Architecture Reseaux Basee Sur Windows 2000

e i g
Laboratoire de Transmissions de donnes
Architecture rseau base sur Windows 2000
Informations Date Etudiant Email 04.12.2001 Yann Souchon yann@linuxch.org
Professeur Grald Litzistorf
Mots cls Active Directory, Kerberos, Audit, Rplication, Trust, IIS Rsum Ce document dcrit les principaux lments dun rseau sous Windows 2000 avec un ou plusieurs domaines.
Diplme 2001
Conventions typographiques
Time New Romain Italique Gras
Police utilise pour ce document en taille 12. Utilis pour les mots dorigine trangre. Utilis pour la configuration ainsi que pour donner de limportance un mot. Indique un renvoi sur une rfrence Kerberos correspond au projet de semestre
Remerciements Je tiens remercier les personnes qui mont permis de raliser ce document : M. Litzistorf pour sa rigueur et son intrt. M. Franois-Xavier Marseille et M. Jean-Eric Cuendet pour leurs prcieux conseils concernant le protocole Kerberos.
Les personnes que jai rencontres dans lcole : Les camarades de classes des trois dernires annes. Les collgues du laboratoire pour lambiance et la bonne humeur.
Et toutes les personnes qui mont soutenues :
Mes parents, mon frre et mon amie qui mont encourags durant toutes ces annes. Mes amis, plus particulirement M. Aurlien Porchet pour avoir relu et corrig mon mmoire.
Annexes 1. Installation de Windows 2000 Server 2. Active Directory 3. Serveur de fichiers 4. Serveur DNS 5. Relations dapprobations 6. NetBIOS 7. Lightning Ethernet II 8. Diffrentes variantes daccs un serveur WEB 9. Analyse de protocole : Dmarrage dun ordinateur dans un domaine 10. Analyse de protocole : Authentification dans un domaine 11. Analyse de protocole : Diffrentes variantes daccs un serveur WEB
Transmission de donnes
-2-
Diplme 2001
1 2

5 6 6 7 7 7 8 9 10 10 11 11 12 13 15 15 15 16 16 17 17 20 22 22 22 23 27 29 31 31 32 35 35 36 36 36 37 39 39 39 41 44 44 44 45 45 46 47 48 49
PRESENTATION DU MEMOIRE DE DIPLOME AUTORISATIONS NTFS 2.1 2.2 INTRODUCTION AUTORISATIONS LOCALES 2.2.1 Autorisations au niveau dossier 2.2.2 Autorisations au niveau fichier 2.2.3 Autorisations multiples 2.3 AUTORISATIONS DE PARTAGE
ACTIVE DIRECTORY 3.1 3.2 INTRODUCTION COMPOSANTS 3.2.1 Objet et attribut (Object and attribute) 3.2.2 Compte dutilisateurs (Users account) 3.2.3 Groupe dutilisateurs (Users group) 3.3 STRUCTURE LOGIQUE 3.3.1 Domaine (Domain ) 3.3.2 Unit dorganisation (Organizational Unit) 3.4 STRUCTURE PHYSIQUE 3.4.1 Contrleur de domaine (Domain Controller)
KERBEROS 4.1 4.2 INTRODUCTION GESTION DES CLES OBJECTIFS 5.1.1 Structure physique 5.1.2 Structure logique SCENARIO 1 : DEMARRAGE DUN ORDINATEUR DANS UN DOMAINE SCENARIO 2 : AUTHENTIFICATION DANS UN DOMAINE SCENARIO 3 : ACCES A UNE RESSOURCE PARTAGEE DANS UN DOMAINE 5.4.1 Principe 5.4.2 Configurations SCENARIO 4 : AUDIT DE LA RESSOURCE PARTAGEE 5.5.1 Introduction 5.5.2 SID 5.5.3 Access Tokens 5.5.4 Descripteurs de scurit 5.5.5 Principe
ETAPE 1 : 1 DOMAINE 5.1 5.2 5.3 5.4 5.5
ETAPE 2 : 2 DOMAINES DANS UNE FORET 6.1 OBJECTIFS 6.1.1 Structure physique 6.1.2 Structure logique 6.2 ACTIVE DIRECTORY 6.2.1 Groupe dutilisateurs (Users group) 6.2.2 Espace de noms (Namespace) 6.2.3 Noms (Name ) 6.2.4 Nomination dobjets 6.2.5 Arbre (Tree) 6.2.6 Fort (Forest) 6.2.7 Schma 6.2.8 Catalogue global
-3-
Diplme 2001
6.3 6.4 6.5 7 7.1 7.2 SCENARIO 1 : DNS SCENARIO 2 : REPLICATION SCENARIO 3 : SITE

50 52 54 56 56 56 58 60 60 60 61 62 63 65 65 65 65 66 66 66 66 67 67 67 67 69 69 69 69 70 70 70 71 72 72 74 74 74 74 75 76
ETAPE 3 : 2 DOMAINES DANS 2 FORETS OBJECTIFS 7.1.1 Structure physique 7.1.2 Structure logique DNS 7.2.1 Nouveauts 7.2.2 SRV record type 7.2.3 Dynamic DNS 7.2.4 Zone de recherche 7.2.5 Vulnrabilit : Transferts de zone DNS SCENARIO 1 : DNS 7.3.1 Principe 7.3.2 Ports utiliss 7.3.3 Configuration SCENARIO 2 : TRUST 7.4.1 Principe 7.4.2 Ports utiliss 7.4.3 Configuration SCENARIO 3 : REPERTOIRE CONFIDENTIEL 7.5.1 Principe 7.5.2 Ports utiliss 7.5.3 Configuration
7.3
7.4
7.5
ETAPE 4 : AUTHENTIFICATION SUR UN SERVEUR WEB 8.1 OBJECTIFS 8.1.1 Structure physique 8.1.2 Structure logique 8.2 SCENARIO 1 : SERVEUR WEB IIS 5.0 8.2.1 Principe 8.2.2 Authentification intgre de Windows 8.2.3 Diffrentes variantes daccs un serveur WEB 8.2.4 Ports utiliss 8.2.5 Configuration
PROBLEMES GENERAUX RENCONTRES 9.1 9.2 9.3 9.4 P ARTAGE DE FICHIERS ET D IMPRIMANTES SOUS WINDOWS 2000 SERVER LOCALISATION DU CONTROLEUR DE DOMAINE FONCTION NAT ACTIVEE PAR DEFAUT SUR LE ROUTEUR LIGHTNING IMPOSSIBLE DANALYSER LE TRAFIC DES ROUTEURS LIGHTNING
10
CONCLUSION
-4-
Diplme 2001
1 PRSENTATION DU MMOIRE DE DIPLME

De nos jours, beaucoup dorganisations et dentreprises possdent un systme informatique compos de plusieurs ordinateurs. Ces systmes informatiques sont connects en rseau pour faciliter lchange dinformations entre les diffrents utilisateurs. La problmatique de lchange dinformations dans un rseau informatique reste la mme quel que soit le systme utilis. Chaque utilisateur devra accder des ressources (fichiers, imprimantes, etc.) ou partager ses ressources pour travailler avec dautres utilisateurs. Dans ce travail de diplme, ltude se portera sur la problmatique du partage de ressources, accessibles par certains utilisateurs dans un rseau Windows 2000. Lorsquon partage des ressources, la notion dautorisation daccs aux ressources intervient. Ces accs seront donc diffrents pour chaque utilisateur en fonction du travail quil doit effectuer. Pour simplifier ladministration de ces autorisations, la notion de groupes dutilisateurs permet de rassembler des utilisateurs qui possdent les mmes droits daccs. Par exemple, dans une cole, les professeurs et les tudiants accdent un mme rpertoire partag, appel Documents, qui contient de la documentation. Les professeurs ont les autorisations de lecture et dcriture alors que les tudiants peuvent seulement lire ces documents . Pour illustrer cet exemple, la figure 1.1 reprsente un utilisateur qui veut accder un rpertoire partag. FIGURE 1.1 : ACCS UNE RESSOURCE PARTAGE
