MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

Les types d’approbations associés

aux systèmes d’exploitation de serveur

I. Authentification entre les différentes forêts Windows Server

I. Foret : c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs arbres qui ont
des noms disjoints (asri.com). Tous les arbres d’une forêt partagent le même schéma commun
et le même catalogue, mais ont des structures de noms différentes. Les domaines d’une forêt
fonctionnent indépendamment les uns des autres, mais les forêts permettent la communication
d’un domaine à l’autre.

II. Création d'une forêt : Quand vous créez le premier contrôleur de domaine de votre
organisation, vous créez le premier domaine (ou domaine racine de la forêt) et la première
forêt de celle-ci.
- Le conteneur Active Directory situé au niveau supérieur est appelé une « forêt ».
- Une forêt se compose d'un ou de plusieurs domaines ayant en commun un schéma et un
catalogue global. Une organisation peut disposer de plusieurs forêts.
- Une forêt est une limite de sécurité et d'administration pour tous les objets qu'elle contient.
- Un domaine est une limite d'administration destinée à faciliter la gestion d'objets tels
qu'utilisateurs, groupes et ordinateurs.
- Chaque domaine applique ses propres stratégies de sécurité et relations d'approbation avec les
autres domaines.
- Plusieurs arborescences de domaine d'une même forêt ne constituent pas un espace de noms
contigu : leurs noms de domaine DNS ne sont pas contigus.
- Si les arborescences d'une forêt ne partagent pas le même espace de noms, en revanche, chaque
forêt comporte un seul et unique domaine racine.
- Les groupes Administrateurs de l'entreprise et Administrateurs du schéma sont situés dans ce
domaine. Par défaut, les informations d'identification d'administration de leurs membres sont à
l'échelle de la forêt.

III. Quand créer une forêt : L'une des premières étapes d'un processus de conception Active
Directory consiste à déterminer le nombre de forêts nécessaires à l'organisation concernée.
Dans la plupart des cas, une seule forêt est estimée suffisante, et plus simple à administrer.
Cependant, cela peut ne pas convenir à toutes les organisations.

- Lorsqu'il existe une seule forêt, les utilisateurs n'ont pas à se familiariser avec une structure
d'annuaires, puisque le catalogue global leur permet de visualiser un annuaire unique.
- Lorsqu'un domaine est ajouté à une forêt, il n'est pas nécessaire de configurer de nouvelles
approbations car tous les domaines de celle-ci sont reliés par des approbations transitives
bidirectionnelles.
- Dans une forêt multi domaine, il suffit d'appliquer une seule fois les modifications de la
configuration pour actualiser tous les domaines.

Mme Naimi Page 1

MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

IV. Principe d’Authentification entre forêts

Cette rubrique explique comment le service Internet Authentication Service (IAS) peut être
utilisé en tant que serveur et proxy RADIUS (Remote Authentication Dial-In User Service) pour
fournir une authentification :
- Entre deux forêts.
- Entre des domaines non approuvés.
- Entre des domaines à approbation unidirectionnelle.

IAS correspond à la mise en œuvre par Microsoft d'un serveur RADIUS et d'un serveur proxy. Cela
permet la gestion centralisée de l'authentification des utilisateurs, des autorisations et de la
comptabilité.

Un service IAS permet d’authentifier des utilisateurs dans des bases de données installées sur des
contrôleurs de domaine Windows Server 2003 … Ce service prend par ailleurs en charge différents
serveurs d’accès réseau (NAS), notamment les serveurs de routage et d’accès distant (RAS).

Remarques

 Lorsque vous utilisez EAP-TLS avec des certificats comme méthode d'authentification, vous
devez utiliser un ou plusieurs serveurs proxy RADIUS pour transférer les demandes
d'authentification à la forêt appropriée, même quand les forêts ont une relation d'approbation
transitive bidirectionnelle.

