Professional Documents
Culture Documents
I. Foret : c’est un groupement ou un arrangement hiérarchique d’un ou plusieurs arbres qui ont
des noms disjoints (asri.com). Tous les arbres d’une forêt partagent le même schéma commun
et le même catalogue, mais ont des structures de noms différentes. Les domaines d’une forêt
fonctionnent indépendamment les uns des autres, mais les forêts permettent la communication
d’un domaine à l’autre.
II. Création d'une forêt : Quand vous créez le premier contrôleur de domaine de votre
organisation, vous créez le premier domaine (ou domaine racine de la forêt) et la première
forêt de celle-ci.
- Le conteneur Active Directory situé au niveau supérieur est appelé une « forêt ».
- Une forêt se compose d'un ou de plusieurs domaines ayant en commun un schéma et un
catalogue global. Une organisation peut disposer de plusieurs forêts.
- Une forêt est une limite de sécurité et d'administration pour tous les objets qu'elle contient.
- Un domaine est une limite d'administration destinée à faciliter la gestion d'objets tels
qu'utilisateurs, groupes et ordinateurs.
- Chaque domaine applique ses propres stratégies de sécurité et relations d'approbation avec les
autres domaines.
- Plusieurs arborescences de domaine d'une même forêt ne constituent pas un espace de noms
contigu : leurs noms de domaine DNS ne sont pas contigus.
- Si les arborescences d'une forêt ne partagent pas le même espace de noms, en revanche, chaque
forêt comporte un seul et unique domaine racine.
- Les groupes Administrateurs de l'entreprise et Administrateurs du schéma sont situés dans ce
domaine. Par défaut, les informations d'identification d'administration de leurs membres sont à
l'échelle de la forêt.
III. Quand créer une forêt : L'une des premières étapes d'un processus de conception Active
Directory consiste à déterminer le nombre de forêts nécessaires à l'organisation concernée.
Dans la plupart des cas, une seule forêt est estimée suffisante, et plus simple à administrer.
Cependant, cela peut ne pas convenir à toutes les organisations.
- Lorsqu'il existe une seule forêt, les utilisateurs n'ont pas à se familiariser avec une structure
d'annuaires, puisque le catalogue global leur permet de visualiser un annuaire unique.
- Lorsqu'un domaine est ajouté à une forêt, il n'est pas nécessaire de configurer de nouvelles
approbations car tous les domaines de celle-ci sont reliés par des approbations transitives
bidirectionnelles.
- Dans une forêt multi domaine, il suffit d'appliquer une seule fois les modifications de la
configuration pour actualiser tous les domaines.
Cette rubrique explique comment le service Internet Authentication Service (IAS) peut être
utilisé en tant que serveur et proxy RADIUS (Remote Authentication Dial-In User Service) pour
fournir une authentification :
- Entre deux forêts.
- Entre des domaines non approuvés.
- Entre des domaines à approbation unidirectionnelle.
IAS correspond à la mise en œuvre par Microsoft d'un serveur RADIUS et d'un serveur proxy. Cela
permet la gestion centralisée de l'authentification des utilisateurs, des autorisations et de la
comptabilité.
Un service IAS permet d’authentifier des utilisateurs dans des bases de données installées sur des
contrôleurs de domaine Windows Server 2003 … Ce service prend par ailleurs en charge différents
serveurs d’accès réseau (NAS), notamment les serveurs de routage et d’accès distant (RAS).
Remarques
Lorsque vous utilisez EAP-TLS avec des certificats comme méthode d'authentification, vous
devez utiliser un ou plusieurs serveurs proxy RADIUS pour transférer les demandes
d'authentification à la forêt appropriée, même quand les forêts ont une relation d'approbation
transitive bidirectionnelle.
Lorsque vous utilisez une méthode d'authentification autre que EAP-TLS avec des certificats,
le service IAS prend en charge l'authentification sans proxy RADIUS entre deux forêts
lorsqu'elles sont uniquement constituées de contrôleurs de domaine exécutant Windows
Server 2003.
II. Authentification avec les serveurs qui exécutent d’autres systèmes d’exploitation :
Pour faire communiquer d’autres systèmes d’exploitation sur le plan de
l’authentification, Il n’existe pas de méthode établie. Il faut commencer par réfléchir sur les
points suivants :
À l'aide des domaines et des approbations Active Directory, vous pouvez déterminer l'étendue
de l'authentification entre deux forêts liées par une approbation de forêt. Vous pouvez procéder
différemment, pour sélectionner une authentification sélective, selon que celle-ci concerne une
approbation de forêt entrante ou sortante.
Les approbations sélectives permettent aux administrateurs de bénéficier d'une plus grande
souplesse lorsqu'ils prennent des décisions relatives aux contrôles d'accès à l'échelle de la forêt.
Si vous appliquez à l'approbation de forêt entrante une authentification couvrant l'ensemble de la forêt,
les utilisateurs de l'extérieur de la forêt auront le même niveau d'accès aux ressources de la forêt locale
que ceux faisant partie de cette forêt.
Lorsqu'un utilisateur s'authentifie dans l'ensemble d'une approbation alors que l'option
Authentification sélective est activée, un ID de sécurité (SID) Autre organisation est ajouté aux
données d'autorisation de cet utilisateur.
Lors d'une migration, par exemple de Windows 2003 vers Windows Server 2008, il est
nécessaire que les nouveaux comptes d'utilisateur soit capable d'accéder aux ressources auxquelles ils
accédaient avant. Ce mécanisme fait appel au système SIDHistory. Lorsque vous utilisez cette
fonctionnalité, votre forêt peut alors faire l’objet d’attaques d’usurpation sur
les identificateurs de sécurité SID de la part de l’administrateur de la forêt approuvée. Pour résoudre ce
problème il existe un filtrage SID par défaut pour les relations d'approbations de forêts.