Ressources
File Server Client \\server\Documents
Printer
Le systme dexploitation impos est Windows 2000. Il possde une gestion des ressources dun rseau informatique, grce un annuaire centralis appel Active Directory . Ce travail de diplme portera son tude principalement sur Active Directory et sur larchitecture rseau de Windows 2000.
-5-
Diplme 2001
2 AUTORISATIONS NTFS
2.1 INTRODUCTION NTFS (NT File System ) est le systme de fichiers utilis par Windows NT et 2000. La diffrence principale entre ce systme de fichiers et le systme de fichiers de Windows 95/98 (FAT File Allocation Table ) est la gestion des autorisations. Les autorisations (permissions) donnent aux utilisateurs la possibilit daccder une ressource. Elles dfinissent le type daccs aux ressources et les actions autorises sur celles-ci. Les droits , aussi appels privilges , permettent aux utilisateurs dexcuter des tches systmes telles que louverture dune session locale, une sauvegarde, etc. Les autorisations NTFS sappliquent en toutes circonstances, ds quun utilisateur accde un fichier ou un dossier partir dun poste de travail ou du rseau. Les autorisations attribues au niveau dossier sont diffrentes de celles attribues au niveau fichier. Dans un rseau, laccs un rpertoire partag peut seffectuer soit depuis lordinateur o se trouve la ressource partage, soit depuis le rseau. Ces accs sont appels respectivement autorisations locales et autorisations de partage . Pour rsumer, il existe deux niveaux : Les autorisations locales : elles sont attribues sur un poste de travail soit au niveau dun dossier, soit au niveau dun fichier. Les autorisations de partage : contrairement aux autorisations locales, elles sont attribues depuis le rseau sur un rpertoire partag. En effet, il nest pas possible de partager seulement un fichier.
La figure 2.1 illustre quel niveau se trouvent ces autorisations. Lorsque les clients dsirent accder au rpertoire partag, ils doivent aussi bien satisfaire les autorisations de partage que les autorisations locales. Depuis le serveur de fichiers, seules les autorisations locales sont testes au niveau dossier et fichier. FIGURE 2.1 : AUTORISATIONS NTFS
Autorisations au niveau dossier Autorisations au niveau fichier
Autorisations locales
Share Folder
Autorisations de partage
File Server
Client
Client
-6-
Diplme 2001 2.2 AUTORISATIONS LOCALES 2.2.1 Autorisations au niveau dossier
Il existe six types dautorisations au niveau dossier ; elles permettent lutilisateur de : Write : crer de nouveaux fichiers et sous-dossiers dans le dossier, modifier les attributs du dossier (lecture seule, fichier cach, fichier systme ou archive) et dafficher le propritaire et les autorisations du dossier. Read : consulter les fichiers et les sous-dossiers du dossier, et afficher le propritaire, les autorisations et les attributs du dossier. List Folder-Contents : consulter le nom des fichiers et sous-dossiers du dossier. Read & Execute : se dplacer dun dossier lautre pour accder dautres fichiers et dossiers, et effectuer les oprations permises par les autorisations Read et List Folder-Contents. Modify : supprimer le dossier et deffectuer les oprations permises par les autorisations Write et Read & Execute. Full Control : modifier les autorisations, sapproprier et supprimer des sousdossiers et des fichiers, mais aussi effectuer les oprations permises par toutes les autres autorisations ci-dessus. Autorisations au niveau fichier
2.2.2
Les autorisations locales au niveau fichier ne sont pas les mmes que les autorisations au niveau dossier. Il en existe cinq types : Write : craser le fichier, modifier ses attributs et afficher son propritaire et ses autorisations. Read : lire le fichier et afficher les attributs, les propritaires et les autorisations du fichier. Read & Execute : excuter des applications et effectuer les oprations permises par lautorisation Read. Modify : supprimer le fichier et effectuer les oprations permises par les autorisations Write et Read & Execute. Full Control : modifier les autorisations et sapproprier le fichier, mais aussi effectuer les oprations permises par toutes les autres autorisations ci-dessus.
-7-
Diplme 2001 2.2.3 Autorisations multiples
Lorsque lutilisateur possde plusieurs autorisations sur le mme dossier ou fichier, il y a deux rgles importantes : Le refus (deny) l'emporte sur toutes les autres autorisations . Les autorisations NTFS sont cumulatives. Par exemple, un utilisateur qui possde les autorisations de lecture sur un rpertoire et qui est membre dun groupe qui bnficie des autorisations dcriture, lutilisateur profitera la fois des autorisations de lecture et dcriture sur ce rpertoire.
Une troisime est importante : Les autorisations au niveau fichier sont prioritaires sur les autorisations au niveau dossier. Par exemple, un utilisateur qui possde les autorisations sur un fichier pourra y accder ce fichier mme sil na pas les autorisations sur le dossier dans lequel le fichier se trouve.