 Lorsque vous utilisez une méthode d'authentification autre que EAP-TLS avec des certificats,
le service IAS prend en charge l'authentification sans proxy RADIUS entre deux forêts
lorsqu'elles sont uniquement constituées de contrôleurs de domaine exécutant Windows
Server 2003.

Mme Naimi Page 2

MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

II. Authentification avec les serveurs qui exécutent d’autres systèmes d’exploitation :
Pour faire communiquer d’autres systèmes d’exploitation sur le plan de
l’authentification, Il n’existe pas de méthode établie. Il faut commencer par réfléchir sur les
points suivants :

- Lister tous les protocoles d’authentification présents sur votre réseau.

- S’assurer que chacun de ses systèmes possédant une chance soit documenté.
- Regarder qu’elles sont les méthodes d’amélioration de ses méthodes (mixant les méthodes
des systèmes)
- Ecrire la liste avec les meilleurs protocoles avec la bonne façon de s’en servir dans un milieu
hétérogène (identifier les points de communication qui peuvent nécessiter de l’adaptation de
votre part)
- Concevoir une solution

III. Authentification sélective entre des forêts

À l'aide des domaines et des approbations Active Directory, vous pouvez déterminer l'étendue
de l'authentification entre deux forêts liées par une approbation de forêt. Vous pouvez procéder
différemment, pour sélectionner une authentification sélective, selon que celle-ci concerne une
approbation de forêt entrante ou sortante.

Les approbations sélectives permettent aux administrateurs de bénéficier d'une plus grande
souplesse lorsqu'ils prennent des décisions relatives aux contrôles d'accès à l'échelle de la forêt.

Si vous appliquez à l'approbation de forêt entrante une authentification couvrant l'ensemble de la forêt,
les utilisateurs de l'extérieur de la forêt auront le même niveau d'accès aux ressources de la forêt locale
que ceux faisant partie de cette forêt.

Lorsqu'un utilisateur s'authentifie dans l'ensemble d'une approbation alors que l'option
Authentification sélective est activée, un ID de sécurité (SID) Autre organisation est ajouté aux
données d'autorisation de cet utilisateur.

La présence de ce SID déclenche un contrôle dans le domaine de la ressource visant à vérifier si

l'utilisateur est autorisé à s'authentifier à ce service particulier. Une fois l'utilisateur authentifié, si le
SID d’une autre organisation n'est pas déjà présent, le serveur auquel l'utilisateur s'authentifie ajoute le
SID de cette organisation.
En effet, un seul exemplaire de ces SID spéciaux est admis dans le contexte d'un utilisateur authentifié.

Mme Naimi Page 3

MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

IV. Utilisation du filtrage SID (Sécurité des approbations)

Lors d'une migration, par exemple de Windows 2003 vers Windows Server 2008, il est
nécessaire que les nouveaux comptes d'utilisateur soit capable d'accéder aux ressources auxquelles ils
accédaient avant. Ce mécanisme fait appel au système SIDHistory. Lorsque vous utilisez cette
fonctionnalité, votre forêt peut alors faire l’objet d’attaques d’usurpation sur
les identificateurs de sécurité SID de la part de l’administrateur de la forêt approuvée. Pour résoudre ce
problème il existe un filtrage SID par défaut pour les relations d'approbations de forêts.

Pour une relation d'approbation domaine à domaine, le filtrage des identificateurs de sécurité (SID)
n'autorise pas l'utilisation des SID de l'extérieur du domaine approuvé pour permettre l'accès à une
ressource du domaine approuvé.

Pour une relation d'approbation forêt à forêt, le filtrage des SID n'autorise pas l'utilisation de SID d'un
domaine extérieur à la forêt approuvée pour permettre l'accès à une ressource dans un domaine de la
forêt approuvée.

Vous pouvez activer l'identificateur SID d'un utilisateur dans une autre forêt pour lui permettre
d'accéder à une ressource dans une forêt pour laquelle le filtrage des SID est activé.

Le filtrage des SID est appliqué par défaut lorsqu'une relation d'approbation de forêt est établie entre
les domaines racines de deux forêts.

