoir
entrer ses identifiants plusieurs fois.

 Sécurisation des serveurs et bases de données: Utilisé pour protéger l'accès aux bases de
données comme SQL Server ou PostgreSQL contre les connexions non autorisées3

Exemple : Une base de données Microsoft SQL Server ou PostgreSQL peut être
configurée pour n'accepter que les connexions sécurisées via Kerberos, empêchant ainsi
toute tentative d'accès non autorisé.

 Protection des applications web et API: Sécurise les applications intranet et les API via
SPNEGO, permettant une authentification automatique2
 Sécurisation des connexions SSH: Permet une authentification SSH sans mot de passe
grâce aux tickets Kerberos5

6. Conclusion

Kerberos est une solution robuste pour l’authentification sécurisée des utilisateurs et des
services sur un réseau. Grâce à son système de tickets chiffrés et son intégration dans les
infrastructures comme Active Directory, il offre une protection efficace contre les attaques.
Bien qu’exigeant une configuration rigoureuse, il reste une référence en matière de sécurité et
de gestion des accès en entreprise.

52
Chapitre 4: Protocole RADIUS

53
1. Introduction
RADIUS est un protocole client-serveur essentiel pour l'authentification, l'autorisation et
la comptabilité des accès réseau. Il centralise la gestion des accès en vérifiant les identifiants
des utilisateurs. Il est utilisé pour sécuriser les réseaux Wi-Fi et les VPN

Figure 11:Qu'est-ce que RADIUS

1.1. Définition de RADIUS (Remote Authentication Dial-In User Service).

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur
utilisé pour l'authentification, l'autorisation et la comptabilité des utilisateurs qui accèdent à
un réseau, qu'il soit distant ou sur site. Ce protocole permet de centraliser la gestion des accès
réseau en vérifiant les identifiants des utilisateurs et en déterminant leurs privilèges d'accès
[2].

1.2. Historique et origine.

RADIUS a été développé pour la première fois en 1991 par Livingston Enterprises, Inc.,
une société spécialisée dans les serveurs d'accès réseau. Initialement, il était utilisé
principalement pour l'accès à distance par ligne commutée, mais son utilisation s'est étendue
à d'autres types de réseaux, notamment les réseaux Wi-Fi et les VPN. Le protocole a été
normalisé par l'IETF dans les RFC 2865 et RFC 2866, qui traitent respectivement de
l'authentification et de la comptabilité. Aujourd'hui, RADIUS reste un outil essentiel pour la
gestion sécurisée des accès réseau dans de nombreuses [2].

54
2. Principe de Fonctionnement de RADIUS
2.1. Composants principaux (Client, Serveur, Base de données).
Le protocole RADIUS (Remote Authentication Dial-In User Service) est un système
client-serveur utilisé pour l'authentification, l'autorisation et la comptabilité (AAA) des
utilisateurs qui tentent d'accéder à un réseau. Voici les composants principaux et leur rôle
dans le fonctionnement de RADIUS [21]:

Figure 12:Composants principaux de radius

 Client RADIUS (ou NAS - Network Access Server)

Rôle : Le client RADIUS, souvent un point d'accès sans fil ou un serveur d'accès réseau,
reçoit les demandes d'accès des utilisateurs et les transmet au serveur RADIUS. Il peut être
un supplicant, qui est un logiciel sur le poste de l'utilisateur, ou un appareil réseau comme un
routeur ou un commutateur3

Fonctionnement : Lorsqu'un utilisateur tente de se connecter, le client RADIUS envoie

une requête Access-Request contenant les informations d'authentification (nom d'utilisateur et
mot de passe) au serveur RADIUS7.

 Serveur RADIUS

Rôle : Le serveur RADIUS est responsable de l'authentification, de l'autorisation et de la

comptabilité des utilisateurs. Il vérifie les informations d'authentification contre une base de
données ou un service d'annuaire1.

Fonctionnement : Le serveur RADIUS traite les requêtes d'accès, vérifie les

informations d'identification, et renvoie une réponse : Access-Accept pour l'accès autorisé,
Access-Reject pour l'accès refusé, ou Access-Challenge pour demander des informations
supplémentaires 7

55
  Base de Données

Rôle : La base de données, souvent un service d'annuaire comme LDAP, stocke les
informations d'identification des utilisateurs. Le serveur RADIUS consulte cette base pour
vérifier les informations fournies par l'utilisateur 1.

Fonctionnement : La base de données sert de référence pour valider les informations

d'authentification. Elle peut être intégrée au serveur RADIUS ou être un système distinct 5 .

2.2. Processus d'authentification et d'autorisation.

Figure 13:RSN Phase 2 : Authentification 802.1X

56
Le processus d'authentification et d'autorisation avec RADIUS implique plusieurs étapes clés
[3] :
 Processus d'Authentification
1. Demande d'Accès Initiale : L’utilisateur tente de se connecter au réseau via un
appareil.Un supplicant collecte les informations d'identification et les transmet au
client RADIUS.
2. Envoi de la Demande d'Accès : Le client RADIUS envoie une requête Access-
Request au serveur RADIUS.
3. Authentification par le Serveur RADIUS : Le serveur RADIUS vérifie les
informations d'identification contre sa base de données.Il peut répondre par Access-
Accept, Access-Reject, ou Access-Challenge.
4. Réponse du Serveur RADIUS : Si les informations sont valides, le serveur
RADIUS renvoie un message Access-Accept avec des informations d'autorisation.Si
les informations sont incorrectes, il renvoie un message Access-Reject
 Étapes du Processus d'Autorisation
1. Vérification des Droits d'Accès : Après authentification réussie, le serveur
RADIUS vérifie les politiques d'accès pour déterminer les droits de l'utilisateur.
2. Application des Restrictions : Les informations d'autorisation incluent des ACL ou
des profils d'utilisateur qui définissent les ressources accessibles.
3. Connexion au Réseau : Si l'autorisation est accordée, l'utilisateur est connecté au
réseau avec les droits spécifiés.