Remarque
Par dfaut, les autorisations mises sur un dossier parent sont transmises aux sous -dossiers et fichiers quil contient. La figure 2.2 illustre cette fonction active par dfaut (Allow inheritable permissions from parent to propagate to this object ) sous Windows 2000. FIGURE 2.2 : AUTORISATIONS RCURSIVES
-8-
Diplme 2001 2.3 AUTORISATIONS DE PARTAGE
Les autorisations de partage seffectuent au niveau du rseau. Il en existe trois types diffrents qui peuvent tre utiliss sur une ressource partage. Read : Les utilisateurs peuvent afficher le rpertoire et les sous-rpertoires et y accder, lire les fichiers et excuter le s programmes. Change : Les mmes autorisations que pour Read, mais, en plus, les utilisateurs peuvent crer des sous-rpertoires et des fichiers, les modifier, et les supprimer Full Control : L'utilisateur a toutes les autorisations ci-dessous, mais en plus, il peut modifier les autorisations NTFS.
Les autorisations de partage sont illustres par la figure 2.3. FIGURE 2.3 : AUTORISATIONS DE PARTAGE
-9-
Diplme 2001
3 ACTIVE DIRECTORY
3.1 INTRODUCTION Ce chapitre fournit une introduction Active Directory. Quest-ce quun service dannuaire ? Un annuaire est une source dinformations distribue. Par exemple, un annuaire tlphonique contient des informations sur des abonns au tlphone. Dans un systme informatique distribu ou un rseau informatique, lannuaire contient des informations sur des ressources, comme des applications, des imprimantes, des bases de donnes, des ordinateurs, des comptes dutilisateurs, etc. Les utilisateurs veulent trouver et utiliser ces ressources, et les administrateurs veulent contrler leur utilisation. Quel est lintrt de disposer dun service dannuaire ? Un service dannuaire est lun des lments essentiel dun systme informatique. Il arrive souvent que les utilisateurs et les administrateurs ne connaissent pas le nom exact des ressources qui les intressent. Avec un peu dinformation sur cette ressource, ils peuvent interroger lannuaire pour obtenir une liste des ressources correspondant leur recherche. Un service dannuaire peut : Centraliser les ressources disponibles sur un rseau. Distribuer un annuaire de nombreux ordinateurs au sein dun rseau. Dupliquer un annuaire pour le rendre disponible beaucoup dutilisateurs et pallier une ventuelle dfaillance.
Quest-ce que Active Directory ? Active Directory est le service dannuaire fourni par Microsoft. Il est intgr au systme dexploitation Windows 2000 Server. Grce lui, il est beaucoup plus facile de grer et dadministrer un rseau informatique, car il peut contenir toutes les informations relatives aux ressources du rseau. Par exemple, une petite entreprise de dix personnes naura peut-tre pas besoin dutiliser Active Directory. Par contre, lorsquon dpasse ce nombre de personne, il devient trs difficile de grer les utilisateurs sur chaque poste de travail. Active Directory permet de centraliser la gestion des utilisateurs dans un rseau informatique.
- 10 -
Diplme 2001 3.2 COMPOSANTS 3.2.1
Objet et attribut (Object and attribute)
Dans la section prcdente, les ressources correspondent aux lments qui peuvent tre stocks dans le service dannuaire. Ces ressources constituent les objets dActive Directory. FIGURE 3.1 : OBJETS
Un objet est un ensemble dattributs nomms et distincts qui reprsente une ressource rseau. Les attributs dcrivent e l s caractristiques des objets dans lannuaire. Par exemple, les attributs dun compte utilisateur peuvent tre le prnom et le nom de lutilisateur, ainsi que son adresse lectronique. FIGURE 3.2 : ATTRIBUTS DES OBJETS
- 11 -
Diplme 2001
Les objets peuvent tre organiss en classes, autrement dit les regrouper en fonction dune logique particulire. Les comptes dutilisateurs, groupes et ordinateurs sont des exemples de classe. 3.2.2 Compte dutilisateurs (Users account)
Un compte dutilisateur donne un utilisateur la possibilit de se connecter un domaine afin daccder aux ressources rseau ou de se connecter un ordinateur afin daccder aux ressources de cet ordinateur. Il existe deux types de comptes dutilisateurs : Comptes dutilisateurs locaux : Ces comptes permettent uniquement aux utilisateurs de se connecter lordinateur o un compte dutilisateur local est prsent et daccder ses ressources. Lorsquun compte dutilisateur local est cr, Windows 2000 cre uniquement le compte dans la base de donne locale de scurit de cet ordinateur. Windows 2000 ne transmet pas les comptes locaux sur le contrleur de domaine. Il nest pas possible de crer des comptes dutilisateurs locaux sur un contrleur de domaine. De plus, ladministrateur du domaine ne peut ni grer les proprits dun compte dutilisateur local, ni accorder dautorisations daccs aux ressources de ce domaine moins quil ne se connecte lordinateur local par le biais dActive Directory de la manire suivante : Active Directory Users and Computers, puis en slectionnant lordinateur concern dans Computers. Ensuite, pour accder la gestion de lordinateur, il suffit de cliquer sur Manage. Comptes dutilisateurs de domaine : Ces comptes dutilisateurs de domaine permettent aux utilisateurs de se connecter au domaine et daccder aux ressources, quel que soit leur emplacement sur le rseau. Ils sont crs dans Active Directory sur le contrleur de domaine, puis rpliqus sur tous les contrleurs du domaine.
- 12 -
Diplme 2001
La figure 3.3 illustre les diffrents types de comptes dutilisateurs lintrieur dun domaine.
FIGURE 3.3 : COMPTES D UTILISATEURS

Comptes d'utilisateurs locaux Comptes d'utilisateurs de domaine
Client
Domain Controller File Server
Domaine
En plus de ces deux comptes dutilisateurs, il existe un troisime type de compte appel compte intgr . Ils sont crs automatiquement par Windows 2000. Les plus frquents sont Administrator et Guest . 3.2.3 Groupe dutilisateurs (Users group)
Un groupe est un ensemble de compte. Les groupes simplifient ladministration en permettant dattribuer des autorisations et des droits un groupe dutilisateurs plutt qu chaque compte dutilisateur individuel. Sur un ordinateur unique, les groupes dutilisateurs sont appels groupes locaux . Un groupe local sert accorder des autorisations daccs aux ressources de lordinateur sur lequel le groupe a t cr. Ds que lon possde un rseau dordinateur (domaine), il existe deux types de groupes : Groupes de scurit : Ces groupes permettent dattribuer des autorisations daccs aux ressources. Ils possdent toutes les caractristiques des groupes de distribution. Groupes de distribution : Ce type de groupe nest pas utilis dans ce travail de diplme.