Le filtrage des SID est activé par défaut lorsque des relations d'approbation externes sont établies entre
des contrôleurs de domaine afin d'empêcher les attaques de sécurité par l'administrateur d'une autre
forêt.

Le filtrage des SID n'est pas appliqué à l'authentification au sein d'un domaine, de sorte qu'il est
également possible d'activer l'accès à des ressources en utilisant l'historique SID, si la ressource et le
compte sont dans le même domaine. Pour cela, la forêt dans laquelle se trouve la ressource doit
approuver la forêt dans laquelle est situé le compte.

Le filtrage des SID neutralise le risque que des utilisateurs malveillants dans le domaine approuvé
puissent utiliser l’attribut SIDHistory pour obtenir des privilèges élevés.

Le filtrage des SID garantit qu’aucune utilisation abusive de l’attribut SIDHistory sur les principaux
de sécurité dans la forêt approuvée ne menace l’intégrité de la forêt d’approbation.

Mme Naimi Page 4

MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

V. Processus d’authentification :

A. Authentification Kerberos V5 : C’est un protocole d’authentification réseau normalisé

par IETF (RFC 1510). Il est utilisé par défaut avec les machines utilisant un système basé sous
Windows 2000 et plus récent. Il fonctionne suivant deux modèles complémentaires :

- L’authentification et la réception du TGT (Ticket Granting Ticket)

- L’utilisation de ce ticket (TGT) pour obtenir des tickets de session

 Fonctionnement de l’authentification et de la réception du TGT

- L’utilisateur saisit ses informations d’ouverture de session

- La LSA (Local Security Authority = votre machine généralement) hache le mot de passe saisi
et le crypte en le combinant avec l’heure système. Ensuite on y rajoute un horodatage brut, le
paquet ainsi transmis par la LSA à la couche Kerberos présent sur le système. Ce paquet est
appelé authentifiant.

- L’authentifiant est envoyé au KDC (Kerberos Distribution Center) ou à la base de

données des comptes du contrôleur de domaine.

- Le KDC compare l’horodatage en texte brut à sa propre heure système. Si la différence de

délai ne répond pas à la stratégie de groupe Kerberos « Tolérance maximale pour la
synchronisation de l’horloge de l’ordinateur », la requête est abandonnée. Sinon, on
poursuit.

- Le KDC combine le hache du mot de mot de passe avec l’horodatage fournit dans
authentifiant et compare les résultats obtenus.

- En cas de concordance, l’utilisateur est authentifie et reçoit un TGT. Celui-ci contient des
informations cryptées utilisant le mot de passe de l’ordinateur de l’utilisateur et par
conséquent, il ne peut être utilisé que par cet ordinateur. Il y inclut également des
informations d’autorisation sous la forme de liste de SID, à savoir le SID de l’utilisateur et
les SID des groupes dont il est membre.

 Fonctionnement de l’obtention d’un ticket de session

- Lorsque l’utilisateur sollicite l’accès à une ressource, il doit obtenir un ticket de session. Le
TGT est retourné au KDC, accompagné d’un authentifiant actualisé et d’une requête de
ressource.

- Le KDC vérifie l’horodatage en texte brut de l’authentifiant et rejette la requête si le délai

écoulé entre cette donnée et celle de sa propre horloge est supérieur à la valeur autorisée.
Dans le cas contraire, la vérification se poursuit.

- Le KDC crypte l’horodatage en texte brut d’authentifiant à l’aide du hachage du mot de

passe de l’utilisateur situé dans sa base de données de compte et les compare à celui fourni
par l’authentifiant.

- En cas de correspondance, un ticket de session est créé et envoyé à l’utilisateur. Une

partie du ticket de session est cryptée avec le hachage du mot de passe du compte de

Mme Naimi Page 5

MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

l’utilisateur de façon à pouvoir être lue et stockée sur son ordinateur. Une partie du ticket
de session est cryptée avec le hachage du mot de passe du compte d’ordinateur sur lequel
réside le service ou la ressource que l’utilisateur a sollicité. Cela permet à cet ordinateur de
savoir que les éléments sont fournis par le KDC (qui en l’occurrence, est le seul à pouvoir
connaître son mot de passe).

