Cours sur Active Directory

Commentaires

Transcription

Cours sur Active Directory
Cours sur Active Directory
Table des matières
Active Directory........................................................................................................................1
I- Principes............................................................................................................................2
1- Annuaire LDAP............................................................................................................2
2- Authentification Kerberos.........................................................................................3
3- Tcp/Ip et DNS..............................................................................................................4
II- Architecture.....................................................................................................................5
1- Domaines, Arborescence, Forêts.............................................................................5
2- Contrôleurs de domaines multiples :.......................................................................5
III- U.O., Utilisateurs, groupes...........................................................................................6
IV- Approbations..................................................................................................................6
1- Direction et transitivité :............................................................................................6
2- Types d'approbation :................................................................................................6
V- Maîtres (Rôles FSMO) et catalogues globaux...........................................................7
1- Rôles FSMO.................................................................................................................7
Catalogues globaux :....................................................................................................8
VI- Systèmes de noms et chemins d'accès.....................................................................8
Netbios / Wins :...............................................................................................................8
DNS :................................................................................................................................. 8
Chemins d'accès réseau :.............................................................................................8
IPv6 sur les routeurs Cisco
I- Principes
Active Directory est le service d'annuaire de Microsoft intégré aux versions
serveur de Windows.
Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup
d'entreprises utilisaient le NDS de Novell.
Ce service d'annuaire est basé sur le protocole le plus connu du domaine :
LDAP.
Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de
protocoles en standard et faire reculer au second plan ses protocoles historiques :
Netbios, Wins, etc.
1- Annuaire LDAP
L'annuaire LDAP regroupe tous les objets dans un arbre.
– La racine de cet arbre est le domaine (DNS).
– Les branches sont des unités d'organisations (pas des objets).
– Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).
Un exemple d'arbre pour le domaine greta.fr :
greta.fr
Users
nico
Groups
...
Computers
…
...
Le chemin d'accès à l'utilisateur nico de cet annuaire LDAP s'écrit de cette
manière : cn=nico,ou=Users,dc=greta,dc=local
Wikipedia : http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
Dernières modifications le 30/05/13
Page 2
IPv6 sur les routeurs Cisco
2- Authentification Kerberos
L'annuaire LDAP ne fait que référencer les objets du domaine. Il n'intervient pas
dans l'authentification.
La partie authentification est gérée par un protocole spécialisé dans ce
domaine : Kerberos. Historiquement NTLM était utilisé mais des failles de sécurité
importantes sont avérées sur ce protocole. Il n'est plus utilisé qu'en cas
d'incompatibilité.
L'authentification pour un service réseau fonctionne en trois étapes :
1. Le client s'identifie à l'aide de sa clé secrète sur le serveur d'authentification.
2. Le client demande un ticket pour un certain service et une certaine durée au
serveur de ticket.
3. Le client présente au service le ticket qu'il a reçu du serveur de ticket.
Wikipedia : http://fr.wikipedia.org/wiki/Kerberos
Dernières modifications le 30/05/13
Page 3
IPv6 sur les routeurs Cisco
3- Tcp/Ip et DNS
Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec DNS.
Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de
compatibilité avec les anciens logiciels.
Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD luimême, soit sur un autre serveur connu de l'AD.
Dernières modifications le 30/05/13
Page 4
IPv6 sur les routeurs Cisco
II- Architecture
1- Domaines, Arborescence, Forêts
Dans un contexte Active Directory, trois termes sont à retenir :
– Domaine (ou sous-domaine) : Le domaine au sens de l'AD est le niveau le
plus bas. Il contient au moins un contrôleur de domaine (Ldap + Kerberos).
Il représente une organisation ou une partie d'une organisation.
– Arborescence : Ensemble d'un domaine et de tous ses sous-domaines.
– Forêt : Ensemble d'arborescences qui appartient à la même organisation.
Au choix de l'architecte réseau, deux arborescences peuvent appartenir à
une même forêt ou pas.
Exemple :
greta.fr
gtn.fr
approbations
Domaines
sous-domaines
Arborescence
approbation
torcy.greta.fr
paris.greta.fr
Forêt
2- Contrôleurs de domaines multiples :
Plusieurs contrôleurs de domaine peuvent être installés dans une architecture.
Cela permet la tolérance de panne.
L'autre ou les autres serveurs peuvent lire et écrire dans l'annuaire. Les
données de l'annuaire présentes sur le sysvol sont répliquées par le protocole DFS
(historiquement par NTFRS) entre les serveurs.
L'un des serveurs est le maître des rôles FSMO (voir le chapitre sur FSMO).
Dernières modifications le 30/05/13
Page 5
IPv6 sur les routeurs Cisco
III- U.O., Utilisateurs, groupes
L'annuaire permet notamment de créer :
– des unités d'organisation dans lesquelles on pourra créer des objets
(utilisateurs, groupes, imprimantes, …) et sur lesquelles on pourra appliquer
des stratégies de groupe (GPO).
– des groupes qui permettent de regrouper les utilisateurs dans des
ensembles sur lesquels on pourra définir des droits de sécurité NTFS.
– des comptes utilisateurs qui permettent de définir individuellement le profil
de chaque utilisateur.
IV- Approbations
Dans un contexte multi-domaine et/ou multi-forêts, les annuaires peuvent
dialoguer entre eux en utilisant les approbations.
Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans des
domaines qui ne sont pas le leur d'origine.
Pour voir les approbations existantes dans le domaine, on peut utiliser la
console domain.msc.
1- Direction et transitivité :
Direction : Les relations d'approbation peuvent être unidirectionnelles (le
domaine 1 est approuvé sur le domaine 2 mais l'inverse est faux) ou
bidirectionnelles.
Transitivité : Si une relation est transitive, cela signifie que :
– si un domaine 1 est approuvé sur un domaine 2
– et un domaine 2 est approuvé sur un domaine 3
– alors le domaine 1 est approuvé sur le domaine 3
2- Types d'approbation :
Par défaut, à l'ajout d'un domaine, active directory définit les relations
d'approbation multidirectionnelles transitives suivantes :
– Relation parent-enfant (ex : entre greta.fr et torcy.greta.fr)
Dernières modifications le 30/05/13
Page 6
IPv6 sur les routeurs Cisco
–
Relation racine d'arborescence (ex : entre greta.fr et gtn.fr)
Les autres relations possibles sont :
– Relation externe (avant Windows 2000)
– Relation de domaine Kerberos (pour lier des Kerberos non Windows)
– Relation entre forêts (entre forêts différentes)
– Relation de raccourci (plusieurs domaines dans une seule forêt)
Articles sur les relations d'approbation :
http://technet.microsoft.com/fr-fr/library/cc736874%28v=ws.10%29
http://www.labo-microsoft.org/articles/win/trust/
V- Maîtres (Rôles FSMO) et catalogues globaux
1- Rôles FSMO
Les rôles de maître d'opération servent à savoir quel est le serveur référence
qui va gérer la réplication des modifications vers les autres serveur.
Les termes contrôleur primaires et contrôleur secondaire n'existent plus sauf
pour question de compatibilité (émulateur de PDC).
Dans une forêt, il ne doit y avoir à un moment donné qu'un serveur maître de
schéma et un serveur maître d'attribution de noms de domaine.
Dans un domaine, il ne doit y avoir à un moment donné qu'un serveur maître
RID, un serveur maître d'infrastructure et un émulateur de contrôleur de domaine
principal.
–
–
–
–
–
Maître de schéma : Responsable du schéma d'annuaire LDAP.
Maître d'attribution de noms de domaine : Responsable de
l'ajout/suppression des noms de domaines.
Maître RID : Distribue les identifiants uniques aux objets de l'annuaire pour
une question de sécurité (partie du SID).
Maître d'infrastructure : Gère les liens entre les utilisateurs et leurs groupes.
Émulateur de PDC : Permet d'émuler le rôle de PDC et réplique les
changements de mots de passe utilisateurs.
Dernières modifications le 30/05/13
Page 7
IPv6 sur les routeurs Cisco
Catalogues globaux :
Dans un parc contenant plusieurs contrôleurs de domaines, les serveurs de
catalogue global ont une copie complète des informations de tous les contrôleurs de
domaine.
Il y a toujours au moins un CG dans une forêt. Le premier serveur à être installé
dans une forêt est forcément un CG.
Ainsi, si un utilisateur de torcy.greta.fr veut se connecter sur le site de Lognes
(lognes.greta.fr) et que le serveur de Lognes n'est pas un CG, il devra contacter son
CG pour obtenir les informations du compte utilisateur.
VI- Systèmes de noms et chemins d'accès
Netbios / Wins :
Historiquement, Windows utilisait les noms Netbios pour connaître les
machines. Le nom Netbios est celui qu'on retrouve dans les propriétés systèmes de
Windows.
Netbios n'est pas basé sur TCP/IP.
La résolution de noms Netbios se fait par broadcast, ce qui empêche son
utilisation au delà du réseau local. Un serveur pouvait également résoudre les noms
Netbios, le serveur Wins qui n'est plus utilisé aujourd'hui.
DNS :
Active Directory est forcément lié à un ou plusieurs serveurs DNS.
Voir la documentation complète sur DNS.
Chemins d'accès réseau :
Cette utilisation est spécifique à Microsoft. Dans le monde TCP/IP, on utilise les
chemins URL.
\\nomdelordinateur\partage\chemin\ressource
•
\\ : Demande d'accès par le protocole smb (partage de fichiers MS).
•
nomdelordinateur : nom netbios (ex : pc1) ou nom DNS (ex : pc1.greta.fr)
•
partage : un des dossiers partagés sur l'ordinateur.
•
chemin : un sous-répertoire à partir de ce partage.
Dernières modifications le 30/05/13
Page 8
IPv6 sur les routeurs Cisco
•
ressource : le fichier ou le répertoire auquel vous voulez accéder.
Dernières modifications le 30/05/13
Page 9