- 13 -
Diplme 2001
Aprs avoir dfini le type du groupe, il faut spcifier ltendue du groupe. Les tendues des groupes permettent dutiliser les groupes de diffrentes faons pour attribuer des autorisations. Ltendue dtermine quel endroit du rseau on utilise le groupe pour lui attribuer des autorisations. Deux tendues des groupes sont disponibles et sont rsums sous forme de tableau :
Appartenance
Accs aux Ressources
Groupes de domaines locaux Les membres sont issus de nimporte quel domaine Les membres accdent aux ressources du domaine local
Groupes globaux Les membres sont issus du domaine local Les membres accdent aux ressources de nimporte quel domaine
La figure 3.4 illustre lEcole dIngnieurs de Genve sous forme de domaine ( 3.3.1). Laccs aux ressources est reprsente par les trois tendues des groupes. De nouveau, il nest pas possible de crer des groupes locaux sur un contrleur de domaine. FIGURE 3.4 : GROUPES DUTILISATEURS
EIG Groupes globaux
Groupes de domaine locaux Groupes locaux Client
Domain Controller File Server Domaine
- 14 -
Diplme 2001 3.3 STRUCTURE LOGIQUE
La structure logique dActive Directory est reprsente par les composants suivants : domaines et units dorganisation. 3.3.1 Domaine (Domain)
Un domaine est dfini par une limite de scurit unique dans le cadre dun rseau informatique tournant sous Windows 2000. Active Directory est constitu dun ou plusieurs domaines. Un domaine peut recouvrir plusieurs sites physiques. Chaque domaine a sa propre politique de scurit et ses propres relations de scurit avec les autres domaines. 3.3.2 Unit dorganisation (Organizational Unit)
Une unit dorganisation est un conteneur qui sert organiser les objets dun domaine en groupes administratifs logiques qui refltent la structure fonctionnelle. Une unit organisationnelle peut contenir des comptes dutilisateurs, des groupes, des ordinateurs, des applications et des partages de fichiers, ainsi que dautres units dorganisation du mme domaine. Il est aussi possible de dlguer ladministration des utilisateurs et des ressources. La figure 3.5 reprsente des units dorganisation sous deux formes : La premire est une capture dcran dActive Directory avec les cinq objets par dfaut (Buitin, Computers, Domain Controllers, ForeignSecurityPrincipals et Users). Deux units dorganisation sont ajoutes qui sont Professeurs et Etudiants . La seconde est un schma de la premire figure. Lavantage de cette figure est lillustration de la hirarchie des units dorganisation. Par contre, les objets par dfaut ne sont pas dessins pour plus de clart. FIGURE 3.5 : UNITES D ORGANISATION Units dorganisation Utilisateurs
Domaine
- 15 -
Diplme 2001 3.4 STRUCTURE PHYSIQUE 3.4.1
Contrleur de domaine (Domain Controller)
Un contrleur de domaine est un ordinateur sur lequel est install Windows 2000 Server et Active Directory . Chaque contrleur de domaine stocke soit une partie, soit toutes les informations dActive Directory relatives ce domaine, gre les modifications apportes ces informations et les rplique vers les autres contrleurs du mme domaine. Il soccupe aussi des ouvertures de session, de lauthentification et de la recherche dans lannuaire. Il faut au minium un contrleur de domaine par domaine.
- 16 -
Diplme 2001
4 KERBEROS
4.1 INTRODUCTION Cette section introduit un petit rappel concernant Kerberos. Kerberos est le protocole dauthentification utilis par Windows 2000. Il permet dauthentifier diffrentes entits. Entit signifie que Kerberos est capable non seulement dauthentifier un simple utilisateur, mais surtout des clients, serveurs, etc. Ces entits sont appeles clients Kerberos . La figure 4.1 illustre ce protocole : 1. Lauthentification dun client (une entit) auprs du serveur Kerberos. 2. Lauthentification du serveur Kerberos (une autre entit) auprs dun client. FIGURE 4.1 : AUTHENTIFICATION MUTUELLE AVEC KERBEROS
1. Client Authentification 2. KDC Authentification Mutual Authentification Client KDC
Lorsque les deux entits se sont authentifis, on parle dauthentification mutuelle . Kerberos repose sur lutilisation de cl symtrique appele Long-Term Symmetric Key ainsi que sur des cls de session (session key) qui permettent au client et au serveur Kerberos de dialoguer avec des messages chiffrs. Pour chiffrer ces messages laide de cls symtriques, Kerberos utilise un chiffrement driv du DES (Data Encryption Standard) appel RC4-HMAC sur 128 bits. Active Directory intgre un serveur Kerberos, aussi appel KDC qui possde la correspondance Client Cl symtrique. Cette cl symtrique, qui est le secret partag , est connue seulement du client et KDC. Quelques termes importants pour la comprhension de ce protocole : Key Distribution Center (KDC) : le centre de distribution de cl est un service rseau qui accepte les requtes de tickets manant des clients Kerberos. Il comprend le service dauthentification (AS) ainsi que le service de dlivrance des tickets (TGS). Authentication Service (AS) : le service dauthentification soccupe dauthentifier les clients Kerberos et octroie un ticket (TGT) pour le TGS. Ticket Granting Service (TGS) : le service de dlivrance des tickets, aussi appel service de tickets, vrifie le TGT de lutilisateur et accorde un ticket pour le service dsir. Ticket Granting Ticket (TGT) : le "ticket accordant le ticket" est le ticket qui est donn par lAS pour le TGS.
- 17 -
Diplme 2001
Lorsquon installe un contrleur de domaine ( Annexe 1), deux services sont excuts au dmarrage. Ces services sont ncessaires au bon fonctionnement de Kerberos. Centre de distribution des cls (KDC) : ce service soccupe de lauthentification des clients dans le domaine Windows 2000 grce au protocole Kerberos. Il est divis en deux sous-services : le service dauthentification (AS) et le service de dlivrance des tickets (TGS). Active Directory (AD) : cet annuaire central gre les diffrents comptes utilisateurs, les ressources du domaine, etc., grce au protocole LDAP.