3. Mécanismes de Sécurité dans RADIUS

RADIUS, ou Remote Authentication Dial-In User Service, est un protocole client-serveur
utilisé pour l'authentification, l'autorisation et la comptabilité des utilisateurs distants. Voici
comment RADIUS intègre des mécanismes de sécurité tels que le chiffrement des données et
la gestion des sessions et des utilisateurs :

3.1. Chiffrement des données (MD5, TLS)

RADIUS utilise plusieurs méthodes pour chiffrer et sécuriser les données d’authentification
[4] :

 MD5 : Utilisé dans des protocoles comme EAP-MD5, où le client et le serveur

utilisent un mécanisme de défi-réponse basé sur l'algorithme MD5 pour authentifier
l'utilisateur sans transmettre le mot de passe en clair4.
 TLS (Transport Layer Security) : Utilisé dans des protocoles comme EAP-TLS, qui
assure une authentification mutuelle entre le client et le serveur, garantissant ainsi une
sécurité élevée grâce au chiffrement des communications

57
 3.2. Gestion des sessions et des utilisateurs
La gestion des sessions et des utilisateurs dans RADIUS implique plusieurs aspects clés
pour assurer une authentification sécurisée et efficace. Voici comment RADIUS gère ces
éléments [5]:

 Gestion des Sessions :

La gestion des sessions dans RADIUS est essentiellement liée à la comptabilité

(Accounting), qui permet de suivre et d'enregistrer les activités des utilisateurs pendant leur
session. Voici quelques points clés :

 Comptabilité RADIUS : Cette fonctionnalité permet d'envoyer des messages de

démarrage et d'arrêt de session à un serveur RADIUS. Ces messages incluent des
informations telles que le nom d'utilisateur, l'ID de session, la durée de la session,
et le motif de la résiliation de la session.
 Attributs de Session : Les attributs comme Acct-Session-Time et Acct-Terminate-
Cause sont utilisés pour décrire la session et ses conditions de fin.

 Gestion des Utilisateurs :

La gestion des utilisateurs dans RADIUS est centrée sur l'authentification et l'autorisation :

 Authentification : RADIUS utilise des protocoles comme PAP, CHAP, et EAP

pour vérifier les informations d'identification des utilisateurs.
 Autorisation : Après authentification, RADIUS applique des politiques
d'autorisation pour déterminer les ressources auxquelles l'utilisateur peut accéder.
Cela inclut des paramètres comme la durée de connexion, le type de protocole
autorisé, et l'adresse IP attribuée23.
 Gestion Centralisée : RADIUS permet une gestion centralisée des comptes
utilisateur, facilitant ainsi la gestion des accès réseau pour un grand nombre
d'utilisateurs

58
4. Menaces de Sécurité et Solutions pour RADIUS

4.1. Menaces :
Le protocole RADIUS est utilisé pour l'authentification et l'autorisation des accès réseau,
mais il présente plusieurs menaces de sécurité :

 Attaques par dictionnaire sur les mots de passe.

Les attaques par dictionnaire visent à deviner les mots de passe en utilisant des listes de
mots courants ou des variations de ces mots. Si les mots de passe sont faibles ou si le
protocole utilisé (comme PAP) transmet les mots de passe en clair, cela peut faciliter ces
attaques2.

 Interception des communications non chiffrées.

Lorsque les communications RADIUS ne sont pas chiffrées, un attaquant peut intercepter
et modifier les paquets, ce qui permet de falsifier les réponses d'authentification ou de
compromettre l'intégrité des données3. L'utilisation de MD5 dans certains contextes peut être
exploitée pour falsifier des réponses d'authentification1.

 Accès Non autorisé aux Ressources.

Les vulnérabilités dans RADIUS, comme la faible sécurité de l'attribut "User-Password"
ou l'absence d'authentification des paquets "Access-Request", peuvent permettre à des
attaquants d'accéder à des ressources sans autorisation2 4.

4.2. Solutions:
 Utilisation de TLS pour chiffrer les communications :

Utiliser RADIUS/TLS ou RADIUS/DTLS pour chiffrer les communications est essentiel

pour empêcher l'interception et la falsification des données. Cela sécurise les échanges entre
les clients et les serveurs RADIUS1.

 Mise en place de politiques de mots de passe complexes:

Adopter des politiques de mots de passe robustes, incluant des exigences pour des mots de
passe forts et uniques, peut réduire le risque d'attaques par dictionnaire ou brute force. Cela
inclut également l'utilisation de gestionnaires de mots de passe pour stocker et générer des
mots de passe sécurisés2.

 Surveillance des tentatives de connexion suspectes:

59
Mettre en place des systèmes de détection d'intrusion et de surveillance pour identifier et
bloquer les tentatives de connexion anormales ou suspectes. Cela peut inclure l'analyse des
logs pour détecter des modèles d'activité inhabituels1.

5. Schémas et Explications
5.1. Diagramme de l'architecture RADIUS.

Figure 14:Diagramme de l'architecture RADIUS

L'architecture RADIUS implique trois principaux composants :

 Client RADIUS (NAS) : C'est le point d'accès réseau (Network Access Server) qui
agit comme intermédiaire entre l'utilisateur final et le serveur RADIUS. Le client
RADIUS reçoit les requêtes d'authentification des utilisateurs et les transmet au
serveur RADIUS.
 Serveur RADIUS : Ce serveur est responsable de l'authentification, de l'autorisation
et de la traçabilité (AAA) des utilisateurs. Il peut être connecté à une base de données
d'identification (par exemple, LDAP) pour vérifier les informations
d'authentification.3. Base de Données d'Identification : Cela peut inclure des bases
de données SQL, des annuaires LDAP, ou d'autres systèmes de gestion des identités.

5.2. Exemples d'utilisation dans les réseaux d'entreprise

 Authentification Wi-Fi
 Utilisation : RADIUS est souvent utilisé pour sécuriser les réseaux Wi-Fi en entreprise.
Les points d'accès sans fil (AP) agissent comme clients RADIUS, transmettant les
informations d'authentification des utilisateurs au serveur RADIUS
Avantages : Permet une authentification centralisée et sécurisée pour les accès Wi-Fi.