Pour une relation d'approbation domaine à domaine, le filtrage des identificateurs de sécurité (SID)
n'autorise pas l'utilisation des SID de l'extérieur du domaine approuvé pour permettre l'accès à une
ressource du domaine approuvé.
Pour une relation d'approbation forêt à forêt, le filtrage des SID n'autorise pas l'utilisation de SID d'un
domaine extérieur à la forêt approuvée pour permettre l'accès à une ressource dans un domaine de la
forêt approuvée.
Vous pouvez activer l'identificateur SID d'un utilisateur dans une autre forêt pour lui permettre
d'accéder à une ressource dans une forêt pour laquelle le filtrage des SID est activé.
Le filtrage des SID est appliqué par défaut lorsqu'une relation d'approbation de forêt est établie entre
les domaines racines de deux forêts.
Le filtrage des SID est activé par défaut lorsque des relations d'approbation externes sont établies entre
des contrôleurs de domaine afin d'empêcher les attaques de sécurité par l'administrateur d'une autre
forêt.
Le filtrage des SID n'est pas appliqué à l'authentification au sein d'un domaine, de sorte qu'il est
également possible d'activer l'accès à des ressources en utilisant l'historique SID, si la ressource et le
compte sont dans le même domaine. Pour cela, la forêt dans laquelle se trouve la ressource doit
approuver la forêt dans laquelle est situé le compte.
Le filtrage des SID neutralise le risque que des utilisateurs malveillants dans le domaine approuvé
puissent utiliser l’attribut SIDHistory pour obtenir des privilèges élevés.
Le filtrage des SID garantit qu’aucune utilisation abusive de l’attribut SIDHistory sur les principaux
de sécurité dans la forêt approuvée ne menace l’intégrité de la forêt d’approbation.
V. Processus d’authentification :
- Le KDC combine le hache du mot de mot de passe avec l’horodatage fournit dans
authentifiant et compare les résultats obtenus.
- En cas de concordance, l’utilisateur est authentifie et reçoit un TGT. Celui-ci contient des
informations cryptées utilisant le mot de passe de l’ordinateur de l’utilisateur et par
conséquent, il ne peut être utilisé que par cet ordinateur. Il y inclut également des
informations d’autorisation sous la forme de liste de SID, à savoir le SID de l’utilisateur et
les SID des groupes dont il est membre.
- Lorsque l’utilisateur sollicite l’accès à une ressource, il doit obtenir un ticket de session. Le
TGT est retourné au KDC, accompagné d’un authentifiant actualisé et d’une requête de
ressource.
l’utilisateur de façon à pouvoir être lue et stockée sur son ordinateur. Une partie du ticket
de session est cryptée avec le hachage du mot de passe du compte d’ordinateur sur lequel
réside le service ou la ressource que l’utilisateur a sollicité. Cela permet à cet ordinateur de
savoir que les éléments sont fournis par le KDC (qui en l’occurrence, est le seul à pouvoir
connaître son mot de passe).
- Le ticket de session peut enfin être utilisé pour l’authentification sur l’ordinateur
hébergeant la ressource.
Voici une liste des circonstances ou l’on peut faire appelle à Kerberos :
- Pour l’authentification entre domaines Windows ou domaine Kerberos
- Pour l’authentification d’échange entre des ordinateurs d’un même domaine
- Pour des accès à des ressources du domaine à condition d’utiliser les non machine plutôt
que les adresses IP (sinon cela revient à utiliser l’authentification par NTLM)
- Pour des accès à distance entre des systèmes (Machine Windows, VPN) dans la
partie authentification et données de session
- Pour faire de l’authentification web lorsque des clients non Windows et hérités doivent
obtenir des certificats
- Pour accéder à des ressources extérieures au domaine.
Limitation principale du protocole Kerberos v5 : chose qui empêche ainsi d’être une
solution universelle d’authentification et de sécurité de l’application, est son inefficacité pour
configurer l’authentification Kerberos pour une utilisation sur Internet.
a) Les clients RADIUS envoient à un serveur RADIUS les demandes d'authentification et les
requêtes de gestion de comptes.
b) Le serveur RADIUS vérifie les informations d'identification sur les comptes d'utilisateurs et
enregistre les événements de gestion des comptes d'accès distant.
c) On peut configurer un serveur exécutant Routage et accès distant comme un client RADIUS et
un serveur RADIUS : IAS (Internet Authentication Service).
Si vous voulez configurer un serveur exécutant Routage et accès distant comme un client
RADIUS, exécutez les étapes suivantes :
1) Configurez le serveur d'accès distant.
2) Configurez le serveur d'accès distant pour l'authentification RADIUS.
3) Configurez le serveur d'accès distant pour la gestion de comptes RADIUS.
Lorsque vous ajoutez un serveur RADIUS, vous devez configurer les paramètres suivants :
Sélectionnez Gestion de comptes RADIUS
1) Nom du serveur
2) Nom de l'hôte ou adresse IP de l'ordinateur exécutant le processus du serveur RADIUS.
3) Secret : Le client RADIUS (serveur exécutant Routage et accès distant) et le serveur RADIUS
partagent un secret qui est utilisé pour crypter les messages échangés entre eux. Vous devez
configurer le client et le serveur RADIUS pour qu'ils utilisent le même secret partagé.
4) Port : Le client RADIUS doit envoyer ses demandes d'authentification au port UDP sur lequel
le serveur RADIUS est en écoute.