La figure 4.2 illustre lchange de paquets avec le protocole Kerberos entre un client et un serveur (de fichiers par exemple). FIGURE 4.2 : ARCHITECTURE DTAILLE DE K ERBEROS
AS_Req : C wants TGS AS K_C AS_Rep : {TGT} K_TGS , {K_C,TGS} K_C K_TGS, K_C
TGS_Req : C wants S, {A_C} K_C,TGS , {TGT} K_TGS Kerberos Client TGS_Rep : {T_S} K_S , {K_C,S} K_C,TGS
K_TGS K_S KDC TGS
AP_Req : {T_S} K_S , {A_C} K_C,S
K_S Server
AP_Rep : {Timestamp} K_C,S
Lgende {X}K_Y {Z}K_V,W signifie que X est crypt avec la cl prive de Y signifie que Z est crypt avec la cl de session entre V et W.
Voici un tableau qui rsume les diffrentes abrviations utilises (figure 4.2) : C : Kerberos Client K_TGS : TGS private key A_C : Client Authenticator K_S : Server private key ADR : Client Address S : Server K_C,TGS : TGS session key T_S : Ticket for Server K_C,S : Server session key Life : Ticket life length
Pour aider la comprhension, les diffrentes cls que possde chaque entit dans leur cache sont indiques lintrieur de lillustration.
- 18 -
Diplme 2001 Ticket
Chaque ticket a la forme suivante : {S, C, ADR, Timestamp, Life, K_C,S} K_S Il permet de donner au serveur S lidentit du client C ainsi que ladresse de ce client ADR. Les tickets peuvent tre utiliss plusieurs fois et ont une date limite de validit donne par le timestamp. Authentifieur
Lauthentifieur a la forme suivante : {C, ADR, Timestamp} K_C,S. Contrairement au ticket, il ne peut tre utilis quune seule fois . Il doit tre gnr chaque fois que lutilisateur souhaite utiliser un service (ressource). Cest lutilisateur lui- mme qui le gnre. Lauthentifieur permet dviter les attaques de type Replay (un pirate ayant captur le ticket et lauthentifieur renvoie ceux-ci pour accder au service), il convient que le KDC garde une trace des authentifieurs dj utiliss. Remarques Lutilisation des timestamps suppose que les horloges du serveur et du client soient synchronises. Il est possible de prouver lidentit du serveur au client, pour cela il suffit de renvoyer le timestamp du client incrment de un, le tout cod avec la cl de session. Un serveur pirate naurait pas pu dcoder le ticket et donc se procurer le timestamp de lauthentifieur. On parle alors dauthentification mutuelle.
Utilitaires
Pour aider mieux comprendre quels tickets sont stocks dans la cache de lordinateur, un utilitaire permet dafficher ce cache lorsque lutilisateur sest authentifi dans le domaine Windows 2000. Il existe deux versions de cet utilitaire : klist.exe en mode texte et kerbtray.exe en mode graphique.
Source :
Rapport du projet de semestre Kerberos Chapitre 2.2
- 19 -
Diplme 2001 4.2 GESTION DES CLS
Dans le cas dun utilisateur, le secret partag est gnr partir dune fonction de hachage (MD5) sur son mot de passe. Le KDC connaissant aussi le mot de passe de lutilisateur, il peut, lui aussi, gnr la mme cl symtrique (figure 4.3). Cette manire facilite la gestion de son secret, car lutilisateur peut changer dordinateur sans problme. FIGURE 4.3 : SECRET PARTAG ENTRE LUTILISATEUR ET LE KDC
AD
Password MD5 Long-Term Symmetric Key Kerberos Client
Secret partag
Password MD5 Long-Term Symmetric Key KDC
Dans le cas dun serveur (par exemple un serveur de fichiers), il ny a pas un mot de passe qui permette de gnrer la cl. Dans la documentation officielle de Kerberos (RFC 1510), aucune information indique comment doit tre gnre cette cl. Les extraits suivants sont tirs de la RFC : "The authentication servers maintain a database of principals (i.e., users and servers) and their secret keys." 1., page 5 "Secret key: An encryption key shared by a principal and the KDC, distributed outside the bounds of the system, with a long lifetime. In the case of a human user's principal, the secret key is derived from a password. " 1.3., page 10 "The authentication server looks up the client and server principals named in the KRB_AS_REQ in its database, extracting their respective keys." 3.1.3., page 17 "If keys are derived from user-typed passwords, those passwords need to be well chosen to make brute force attacks more difficult." 6., page 68
Dans notre cas, le " principal" correspond au serveur de fichiers. On peut remarquer que la RFC reste floue sur la faon dont cette cl symtrique est gnre.
- 20 -
Diplme 2001
Concernant la gestion du secret, le problme nest pas le mme quavec un utilisateur. Il suffit que cette cl soit gnre une fois et quelle reste secrte. La scurit ncessaire pour atteindre cet objectif nest pas dfini dans la RFC : "Principals must keep their secret keys secret. If an intruder somehow steals a principal's key, it will be able to masquerade as that principal or impersonate any server to the legitimate principal. " 1.2., page 8
Daprs ces diffrents extraits, on peut penser que chaque implmentation de Kerberos peut dfinir sa propre mthode pour partager le secret (la cl). Limplmentation de Microsoft est de gnrer le secret sur le KDC, puis de le transmettre au serveur de fichiers. Ceci est ralis lorsquon ajoute le serveur dans le domaine (join a domain, Kerberos 3.6.1).
Sources :
RFC 1510 The Kerberos Network Authentication Service (V5) http://sunsite.cnlab-switch.ch/ftp/doc/standard/rfc/15xx/1510 Windows 2000 Magazine Kerberos Is on Guard in Windows NT 5 InstantDoc ID : 138
- 21 -
Diplme 2001
5 ETAPE 1 : 1 DOMAINE
5.1 OBJECTIFS Lobjectif de ce scnario est dtudier laccs une ressource dans un domaine Windows 2000 (EIG-SOUCHON ). 5.1.1 Un domaine avec un contrleur de domaine (VECTRA18) Un serveur de fichiers avec un rpertoire partag (VECTRA17) Un client (VECTRA16) Un serveur DNS dynamique Quatre utilisateurs et deux groupes Trois adresses IP publiques
Structure physique
Disposant de trois ordinateurs, le rseau est mis en uvre de la faon suivante :

Domain Controller Client Active Directory
Data
File Server
\\VECTRA17\Partage
VECTRA16
VECTRA18
VECTRA17
Ce tableau rsume la configuration rseau des trois ordinateurs constituant le domaine.