60
  Réseaux Privés Virtuels (VPN)
 Utilisation : RADIUS peut être utilisé pour authentifier les utilisateurs qui se
connectent via un VPN, assurant que seuls les utilisateurs autorisés accèdent au réseau
privé.
 Avantages : Améliore la sécurité en vérifiant l'identité des utilisateurs avant de leur
accorder l'accès au réseau privé.
 Gestion des Accès Réseau
 Utilisation : Dans les réseaux d'entreprise, RADIUS est utilisé pour gérer les accès aux
équipements réseau tels que les routeurs et les commutateurs.
 Avantages : Simplifie la gestion des accès en centralisant les informations
d'authentification et d'autorisation pour tous les équipements réseau7

6. Conclusion

RADIUS est un protocole important pour la sécurité des accès réseau. Il permet une gestion
centralisée de l'authentification et de l'autorisation. Il est utilisé dans les réseaux Wi-Fi et
VPN et reste un outil essentiel pour la gestion des accès réseau en entreprise.

61
Chapitre 5: Comparaison des
Méthodes d'Authentification

62
1. Introduction

Face aux enjeux croissants de sécurité réseau, ce chapitre compare LDAP, Kerberos et
RADIUS, trois protocoles d’authentification clés. En analysant leurs avantages,
inconvénients, cas d’utilisation et caractéristiques (fonctionnalités, sécurité, performance), il
vise à guider les professionnels dans le choix du protocole adapté à leurs besoins spécifiques.

2. Comparaison entre LDAP, Kerberos, et RADIUS

Ce chapitre compare trois protocoles d’authentification largement utilisés dans les
réseaux informatiques : LDAP (Lightweight Directory Access Protocol), Kerberos, et
RADIUS (Remote Authentication Dial-In User Service). Chaque protocole a ses propres
forces, faiblesses et domaines d’application, qui sont détaillés ci-dessous.

2.1. Avantages et inconvénients de chaque protocole.

2.1.1. LDAP:

 Avantages :
o Performance et rapidité : Conçu pour des requêtes rapides, idéal pour les
recherches dans des annuaires.
o Flexibilité et compatibilité : Fonctionne sur divers systèmes et est compatible
avec de nombreux logiciels open-source.
o Extensibilité : Permet de gérer des données distribuées, adapté aux grandes
organisations.
o Sécurité renforcée : Supporte SSL/TLS pour le chiffrement des
communications.
o Gestion centralisée : Simplifie la gestion des utilisateurs et des accès.
o Standard ouvert : Non lié à un fournisseur spécifique, favorisant une large
adoption.
o Facilité d’implémentation : Plus simple à déployer que des protocoles
comme X.500.
 Inconvénients :
o Nécessite une configuration sécurisée (ex. : SSL/TLS) pour éviter les
vulnérabilités comme l’interception de données.
o Vulnérable aux attaques par injection LDAP si les entrées ne sont pas
validées.
o Moins adapté à l’authentification en temps réel pour des services spécifiques
par rapport à Kerberos ou RADIUS.

63
2.1.2. Kerberos :

 Avantages :
o Sécurité élevée : Utilise des tickets chiffrés et ne transmet pas les mots de
passe en clair.
o Single Sign-On (SSO) : Permet une authentification unique pour accéder à
plusieurs services.
o Authentification mutuelle : Le client et le serveur vérifient mutuellement leur
identité.
o Gestion centralisée : Repose sur un Key Distribution Center (KDC) pour une
administration efficace.
 Inconvénients :
o Complexité de configuration : Nécessite une infrastructure bien définie
(KDC, synchronisation des horloges).
o Dépendance au KDC : Si le KDC est compromis ou indisponible,
l’authentification échoue.
o Vulnérable aux attaques par rejeu : Sans mesures comme les timestamps,
les tickets interceptés peuvent être réutilisés

2.1.3. RADIUS :

 Avantages :
o Centralisation de l’authentification : Idéal pour gérer les accès à distance
(Wi-Fi, VPN).
o Support AAA : Combine authentification, autorisation et comptabilité
(Accounting).
o Flexibilité : Compatible avec divers protocoles (PAP, CHAP, EAP).
o Simplicité dans certains contextes : Facile à déployer pour les réseaux
d’accès.
 Inconvénients :
o Sécurité limitée par défaut : Les mots de passe peuvent être vulnérables sans
chiffrement TLS.
o Performance : Moins rapide que LDAP pour les recherches d’annuaire.
o Complexité accrue avec TLS : L’ajout de TLS pour sécuriser les
communications augmente la difficulté de configuration.

2.3. Cas d'utilisation typiques.

2.3.1. LDAP:

 Gestion des annuaires : Utilisé pour stocker et organiser les informations sur les utilisateurs,
groupes et ressources (ex. : Active Directory, OpenLDAP).
 Authentification centralisée : Intégré dans des systèmes SSO pour fournir des identifiants
aux applications d’entreprise.
 Exemple : Une entreprise utilise LDAP pour gérer les profils des employés et leurs accès aux
services internes (email, fichiers partagés).

2.3.2. Kerberos :

64
  Authentification sécurisée dans les réseaux d’entreprise : Principalement utilisé dans les
environnements Windows via Active Directory.
 Single Sign-On (SSO) : Permet aux utilisateurs d’accéder à plusieurs services (email, bases
de données, applications web) avec une seule authentification.
 Exemple : Un employé se connecte à son poste Windows et accède automatiquement à
Outlook et aux fichiers réseau grâce à Kerberos.

2.3.3. RADIUS :

 Sécurisation des accès réseau : Déployé pour l’authentification des connexions Wi-Fi et
VPN.
 Gestion des utilisateurs distants : Utilisé dans les entreprises pour contrôler l’accès aux
ressources via des connexions externes.
 Exemple : Une entreprise configure RADIUS pour authentifier les employés se connectant au
Wi-Fi interne ou via un VPN depuis leur domicile.

3. Tableau Comparatif :
3.2. Comparaison des fonctionnalités, sécurité, et performance.

Tableau 3 : Comparaison des fonctionnalités, sécurité, et performance.