- Le ticket de session peut enfin être utilisé pour l’authentification sur l’ordinateur
hébergeant la ressource.

 Voici une liste des circonstances ou l’on peut faire appelle à Kerberos :
- Pour l’authentification entre domaines Windows ou domaine Kerberos
- Pour l’authentification d’échange entre des ordinateurs d’un même domaine
- Pour des accès à des ressources du domaine à condition d’utiliser les non machine plutôt
que les adresses IP (sinon cela revient à utiliser l’authentification par NTLM)
- Pour des accès à distance entre des systèmes (Machine Windows, VPN) dans la
partie authentification et données de session
- Pour faire de l’authentification web lorsque des clients non Windows et hérités doivent
obtenir des certificats
- Pour accéder à des ressources extérieures au domaine.

 Limitation principale du protocole Kerberos v5 : chose qui empêche ainsi d’être une
solution universelle d’authentification et de sécurité de l’application, est son inefficacité pour
configurer l’authentification Kerberos pour une utilisation sur Internet.

Remarque : Si un ordinateur participant à une transaction ne prend pas en charge le protocole

Kerberos, c’est le protocole NTLM qui est utilisé.

Mme Naimi Page 6

MQ9 : Mise en œuvre d’une stratégie d’authentification Chapitre 5

B. Authentification RADIUS : Un environnement d'accès distant hétérogène doit contenir un seul

standard fournissant l'authentification des informations d'identification de l'utilisateur connecté
à distance et la gestion des comptes d'accès à distance, le service RADIUS (Remote
Authentication Dial-In User Service) est utilisé. Il s'agit d'un protocole client/serveur.

a) Les clients RADIUS envoient à un serveur RADIUS les demandes d'authentification et les
requêtes de gestion de comptes.

b) Le serveur RADIUS vérifie les informations d'identification sur les comptes d'utilisateurs et
enregistre les événements de gestion des comptes d'accès distant.

c) On peut configurer un serveur exécutant Routage et accès distant comme un client RADIUS et
un serveur RADIUS : IAS (Internet Authentication Service).

Si vous voulez configurer un serveur exécutant Routage et accès distant comme un client
RADIUS, exécutez les étapes suivantes :
1) Configurez le serveur d'accès distant.
2) Configurez le serveur d'accès distant pour l'authentification RADIUS.
3) Configurez le serveur d'accès distant pour la gestion de comptes RADIUS.

Lorsque vous ajoutez un serveur RADIUS, vous devez configurer les paramètres suivants :
Sélectionnez Gestion de comptes RADIUS
1) Nom du serveur
2) Nom de l'hôte ou adresse IP de l'ordinateur exécutant le processus du serveur RADIUS.
3) Secret : Le client RADIUS (serveur exécutant Routage et accès distant) et le serveur RADIUS
partagent un secret qui est utilisé pour crypter les messages échangés entre eux. Vous devez
configurer le client et le serveur RADIUS pour qu'ils utilisent le même secret partagé.
4) Port : Le client RADIUS doit envoyer ses demandes d'authentification au port UDP sur lequel
le serveur RADIUS est en écoute.

Pour utiliser l'authentification RADIUS

Ouvrez Routage et accès distant.
Cliquez avec le bouton droit sur le nom du serveur dont vous souhaitez configurer l'authentification
RADIUS, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, dans la zone Fournisseur d'authentifications, cliquez sur
Authentification RADIUS puis sur Configurer.
Dans la boîte de dialogue Authentification RADIUS, cliquez sur Ajouter.
Dans la boîte de dialogue Ajouter un serveur RADIUS, configurez les paramètres du serveur
d'authentification RADIUS, puis cliquez sur OK

Mme Naimi Page 7