EIG-SOUCHON IP Address Subnet Mask Gateway DNS Server Operating System
Client
VECTRA16
Domain Controller
VECTRA18
File Server
VECTRA17
129.194.187.57 255.255.252.0 129.194.184.3 129.194.187.59 Windows 2000 Professional
129.194.187.59 255.255.252.0 129.194.184.3 129.194.187.59 Windows 2000 Server
129.194.187.58 255.255.252.0 129.194.184.3 129.194.187.59 Windows 2000 Professional
- 22 -
Diplme 2001 5.1.2 Structure logique
La figure 5.1 illustre la configuration dActive Directory. En plus des units dorganisation cres par dfaut, quatre units dorganisation sont ajoutes ( 3.3.2). Ces units dorganisation servent respectivement pour les utilisateurs (professeurs et tudiants), les groupes et les ressources. FIGURE 5.1 : HIRARCHIE ACTIVE DIRECTORY
Units dorganisation : 1. Professeurs 2. Etudiants 3. Groupes 4. Ressources
Domaine EIG-SOUCHON Aprs avoir cr ces quatre utilisateurs ( 3.2.2) et ces deux groupes ( 3.2.3), une ressource (rpertoire) est partage sur VECTRA17. Cela permet dtudier les autorisations sur ce rpertoire soit depuis un ordinateur client (VECTRA16), soit directement depuis le serveur de fichiers (VECTRA17).
VECTRA18 : Contrleur de domaine La configuration du contrleur de domaine dans lannexe 2. Crez quatre units dorganisations nommes Professeurs , Etudiants , Groupes et Ressources (figure 5.2). FIGURE 5.2 : QUATRE UNITES DORGANISATION SUPPLMENTAIRES
Nouvelles UO Crez quatre utilisateurs nomms eleve_1, eleve_2 dans Etudiants et prof_1, prof_2 dans Professeurs .
- 23 -
Diplme 2001
Crez deux groupes nomms Etudiants et Professeurs dans Groupes. Le type de groupe choisi est Security et ltendue est Domain Local, car dans ce scnario, un seul domaine est utilis. Ajoutez les quatre utilisateurs dans les deux groupes (figure 5.3). FIGURE 5.3 : S LECTION DES UTILISATEURS DANS UN GROUPE
Publier un rpertoire partag nomm Repertoire Partage dans Ressources. Le rpertoire partag se trouve sur VECTRA17 (\\VECTRA17\Partage).
VECTRA17 : Serveur de fichiers Pour partager un rpertoire, il faut excuter les oprations dcrites dans lannexe 3. Le nom du rpertoire (Share Name) est Repertoire Partage . Les autorisations de partage sont rsumes dans le tableau ci-dessous ( 2.3) : Groupe Etudiants X Groupe Professeurs X X Groupe Domain Admins X X X
Read Change Full Control
- 24 -
Diplme 2001
Architecture rseau base sur Windows 2000 La figure 5.4 illustre les autorisations de partage aprs avoir configur les groupes ci-dessus. FIGURE 5.4 : AUTORISATIONS DE PARTAGE
Les autorisations locales sont dcrites dans le tableau ci-dessous. On remarque quon peut tre plus "prcis" avec ces autorisations ( 2.2). Groupe Etudiants X X X Groupe Professeurs X X X X X Groupe Domain Admins X X X X X X
List Folder Contents Read Read & Execute Write Modify Full Control
La figure 5.5 illustre ces autorisations locales. FIGURE 5.5 : AUTORISATIONS LOCALES
En plus des trois groupes rajouts, un utilisateur Administrator local et un groupe Administrators local sont prsents par dfaut .
- 25 -
Diplme 2001 VECTRA16 : Client
Les tests sont effectus en sauthentifiant avec les diffrents utilisateurs des groupes cres sur le domaine EIG-SOUCHON . Laccs la ressource seffectue par lintermdiaire de My Network Places Entire Network Directory EIG-SOUCHON. Cette mthode permet davoir accs lensemble des lments dActive Directory. Seuls les comptes dutilisateurs de domaine peuvent accder la ressource grce Directory. Les autres comptes, par exemple locaux, ne disposent pas de Directory. Lavantage de Directory est de pouvoir accder une ressource partage sans devoir connatre le serveur qui lhberge. Par contre, les ressources doivent tre publies dans Active Directory ( Annexe 2). FIGURE 5.6 : DIRECTORY
Lautre mthode est de taper directement ladresse du serveur de fichiers partir de Start Run : \\VECTRA17\Partage . FIGURE 5.7 : RUN
Remarque Chaque ordinateur du domaine fonctionne sans NetBIOS . Ce protocole propritaire de Microsoft fonctionne sur le principe des broadcasts. Lannexe 6 dcrit comment dsactiver ce protocole ( Kerberos Annexe 1, 6.4).
- 26 -
Diplme 2001
5.2 SCNARIO 1 : DMARRAGE DUN ORDINATEUR DANS UN DOMAINE Lorsquun ordinateur membre dun domaine Windows 2000 dmarre, il excute une suite dtapes ncessaires pour que tout fonctionne correctement. Il en existe huit diffrents. Ces tapes sont excutes les unes la suite des autres. Cette section en introduit cinq sur les huit. Par contre, le processus relatif lauthentification est expliqu en dtail. 1. Connexion au rseau : Lordinateur commence par charger les protocoles TCP/IP. TCP/IP peut tre configur statiquement, cest--dire que les paramtres sont rentrs manuellement sur lordinateur. La configuration statique est plutt rserve pour des serveurs ou des routeurs. Lautre manire est de configurer TCP/IP dynamiquement. Pour cela, un serveur DHCP doit tre prsent sur le rseau pour attribuer ces paramtres. 2. Localisation du contrleur de domaine : Lorsque lordinateur peut accder au rseau, il doit localiser le contrleur de domaine. Le client interroge le serveur DNS pour les enregistrements de ressources SRV ( 5.1.1). Ces enregistrements contiennent beaucoup dinformations concernant les contrleurs de domaines (Cration dun canal scuris bas sur le protocole propritaire SMB). 3. Authentification Kerberos et cration de la session : Aprs avoir tabli un canal scuris, le client doit sauthentifier laide du protocole Kerberos. Pour commencer, il va demander un TGT au service dauthentification (AS). Ce TGT porte le nom krbtgt/NOM_DU_DOMAINE. Ensuite, il effectue trois demandes de tickets : Un ticket pour lordinateur lui-mme portant le nom de lordinateur plus un "$" (par exemple C1$). Un deuxime ticket pour le contrleur de domaine ayant le mme type de nom que le ticket prcdent. Le troisime ticket est utilis pour accder Active Directory grce au protocole LDAP (ldap/NOM_DU_DOMAINE).
On parle dauthentification mutuelle lorsque lutilisateur possde les tickets C1$ et DC1$. Ces tickets sont visibles ds louverture dune session sur un domaine et permettent soit dauthentifier les ordinateurs, soit daccder aux diffrents services. La figure 5.8 illustre ces tickets sur un client membre du domaine EIG_SOUCHON .
- 27 -
Diplme 2001
Architecture rseau base sur Windows 2000 FIGURE 5.8 : TICKETS PRSENTS SUR UN CLIENT (C1)
Sur la figure 5.8, on remarque que le cache de lutilisateur possde cinq tickets. Le ticket krbtgt/EIG_SOUCHON est prsent deux fois , mais avec des flags diffrents. 4. Synchronisation de lhorloge : Pour que le protocole Kerberos fonctionne correctement, il faut que les ordinateurs membres du domaine possdent une horloge synchronise sur celle du contrleur de domaine. En effet, Kerberos utilise la notion de Timestamps, qui est base sur le temps. Le protocole NTP est utilis. 5. Mise jour du DNS dynamiquement : Le dernier processus lors du dmarrage dun ordinateur, est de mettre jour le nom de la machine dans le serveur DNS. Cela simplifie grandement ladministration du serveur DNS ( 7.2.3). Pour plus dinformations sur les processus lors du dmarrage dun ordinateur membre dun domaine Windows 2000, Microsoft a publi une trs bonne documentation appele Windows 2000 Startup and Logon Traffic Analysis. Annexe 9 : Une analyse de protocole correspondante ce scnario est disponible en annexe. Elle est faite avec Ethereal.
Source :
Microsoft TechNet Windows 2000 Startup and Logon Traffic Analysis
- 28 -
Diplme 2001
5.3 SCNARIO 2 : AUTHENTIFICATION DANS UN DOMAINE Cette section explique en dtail les diffrentes tapes lorsque lutilisateur dsire ouvrir une session de travail dans le domaine. FIGURE 5.9 : AUTHENTIFICATION DANS UN DOMAINE
1. CTRL + ALT + DEL 2. Username + Password Password WinLogon
3. Request a ticket for TGS MD5 K_C 5. Return TGT to client 7. Send TGT and resquest for ticket to principal 8. Return ticket for principal TGS AS
Kerberos SSP
SSPI
KDC 6. ** 4. *
TGT Ticket Cache
* : User's Password in AD ** : TGT to cache
AD
Domain Controller
Client
1. Lutilisateur tape CTRL + ALT + DEL et la fentre de WinLogon apparat. Chaque client Windows 2000 implmente une interface qui fournit des services de scurit (SSPI - Security Service Provider Interface). WinLogon fait partit de ces services de scurit ainsi que Kerberos SSP. 2. Lutilisateur rentre son nom dutilisateur (Username) ainsi que son mot de passe (Password ). Le client va lui aussi gnrer la cl K_C grce au mot de passe. 3. Kerberos SSP fait une demande au service dauthentification (AS) pour obtenir un TGT. 4. De son cot, le KDC recherche le mot de passe de lutilisateur concern dans Active Directory. Grce ce mot de passe et la fonction de hachage (MD5), il obtient la cl symtrique K_C. 5. Le service dauthentification envoie un TGT et une cl de session chiffre avec la cl K_C. Grce au TGT, lutilisateur ne doit plus rentrer son mot de passe, car le TGT est rutilis pour les autres authentifications. Tout devient transparent pour lutilisateur.
- 29 -
Diplme 2001
Architecture rseau base sur Windows 2000 6. Si le TGT est valable, le client va le mettre dans un cache qui stocke les tickets de lutilisateur. 7. Pour finir, Kerberos SSP effectue plusieurs demandes pour des services diffrents (voir cette section prcdente). 8. Pour chaque demande, le TGS envoie un ticket qui permet daccder au service correspondant.
Les tapes 7 et 8 sont effectus plusieurs fois, car le client doit possder diffrents tickets. Annexe 10 : Une analyse de protocole correspondante ce scnario est disponible en annexe. Elle est faite avec Ethereal.
Sources :
Windows 2000 Magazine How Kerberos Fits into the Windows NT 5.0 Security Model InstantDoc ID : 101 Microsoft TechNet Windows 2000 Startup and Logon Traffic Analysis Microsoft MSDN Secure Networking Using Microsoft Windows 2000 Distributed Security Services http://msdn.microsoft.com/library/default.asp?url=/library/enus/dnw2k/html/msdn_distsecserv.asp Ramapo Collegue Kerberos http://ultrix.ramapo.edu/~fali/ecomm.html
- 30 -
Diplme 2001
5.4 SCNARIO 3 : ACCS UNE RESSOURCE PARTAGE DANS UN DOMAINE 5.4.1 Principe
Aprs avoir ouvert une session dans un domaine Windows 2000, lutilisateur dsire accder une ressource partage. Cette ressource est reprsente par un rpertoire partag sur un serveur de fichiers. Le client et le serveur de fichiers doivent tre membre du domaine. FIGURE 5.10 : ACCS UNE RESSOURCE PARTAGE (DTAIL)
TGT Ticket Cache 1. * 2. Send TGT and resquest for ticket to file server 3. Return ticket for server Kerberos SSP TGS AS
KDC
Domain Controller 4. Send session ticket to server
5. Send confirmation of identity to client File Server SSPI * : Is the ticket for server present ? Client
1. Lorsque lutilisateur est authentifi sur le domaine, il dsire accder la ressource partage laide de Directory. Pour cela, Kerberos SSP vrifie dans le cache si un ticket de session valide est prsent pour le serve ur de fichiers en question. 2. Si aucun ticket de session nest prsent, le TGT est envoy au TGS pour un ticket de session qui permet daccder au serveur de fichiers. 3. Le service de dlivrance des tickets renvoie un ticket de session pour pouvoir accder au serveur. Le ticket de session peut tre ensuite rutilis pour des connexions futures sur le mme serveur de fichiers sil nest pas expir. La date dexpiration est dfinie par les polices de scurit du domaine ( Kerberos, Annexe 1 6.3). 4. Ensuite, le client envoie le ticket de session quil vient dobtenir.
- 31 -
Diplme 2001
5. Si le ticket de session est valide, le serveur de fichiers renvoie une confirmation. Remarques Le ticket de session contient une cl de session unique cre par le KDC pour chiffrer les informations transfres entre le client et le serveur de fichiers. Le protocole Kerberos version 5 dfinit un champ chiffr dans les tickets de session pour transmettre les donnes dautorisations (Authorization Data), mais lutilisation de ce champ est laisse pour les applications. Windows 2000 utilise ce champ pour transmettre les ID de scurit (SID Windows Security ID) qui reprsentent lutilisateur et les groupes auxquels il appartient ( 5.5.2). Ce champ est complt par le KDC lors de lenvoi du ticket de session (Paquet 3, figure 5.10). En effet, le KDC tant li Active Directory, il connat les groupes auxquels lutilisateur est membre.
6. Grce au champ qui contient les SID, le serveur de fichiers peut accepter ou refuser laccs sa ressource en fonction des autorisations de partage, et dans un deuxime temps, des autorisations locales.
Sources :
Windows 2000 Magazine How Kerberos Fits into the Windows NT 5.0 Security Model InstantDoc ID : 101 Microsoft MSDN Secure Networking Using Microsoft Windows 2000 Distributed Security Services http://msdn.microsoft.com/library/default.asp?url=/library/enus/dnw2k/html/msdn_distsecserv.asp
5.4.2
Configurations
Deux configurations dautorisations sont possibles lorsquon accde une ressource partage. FIGURE 5.11 : ACCS UNE RESSOURCE PARTAGE
Share Folder
Client File Server
- 32 -
Diplme 2001 1. Configuration triviale
La configuration la plus simple mettre en uvre est dajouter directement les groupes globaux qui peuvent avoir accs au rpertoire partag. FIGURE 5.12 : GROUPES GLOBAUX
Security
... Professeurs Etudiants Administrateurs ...
Groupe global
File Server
Pour cela, il suffit daller dans les Properties du rpertoire. Dans longlet Security, il suffit de faire Add et dajouter les groupes dutilisateurs (figure 5.13). FIGURE 5.13 : CONFIGURATION TRIVIALE
Cette mthode est simple et facile administrer si lon possde peu de groupes globaux . Par contre, dans certains cas, un rpertoire peut contenir plusieurs centaines de groupes globaux. Dans ce cas, ladministration se complique beaucoup et les performances diminuent. En effet, lorsquun utilisateur accde au rpertoire partag, le serveur de fichiers doit tester tous les groupes prsents dans longlet Security pour savoir quelles autorisations possdent cet utilisateur.
- 33 -
Diplme 2001 2. Configuration AGDLP
Cette configuration utilise les groupes locaux du serveur de fichiers ou les groupes de domaine locaux. Elle est recommande par Microsoft : The recommended strategy for using both global and domain local groups is to put user accounts (A) into global groups (G) and then to put global groups into domain local groups (DL) and assign resource permissions (P) to the domain local groups. This strategy (AGDLP) provides for the most flexibility and reduces the complexity of assigning access permissions to network resources. AG : Affecter des utilisateurs des groupes globaux DL : Inclure des groupes globaux dans des groupes locaux au domaine P : Accorder les autorisations aux groupes locaux
Dans notre cas, on utilise les groupes locaux et non les groupes de domaines locaux. FIGURE 5.14 : GROUPES GLOBAUX DANS GROUPES LOCAUX
Security
Partage_Read Partage_Write Partage_Full ... Adminitrateurs ...
Groupes locaux
File Server
Groupes globaux
Il faut crer un groupe local par autorisation. Dans notre exemple, on va crer trois groupes locaux correspondant aux trois autorisations Read, Write et Full Control. Dans chaque groupe local, on ajoute des groupes globaux dont les autorisations correspondent celle du groupe local. Cette configuration permet davoir peu de groupes dans longlet Security, donc damliorer les performances.
- 34 -
Diplme 2001
5.5 SCNARIO 4 : AUDIT DE LA RESSOURCE PARTAGE 5.5.1 Introduction
Laudit permet le suivi des activits sur le rseau, appel vnements . Il est li aux utilisateurs et au systme. Tous ces vnements sont enregistrs dans un journal de scurit. Par exemple, laudit peut enregistrer les tentatives douverture de session qui russissent ou chouent, ainsi que les vnements lis la cration, louverture ou la suppression de fichiers ou de dossiers. Chaque entre dans le journal de scurit fournit les informations suivantes : laction qui a t excute lutilisateur qui a excut laction la russite ou lchec de lvnement et le moment auquel il sest produit Par dfaut sous Windows 2000, la fonction daudit est dsactive. Cest donc ladministrateur de lactiver et dterminer les vnements auditer. La stratgie daudit peut tre applique de diffrentes faons: localement : chaque ordinateur du domaine doit tre configur manuellement. Sur chaque ordinateur, des stratgies de scurit locales (Local Security Policy) permettent de configurer la stratgie daudit. pour le domaine : cette stratgie ne peut tre configure que sur le contrleur de domaine. Le contrleur de domaine possde des stratgies de scurit pour le domaine (Domain Security Policy ) qui permet dappliquer ces stratgies lensemble du domaine. Lorsquune stratgie de scurit est dfinie localement et pour le domaine, cest la stratgie du domaine qui est prioritaire sur la stratgie locale. Lorsquon dfinit une stratgie daudit, il faut spcifier si lon dsire auditer la russite et/ou lchec. La configuration des stratgies daudit est explique en dtail dans lannexe 3. Dans ce scnario, la stratgie daudit est applique localement sur lordinateur dont on dsire enregistrer certains vnements. Dans notre cas, cest le serveur de fichiers VECTRA17 qui est configur pour auditer laccs sa ressource . Le choix de la stratgie est le suivant : Toute personne qui russi lire le document qui se trouve dans le rpertoire partag doit tre audite. Toute personne qui russit ou choue lcriture du document est audit.
- 35 -
Diplme 2001 5.5.2 SID
Les identificateurs de scurit (SID Security IDentifier) sont utiliss la place des noms (qui ne peuvent pas tre uniques) pour identifier les lments (utilisateurs, groupes, ordinateurs, etc.). Un SID est une cl numrique de longueur variable. Il se compose dun numro de rvision, un identifiant dautorit de 48 bits et dun nombre variable de 32 bits appel identificateurs relatifs ( RID Relative IDentifier). