Windows Active Directory (Cours 6)

--- titre: Windows Active Directory (Cours 6) description: Windows Active Directory (Cours 6), 02/04/2020 tags: ACDA, jerome.tchan author: Jérôme Tchan --- # Windows Active Directory (Cours 6) > Slides (ancienne version) > > {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:acda:5-windows-ad-epita.pdf %} ## Kerberos - Protocole d'authentification mutuelle - Permet la mise en oeuvre du SSO (Single Sign-On) - S'appuie sur la cryptographie symétrique Kerberos v5 en 1993: RFC 1510 et RFC 1964 Architecture composée de 3 tiers: - Client - Serveur de ressources - Autorité approuvée (AA) ou Key Distribution Center (KDC) Principal de sécurité - Client, serveur, utilisateur - Identifiable par un ID unique (UPN / SPN) - Partage un secret avec l'autorité approuvée Deux types de clés: - Clé à long terme (utilisée pour la phase initiale d'authentification), il s'agit d'un secret partagé propre à chaque principal Kerberos et partagé avec le KDC - Clé à court terme (clé de session) **Royaume Kerberos:** Organisation logique dans laquelle il existe au moins une autorité approuvée et qui est capable d'authentifier les principaux déclarés sur ce serveur Ticket Kerberos: une partie chiffrée et une partie claire servant à authentifier les requêtes des principaux 2 types de tickets: - TGT (Ticket granting ticket) - ST (Service ticket) Services Kerberos (contenus dans le KDC): - Service d'authentification (AS) => fournit les TGT - Service d'octroi de tickets (TGS) => fournit les ST ![](https://i.imgur.com/SXC4Sbv.png) Pour l'authentification initiale, le client chiffre des informations (prévues et définies dans l'algorithme et horodatés) avec le secret partagé du client et l'envoie à l'AS ![](https://i.imgur.com/QdM63nY.png) Royaume = limite administrative de sécurité au sein de laquelle il est possible d'authentifier les principaux Il existe un mécanisme permettant à un utilisateur d'accéder à des ressources n'appartenant pas à son propre royaume - Confiance entre royaumes - Partage entre deux royaumes d'une même clé secrète - Quand un utilisateur d'un royaume A souhaite atteindre un serveur d'un royaume B - Il contacte son propre KDC qui lui transmet un "refferal ticket" (TGT chiffré avec la clé partagée inter royaume) - Ce refferal ticket lui permet d'obtenir auprès du KDC de B un ST pour le serveur souhaité Pour limiter le nombre de clés inter-royaumes, on utilise une structure hiérarchique => rebonds entre les royaumes Avantages: - Préserve l'isolement des royaumes entre eux - Tout client d'un royaume peut accéder aux ressources de n'importe quel serveur (si ce dernier l'autorise) - Même si ce serveur ne fait pas partie du royaume du client Les relations de confiance inter-royaumes sont - Symétriques ou bidirectionnelles - Transitives ## Active Directory ### Workgroup vs Domaine Workgroup: - Réseaux peer to peer - Machiens toutes égales et possèdent chacune - Leur propre base de comptes utilisateur - leur propres ressources - L'accès à une ressource se fait un compte utilisateur local - 100 personnes, 100 machines => 10 000 comptes utilisateurs à créer Domaine: - Regroupement de machines partageant les mêmes options de sécurité définies sur un contrôleur de domaine (CD) - Base de comptes utilisateur centralisée sur le contrôleur de domaine - Utilisateurs authentifiés au niveau du domaine, ce qui leur permet un accès aux ressources du domaine dans sa globalité (si les autorisations d’accès le permettent) ### Active Directory - Apparu avec Windows 2000 - Evolution majeure de la structure propriétaire de domaine NT - Prise en charge de protocoles standards de l'IETF (LDAP, Kerberos) - S'appuie sur le DNS pour localiser les services de l'AD - Active Directory est à la fois - Annuaire LDAP propriétaire - Structure hiérarchique de royaumes Kerberos Annuaire LDAP: - Service de base de donénes orientée objet - BDD distribuée, tous les contrôleurs de domaine d'un domaine disposent des mêmes infos - Permet d'assurer la tolérance de panne (si on a au moins deux CD) Un objet peut être un compte utilisateur, une imprimante, un dossier partagé, un groupe, une unité d'organisation, etc. Chaque objet est composé d'attributs (propriétés), les objets de même classe (type) disposent des mêmes attributs #### Domaine - Regroupement d'objets partageant un même espace de noms - Dispose d'un nom et d'un SID permettant de l'identifier - Limite administrative de sécurité - Annuaire répliqué sur les CD dans une réplication multi-maîtres (une modif sur un des CD se répliquera sur les autres CDs du domaine) #### Arborescence - Regroupement hiérarchique de domaines partageant un même espace de noms - Relations d'approbation = relation de confiance Kerberos - Le nom de l'arborescence est le nom du domaine racine #### Forêt - Regroupement d'arborescences partageant le même catalogue global, le même schéma et la même configuration - Ne partageant pas obligatoirement le même espace de noms - Le nom de la forêt est le nom du domaine racine (premier domaine créé) #### Partitions d'annuaire Partitions ou contextes de nommage de l'annuaire AD - Schéma - Classes - Attributs - Configuration - Structure de la forêt et des arborescences - Relations d'approbation - Sites - Domaine ou données du domaine - Objets créés dans le domaine - Application (optionnelle) - Données propres aux applications (ex: DNS) Au niveau de la réplication des partitions: - Pour la configuration et le schéma: réplication sur tous les CD de la forêt - Partition du domaine répliquée uniquement sur les CD du comaine considéré - Partitions d'application répliquées sur les CD de la forêt choisis par l'administrateur #### Catalogue global - Répertorie l'ensemble des attributs les plus utilisés (environ 20%) de tous les objets de la forêt (Partial Attribute Set - PAS) - Permet de trouver tout objet dans Active Directory, au travers du domaine, de l'arborescence ou de la forêt; sans catalogue global, une recherche s'effectue sur chaque domaine de la forêt, ce qui ralentirait considérablement la recherche - Consulté lors d'une ouverture de session afin de récupérer la liste des groupes universels auxquels appartient l'utilisateur - Par défaut, le premier DC est GC - Réponse aux requêtes LDAP sur le port TCP/3268 Il est recommandé d'installer au moins un serveur GC par site (ou mieux: que tous les DC soient GC) #### Sites AD Un site AD est un ensemble d'objets sur un ou plusieurs sous-réseaux IP reliés par des liaisons à haut débit - Optimise l'accès à Active Directory - Optimise la topologie de réplication Les liaisons les plus rapides sont exploitées au mieux pour la réplication et les ouvertures de session La notion de localisation est importante: on se connectera au DC le plus proche (particulièrement important sur des liaisons bas débit) #### Niveaux fonctionnels Garantir la compatibilité avec les anciennes versions #### RODC Read Only Domain Controller - Contient toutes les infos d'un DC classique sauf les mots de passe utilisateurs (mais paramétrable) - Données stockées en lecture seule - Aucune modification initiée depuis un RODC - Un seul RODC par site AD Utile sur des sites distants dont la confiance ne peut pas être garantie, tout en garantissant de bonnes performances (notamment lors des ouvertures de session). Si il y a corruption du RODC, il n'y a pas d'accès aux mots de passe et on n'a pas de modification de la BDD du domaine