Caractéristique LDAP Kerberos RADIUS

Protocole d’accès aux Protocole Protocole client-serveur

Type
annuaires d’authentification sécurisé AAA

Gestion des données

Fonctionnalités Authentification,
hiérarchiques, recherche SSO, tickets chiffrés
principales autorisation, comptabilité
rapide

SSL/TLS pour
Chiffrement symétrique, MD5 ou TLS, vulnérable
Sécurité chiffrement, SASL (ex. :
authentification mutuelle sans chiffrement
Kerberos)

Très rapide pour les Bonne pour Moyenne, dépend de

Performance
recherches l’authentification SSO l’infrastructure

Compatible multi- Principalement Compatible avec divers

Flexibilité
plateforme Windows/UNIX réseaux

Centralisation Oui (annuaire centralisé) Oui (via KDC) Oui (serveur RADIUS)

Complexité de mise Moyenne (facile avec Élevée (nécessite KDC Moyenne (simple sans
en œuvre outils standards) synchronisé) TLS, complexe avec)

Gestion des utilisateurs, Authentification réseau Accès Wi-Fi, VPN,

Cas d’utilisation
SSO sécurisée gestion des connexions

65
4. Conclusion

LDAP excelle dans la gestion rapide des annuaires, Kerberos brille par sa sécurité et son
SSO, et RADIUS convient aux accès distants avec son support AAA. Cette comparaison
montre que chaque protocole répond à des priorités distinctes, offrant une base pour des
décisions éclairées en fonction des exigences réseau.

Chapitre 6 : Mise en place d'une

Infrastructure d'authentification
unifiée avec Kerberos, LDAP et
RADIUS

66
 1. Introduction (Objectifs du projet)

1.1 Contexte du Projet

Dans les environnements informatiques modernes, la gestion sécurisée des identités et des
accès est un enjeu critique. Les organisations doivent garantir :
 Une authentification fiable des utilisateurs
 Une centralisation des comptes (éviter les doublons)
 Un contrôle d'accès granulaire aux ressources réseau
Les solutions traditionnelles (comptes locaux par machine) montrent leurs limites :
 Complexité de gestion (mots de passe dispersés)
 Risques de sécurité (credentials faibles, audits difficiles)
 Manque de flexibilité (pas de Single Sign-On)
Ce projet propose une solution intégrée combinant :
 LDAP comme annuaire central (stockage des utilisateurs)
 Kerberos pour l'authentification forte (tickets chiffrés)
 RADIUS pour sécuriser l'accès réseau (Wi-Fi, VPN)

1.2 Idée Globale du Projet

1. LDAP :
o Centralise les comptes utilisateurs (uid=user1,ou=users,dc=lab,dc=local).

o Stocke les mots de passe (optionnellement liés à Kerberos).

2. Kerberos :
o Génère des tickets TGT après authentification.

o Utilise LDAP comme backend pour les utilisateurs (si intégré).

3. RADIUS :

67
 o Reçoit les requêtes d'accès réseau (ex: Wi-Fi).

o Vérifie les identifiants via LDAP ou Kerberos.

4. Client :
o Teste l'authentification via kinit (Kerberos) ou ldapsearch.

o Se connecte au Wi-Fi avec identifiants LDAP (via RADIUS).

1.3 Objectifs Techniques

4.1.1. 1.3.1 Objectif Principal

Déployer une infrastructure d'authentification unifiée permettant :
 Aux utilisateurs de se connecter une seule fois (SSO) via Kerberos
 Aux administrateurs de gérer les comptes depuis un point unique (LDAP)
 Au réseau de vérifier les accès dynamiquement (RADIUS)

4.1.2. 1.3.2 Objectifs Spécifiques

1. LDAP (OpenLDAP) :
o Héberger un annuaire avec les comptes utilisateurs/groupes

o Structurer l'arborescence (dc=lab,dc=local, ou=users, etc.)

2. Kerberos (MIT Kerberos) :

o Configurer un royaume (realm) pour émettre des tickets TGT

o Intégrer LDAP comme source de vérité pour les utilisateurs

3. RADIUS (FreeRADIUS) :
o Authentifier les requêtes réseau (Wi-Fi, switchs)

o Utiliser LDAP/Kerberos comme backend d'authentification

4. Sécurité :
o Chiffrer les échanges (TLS pour LDAP, chiffrement Kerberos)

o Mettre en place des politiques de mots de passe

1.4 Public Cible et Cas d'Usage

4.1.3. 1.4.1 Bénéficiaires

 Administrateurs systèmes : Gestion simplifiée des comptes
 Utilisateurs finaux : Expérience d'authentification transparente (SSO)

68
  Équipe sécurité : Audit centralisé des accès

4.1.4. 1.4.2 Scénarios d'Application

1. Accès aux postes de travail :
o Les employés se connectent une fois (Kerberos) et accèdent à toutes les
ressources autorisées.
2. Accès Wi-Fi sécurisé :
o Les identifiants LDAP servent à s'authentifier sur le réseau via RADIUS.

3. Gestion des permissions :

o Les groupes LDAP définissent les droits d'accès (ex : "compta", "dev").

4. Technologies Choisies
Tableau 4:Technologies Choisies

Protocole Logiciel Raison du Choix

LDAP OpenLDAP Standard ouvert, flexible, bien documenté

MIT
Kerberos Solution robuste pour le SSO
Kerberos

Compatible avec la majorité des équipements

RADIUS FreeRADIUS
réseau

2. Architecture (Schéma des serveurs + IPs) :

2.1 Schéma d'Infrastructure

4.1.5. 2.1.1 Diagramme Global

69
 Figure 15:Diagramme Global du Projet

Ce diagramme illustre l’interaction entre les trois serveurs principaux (Kerberos, LDAP,
RADIUS) dans le cadre d’une infrastructure d’authentification centralisée, telle que mise en
œuvre dans notre projet."
Tableau 5:Tableau des Composants

Élément Rôle IP/URL Logiciel OS

Annuaire
ldap.My- VM1- CentOS
central des OpenLDAP
domaine.com 192.168.5.133 10
utilisateurs

Émission des
krb.My- VM2- MIT CentOS
tickets
domaine.com 192.168.5.134 Kerberos 10
Kerberos

radius.My- Gestion des VM3- CentOS

FreeRADIUS
domaine.com accès réseau 192.168.5.135 10

Machine de VM4- Debian

Client1 -
test 192.168.5.129 12.9

70
 Tableau 6:Protocoles et Ports Utilisés

Protocole Port Usage Chiffrement

Communication de
LDAP 389 Non (ou StartTLS)
base

LDAPS 636 LDAP sécurisé TLS/SSL

Kerberos 88 Émission de tickets AES-256

RADIUS 1812 Authentification réseau RADIUS Encryption

4.1.6. 2.1.2 Flux d'Authentification

Figure 16:Flux d’Authentification

71
1- Client → Kerberos: Demande un ticket (TGT) avec login/mot de passe.
2- Kerberos → LDAP: Vérifie l'utilisateur si intégré.
3- Client → RADIUS: Demande l'accès réseau (ex: Wi-Fi).
4- RADIUS → LDAP/Kerberos: Valide les credentials.
5- RADIUS → Client: Accès accordé/rejeté.

3. Configuration Pas à Pas

3.1 Configuration du Serveur LDAP (OpenLDAP)

 Objectif :

Mettre en place un annuaire centralisé pour stocker les identifiants des utilisateurs de manière
sécurisée, et l’utiliser comme backend commun pour Kerberos et RADIUS

Mise en Place du Serveur LDAP

Nous avons installé le serveur OpenLDAP sur une machine CentOS (192.168.5.133). Une
fois l’installation terminée, nous avons démarré le service slapd et confirmé son bon
fonctionnement.
- Configuration initiale du service slapd :
Pendant cette étape, les informations suivantes ont été définies :
 Nom de domaine : MY-DOMAINE.COM
 Organisation : My Organization
 Mot de passe administrateur LDAP : [défini pendant l’installation]
 Base DN générée automatiquement : dc=MY-DOMAINE,dc=COM

systemctl status slapd – Le service est actif

72
Sortie de la commande #systemctl status slapd, montrant que le service est actif (active
(running)).
- Ca confirme que le service LDAP (slapd) est lancé correctement, ce qui est essentiel pour la
suite des opérations (ajout des utilisateurs, intégration avec Kerberos ...)

- Structure de l’annuaire LDAP :

Nous avons construit une arborescence claire pour les utilisateurs, en respectant la hiérarchie
suivante :

Figure 17:Structure de l’annuaire LDAP

Chaque utilisateur est représenté par une entrée LDAP contenant son nom, prénom, mot de
passe (hashé), etc.
- Ajout d’un utilisateur LDAP:
Nous avons créé un utilisateur nommé test1 avec les attributs suivants :
 uid: test1
 Nom Complet: Test User
 Mot de passe: chiffré (SSHA)
 homeDirectory: /home/test1
 loginShell: /bin/bash
 uidNumber et gidNumber: 10000
L’utilisateur appartient à la classe inetOrgPerson ainsi qu’aux classes nécessaires pour une
intégration Unix (posixAccount).
- Arborescence complète de l’annuaire LDAP :
Cette structure permet :
 La séparation claire entre utilisateurs (ou=users) et groupes (ou=groups).
 L’administration centrale via cn=Manager.
 L’utilisation des utilisateurs dans des environnements Unix/Linux grâce à la classe
posixAccount

73
  Arborescence complète obtenue via ldapsearch :

- Connexion à Distance :
Test de connexion à distance depuis une machine client Debian (192.168.5.129)

Pour vérifier que le service LDAP est bien accessible depuis une autre machine, nous avons
exécuté la commande suivante :

74
# ldapsearch -x -H ldap://192.168.5.133 -D "cn=Manager,dc=my-domain,dc=com" -W -b
"dc=my-domain,dc=com"

Résultat de ldapsearch depuis un client – preuve que la connexion fonctionne.

Conclusion de la configuration (LDAP)

Le serveur OpenLDAP est désormais fonctionnel. Il contient une structure propre pour
gérer les utilisateurs. Les clients peuvent interroger le serveur à distance, ce qui permet son
intégration avec d'autres services comme Kerberos et RADIUS

3.2. Configuration du Serveur Kerberos (MIT Kerberos)

 Objectif :

Mettre en place un système d’authentification centralisé basé sur des tickets pour permettre
le Single Sign-On (SSO) sous CentOS (192.168.5.134) , avec intégration à LDAP comme
source d'utilisateurs.
- Installation et Configuration de Kerberos

75
Nous avons utilisé MIT Kerberos. Voici les points clés de la configuration :
 Le Realm configuré : MY-DOMAIN.COM
 Le serveur KDC et l’admin server sont installés sur la même machine.
 Le fichier principal de configuration : /etc/krb5.conf a été adapté pour correspondre
au domaine et aux services locaux.
- Fichier de configuration /etc/krb5.conf
Voici le contenu principal du fichier /etc/krb5.conf permettant l'intégration avec
OpenLDAP :

 Contenu du fichier /etc/krb5.conf après modification

- Création et initialisation de la base de données KDC
Avant toute utilisation, nous avons initialisé la base de données Kerberos avec : #kdb5_util
create –s

76
 - 👤 Création de l’administrateur Kerberos
Nous avons créé un principal administrateur :

 Création réussie de l’utilisateur admin/admin

- Vérification des services Kerberos
Après configuration, nous avons vérifié que les services Kerberos fonctionnaient
correctement
Le service krb5-kdc est actif et fonctionne normalement :

krb5-kdc :
➡️KDC (Key Distribution Center) est le cœur de Kerberos. Il permet de :
 Générer des tickets TGT après l'authentification.
 Valider l'identité de l'utilisateur.
 Fournir des tickets de service.
Le service krb5-admin-server est également actif :

77
krb5-admin-server :
Ce service est dédié à l’administration de la base de données Kerberos. Il permet :
 L’ajout et la suppression de comptes (addprinc, delprinc...).
 La gestion des mots de passe.
 L’utilisation des commandes kadmin et kadmin.local

- Intégration de Kerberos avec LDAP

Kerberos est configuré pour utiliser OpenLDAP comme base de données des identités, ce
qui permet une centralisation complète de l’authentification.
Voici un extrait du fichier de configuration /etc/krb5.conf :

 Contenu du fichier /etc/krb5.conf indiquant l'intégration entre Kerberos et LDAP

Explication des champs clés :

 db_library = kldap : Indique que Kerberos va utiliser LDAP comme base de données
via la bibliothèque kldap.
 ldap_kadmind_dn : DN de l’utilisateur autorisé à gérer les entrées administratives (via
kadmin).

 ldap_kdc_dn : DN utilisé par le KDC pour accéder à LDAP.

 ldap_service_password_file : Fichier contenant le mot de passe chiffré pour l’accès
LDAP.
 ldap_servers : Adresse du serveur LDAP.

78
  ldap_conns_per_server : Nombre de connexions parallèles que Kerberos peut établir
avec le serveur LDAP.

- Connexion à distance :

Test d’authentification depuis un client Debian

Sur un poste client Debian 12.9 (192.168.5.129) , nous avons testé l’authentification
Kerberos avec un utilisateur existant dans l’annuaire LDAP :
kinit [email protected]
Password for [email protected]

Authentification réussie — aucune erreur retournée, ce qui indique que le ticket TGT a été délivré
correctement.

Ensuite, nous avons utilisé klist pour vérifier la réception du ticket : klist

Le ticket TGT est bien délivré, valide pendant 10 heures, avec une option de
renouvellement jusqu'à 7 jours.

Cela prouve que l'utilisateur test1 est authentifié via Kerberos en utilisant les informations
provenant de LDAP : kinit test1

79
Klist :

Authentification réussie avec obtention du ticket TGT

Conclusion de la configuration (Kerberos)

Le serveur Kerberos est fonctionnel et bien intégré avec LDAP. Les utilisateurs peuvent
obtenir un ticket d’authentification (SSO) à partir de leurs identifiants LDAP, ce qui simplifie
la gestion des accès au sein de l’infrastructure.

3.3. Configuration du Serveur RADUIS (FreeRADUIS)

 Objectif :

 Authentifier, autoriser et enregistrer les accès des utilisateurs à un réseau.

 Utilisé notamment pour les connexions VPN, WiFi sécurisé (802.1X), ou l'accès aux
ressources réseau.
 Dans notre projet, FreeRADIUS va servir comme point central d'authentification
réseau, en interagissant avec LDAP pour vérifier les identifiants des utilisateurs.

Dans le cadre de notre infrastructure d’authentification centralisée, FreeRADIUS sur a pour

rôle de :
 📡 Recevoir les demandes d'accès réseau provenant des clients (ex: point d'accès Wi-
Fi).
 🔐 Interroger le serveur LDAP pour vérifier les identifiants des utilisateurs.

 🧾 Assurer la traçabilité des connexions (qui s’est connecté, quand et depuis quelle
adresse IP).
 🔄 Servir d’intermédiaire entre le réseau et les services d’identité (LDAP/Kerberos).

80
Concrètement, dans notre projet :
 Le client (machine virtuelle Debian (VM4-192.168..5.129) ) tente de se connecter à
un réseau ou un service contrôlé par FreeRADIUS.
 FreeRADIUS envoie la requête d’authentification vers le serveur .
 Si l'identifiant et le mot de passe sont valides, l'accès est autorisé.
 Sinon, l'accès est refusé

« Cette configuration permet de centraliser l’accès réseau avec les mêmes identifiants que
ceux utilisés pour se connecter aux systèmes ou services internes, assurant ainsi une meilleure
gestion de la sécurité et des utilisateurs. »

- Mise en Place du Serveur FreeRADUIS

Nous avons installé le serveur FreeRADUIS sur une machine CentOS (VM3-192.168.5.135).
Une fois l’installation terminée, nous avons démarré le service slapd et confirmé son bon
fonctionnement.
Vérification du statut du service :

 Le service FreeRADUIS fonctionne correctement

- Ouverture des ports :

81
Le serveur FreeRADIUS utilise par défaut les ports suivants :
 1812/udp : utilisé pour les requêtes d’authentification.
 1813/udp : utilisé pour les requêtes de comptabilisation (accounting).
Ces ports doivent être ouverts dans le pare-feu (firewall) pour permettre au serveur de
recevoir les requêtes des clients (par exemple les routeurs, les points d’accès Wi-Fi ou
d'autres machines du réseau).
- Test du serveur avec un utilisateur local

- testuser : nom de l’utilisateur à tester.

- password : mot de passe associé à cet utilisateur.
- localhost : adresse du serveur FreeRADIUS (ici on teste en local).
- 0 : numéro de port NAS (arbitraire dans un test).
- testing123 : shared secret défini pour le client localhost dans le fichier
/etc/raddb/clients.conf

 Résultat : Received Access-Reject

Cela signifie que le serveur a bien reçu et traité la requête, mais n’a pas pu
authentifier l’utilisateur (ce qui est normal ici puisque testuser n'existe pas encore
dans la base locale ou LDAP).
C’est une bonne indication que le serveur fonctionne correctement et est prêt à
être relié à LDAP.

- Intégration de FreeRADIUS avec LDAP avec LDAP et Test depuis la

machine cliente

82
 Dans cette étape, nous avons connecté le serveur FreeRADIUS à l'annuaire LDAP afin
d'utiliser les comptes utilisateurs LDAP pour l’authentification. Ensuite, nous avons testé
cette configuration depuis une machine cliente (VM4).
1. Configuration du module LDAP dans FreeRADIUS
 Nous avons activé et configuré le module LDAP situé dans
/etc/raddb/mods-enabled/ldap.
 Le serveur LDAP utilisé est celui de l’adresse IP 192.168.5.133.
 Le compte d’admin LDAP utilisé pour la liaison est :
cn=Manager,dc=my-domain,dc=com avec le mot de passe admin_password.

- Pour que RADIUS puisse interroger l’annuaire LDAP à chaque tentative

d’authentification.
2. Déclaration de la machine cliente dans FreeRADIUS
Dans le fichier clients.conf, nous avons déclaré notre machine cliente VM4 avec :

Tableau 7:paramétres de configuration du cliente dans FreeRADIUS

Paramètre Valeur Description

Adresse IP du client (votre VM

Ipaddr 192.168.5.136
Debian).

Mot de passe partagé pour authentifier

Secret testing123 les requêtes RADIUS (à changer en
production).

Désactive la vérification de signature

require_message_authenticator No
pour simplifier les tests.

83
 - Pour que FreeRADIUS reconnaisse et accepte les requêtes envoyées depuis cette
machine cliente.

3. Test du serveur avec un utilisateur existe dans LDAP

Le client envoie ses identifiants à RADIUS, qui les vérifie auprès du serveur LDAP
et accepte la connexion si les informations sont correctes.

Résultat :
Access-Accept → Le serveur RADIUS a accepté la connexion, ce qui signifie que
o L'utilisateur test1 existe dans la base (LDAP/Kerberos)

o Le mot de passe 12345678 est correct

Schéma de Ce Test :
Client → (envoie identifiants) → RADIUS → (vérifie avec LDAP) → Accepte

4. Test du serveur avec un utilisateur existe dans LDAP depuis la machine cliente
Après avoir configuré le serveur FreeRADIUS pour qu'il utilise LDAP comme source
d’authentification, nous avons effectué un test d’authentification à distance à partir de la
machine cliente (VM4-192.168.5.129) pour vérifier que tout fonctionne correctement.

Sur la machine cliente (VM4-192.168.5.129), nous avons utilisé la commande radtest pour
envoyer une requête d’authentification au serveur RADIUS :

84
 Tableau 8:informations de test pour l'authentification LDAP via FreeRADIUS

Élément Description

Test1 Nom d’utilisateur présent dans LDAP

12345678 Mot de passe de l’utilisateur

192.168.5.135 Adresse IP du serveur FreeRADIUS

0 Numéro de port NAS simulé (peut être 0 pour un test)

Clé secrète définie dans le fichier clients.conf du serveur

Testing123
FreeRADIUS

Résultat attendu : Received Access-Accept

 Cela signifie que :

- Le client a envoyé une requête au serveur FreeRADIUS.

- Le serveur a consulté le serveur LDAP.
- Les identifiants étaient corrects.
- L’accès a été accepté

Conclusion De la configuration (RADUIS)

La configuration du serveur FreeRADIUS a été réalisée avec succès. Nous avons intégré le
serveur LDAP comme source d’authentification centralisée. Grâce aux tests effectués avec la
commande radtest depuis une machine cliente, nous avons confirmé que :
 Le serveur FreeRADIUS répond correctement aux requêtes d’authentification.
 L’authentification des utilisateurs via LDAP fonctionne parfaitement.

85
  La communication entre le client et le serveur est bien établie.

Cette configuration permet désormais un contrôle centralisé des accès réseau, ce qui renforce
la sécurité et simplifie la gestion des utilisateurs.

4. Conclusion
Ce projet visait à mettre en place une infrastructure d'authentification unifiée en utilisant
Kerberos, LDAP et RADIUS, afin de sécuriser l'accès aux ressources réseau tout en
centralisant la gestion des identités et des permissions. Au terme de cette implémentation, les
principaux objectifs ont été atteints avec succès.

Résumé des configurations effectuées :

1. Kerberos (KDC) : La configuration du serveur Kerberos (KDC) a permis d'établir un
mécanisme d'authentification unique (SSO) pour les utilisateurs. Cette solution
garantit une sécurité renforcée grâce à l'utilisation de tickets d'authentification pour
chaque utilisateur, évitant ainsi la gestion redondante des mots de passe.
2. LDAP (Lightweight Directory Access Protocol) : Le serveur LDAP a été mis en
place pour centraliser la gestion des comptes utilisateurs et des informations
d'annuaire. Il assure une gestion structurée et sécurisée des identités au sein de
l'organisation, et permet une authentification rapide et efficace des utilisateurs à
travers le réseau.
3. RADIUS (Remote Authentication Dial-In User Service) : La configuration de
FreeRADIUS a permis de contrôler l'accès au réseau en fonction des politiques
définies par l'organisation. Cette solution garantit que seules les connexions autorisées
puissent accéder aux ressources réseau, tout en offrant des mécanismes d'audit et de
suivi des connexions.

Perspectives d'amélioration :
L'architecture mise en place peut être étendue pour intégrer des mécanismes de sécurité
supplémentaires, tels que la mise en place de l'authentification multi-facteurs (MFA), et des
outils de surveillance pour détecter les tentatives d'accès non autorisées.

86
 Conclusion générale
Ce rapport a permis d'explorer de manière approfondie les méthodes d'authentification
dans les réseaux informatiques, en mettant l'accent sur trois protocoles clés : LDAP,
Kerberos, et RADIUS. Ces protocoles, chacun avec ses spécificités, jouent un rôle crucial
dans la sécurisation des accès aux ressources réseau, répondant aux besoins croissants de
protection contre les cybermenaces sophistiquées telles que le phishing, les attaques par force
brute, et les vols de données.

L'analyse détaillée du protocole LDAP a mis en évidence sa flexibilité et son efficacité

pour la gestion centralisée des annuaires, particulièrement dans les environnements
d'entreprise nécessitant une intégration avec des services comme Active Directory. Kerberos,
avec son architecture basée sur le chiffrement symétrique et les tickets (TGT et Service
Tickets), s'est révélé être une solution robuste pour l'authentification mutuelle et la
sécurisation des communications dans des réseaux distribués. Enfin, RADIUS a démontré sa
pertinence pour l'authentification, l'autorisation, et la comptabilité (AAA) dans des contextes
variés, notamment les réseaux sans fil et les accès distants.

La comparaison des trois protocoles a permis d'identifier leurs forces et faiblesses

respectives. LDAP excelle dans la gestion des données d'annuaire, mais peut être vulnérable
sans une configuration sécurisée (par exemple, via SSL/TLS). Kerberos offre une
authentification forte, mais sa complexité de mise en œuvre et sa dépendance au KDC
peuvent poser des défis. RADIUS, bien que simple à déployer, est parfois limité par sa
portée, principalement axée sur l'accès réseau. Ces observations soulignent l'importance de
choisir le protocole en fonction des besoins spécifiques de l'organisation et de mettre en place
des mesures d'atténuation des risques, telles que le chiffrement des communications, la
gestion rigoureuse des clés, et la surveillance des anomalies.

Les guides pratiques de configuration sous CentOS 10 ont illustré la faisabilité de

déployer ces protocoles dans un environnement réel, offrant aux administrateurs des outils
concrets pour renforcer la sécurité de leurs réseaux. L'application pratique proposée, centrée
sur un système d'authentification centralisée, a démontré comment LDAP, Kerberos, et
RADIUS peuvent être combinés pour créer une infrastructure sécurisée et adaptée à un
contexte d'entreprise. Les tests réalisés ont validé l'efficacité de cette approche, tout en
mettant en lumière les bonnes pratiques pour une mise en œuvre réussie.

En conclusion, les protocoles LDAP, Kerberos, et RADIUS constituent des piliers

essentiels pour sécuriser les réseaux informatiques modernes. Leur adoption, combinée à une
configuration rigoureuse et à une surveillance continue, permet de répondre aux défis actuels
de cybersécurité tout en facilitant la gestion des accès. À l'avenir, l'évolution des technologies,
comme l'intégration de l'authentification multifacteur (MFA) ou l'adoption de protocoles basés sur la
blockchain, pourrait compléter ces solutions pour répondre aux nouvelles menaces. Ce rapport offre
ainsi une base solide pour les professionnels et les étudiants souhaitant approfondir leurs connaissances et
mettre en œuvre des systèmes d'authentification robustes, contribuant à un avenir numérique plus sûr.

87
 Bibliographies:

[1]: Cours sur les réseaux informatiques (ex. : MIT OpenCourseWare)

[2]: le livre "Network Security Essentials: Applications and Standards" de William
Stallings

[3] : Comment fonctionne l'authentification sur le serveur RADIUS" par WatchGuard 1:

Cet article explique en détail le processus d'authentification avec RADIUS, y compris la
communication entre le client et le serveur RADIUS.

[3] : Fortinet : Qu'est-ce que le protocole RADIUS ? .

[4] : "Authentification réseau avec Radius" par Serge Bordères.

[5] : NetScaler Gateway - Configuration de la gestion des comptes utilisateur RADIUS1.

[6] :Wikipedia : L'article sur RADIUS fournit une bonne introduction au fonctionnement du
protocole, y compris son architecture client-serveur et ses mécanismes d'authentification3

[7] : Cisco : Fonctionnement de RADIUS, expliquant son rôle dans la gestion des accès
réseau.

[8]: "Computer Security: Principles and Practice" de William Stallings.

[9]"LDAP System Administration" par Gerald Carter

[10] : le livre " Sécurité informatique - Ethical Hacking, Pentest et Sécurité Offensive "
Ce livre aborde les techniques d’authentification, les mots de passe, la MFA, la biométrie
et bien d’autres sujets liés à la cybersécurité.

[11]: "Identity Management: Concepts, Technologies, and Systems"

Auteur : Elisa Bertino, Kenji Takahashi
Ce livre explore en profondeur la gestion des identités, y compris le SSO, SAML et OAuth.

[12]: Articles «Network Topologies and Their Impact on Authentication Mechanisms"

Cet article (ou des articles similaires dans ce journal) analyse comment les topologies réseau
influencent les stratégies d'authentification.
[13] : le Livre : "LDAP System Administration" de Gerald Carter

88
Ce livre se concentre sur l'administration des systèmes LDAP, mais inclut une section sur
l'histoire et l'évolution de LDAP, expliquant son développement à partir de X.500/DAP et les
améliorations comme TLS/SSL et Kerberos.
[14]: Cours en ligne "Learning Microsoft Active Directory and LDAP"
Ce cours couvre les bases de LDAP et son utilisation avec Active Directory.
[15] : Article : "Authentification externe LDAP (Lightweight Directory Access
Protocol)"

Cet article, publié sur le site officiel de Compilation, décrit le processus d'authentification
externe via LDAP pour les établissements universitaires. Il détaille les six étapes que vous
avez listées :

[16]: le Livre: "Understanding LDAP - Design and Implementation"

Ce livre fournit une explication détaillée de la structure des annuaires LDAP et de leur
arborescence (DIT). Il couvre les points suivants, en lien avec votre description

[17]: Livre : "Understanding LDAP - Design and Implementation"

Ce livre explique en détail le fonctionnement de LDAP selon le modèle client-serveur, avec

les étapes que vous avez mentionnées
[18]: Article "Securing LDAP: SSL/TLS and Beyond"
[19]: Cours : MIT OpenCourseWare - 6.858 Computer Systems Security (Automne 2014).

[20]: livre: Kerberos: The Definitive Guide : Ce livre explique en détail le fonctionnement de
Kerberos, y compris ses principaux composants (Client, Serveur, AS, TGS), avec des descriptions
techniques et des exemples pratiques.

[21]: livre : RADIUS

[22]: livre: Network Security Essentials: Applications and Standards
[23]: livre: Network Security: Private Communication in a Public World
[24]: Livre : Security Engineering: A Guide to Building Dependable Distributed
Systems
[25]: Livre : "Understanding and Deploying LDAP Directory Services"
[26] : Livre - "Active Directory: Concepts and Administration"
[27] : Livre – "Network Security with OpenSSL and Kerberos"
[28] : Livre – "Network Security: Private Communication in a Public World"
89
[29] : Article : "Understanding LDAP Authentication" – DigitalOcean
[30] : Article : "Kerberos and Windows Security: History" – Robert Broeckelmann
[31] : Microsoft – Qu'est-ce que l'authentification ?
[32] : CNIL – Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité
[33] : NinjaOne – Qu'est-ce que l'authentification forte (MFA)
[34] : OneLogin – Comment l'authentification unique (SSO) fonctionne-t-elle
[35] : Ping Identity – Authentification basée sur un certificat
[36] : CNIL – Sécurité : Protéger le réseau informatique

90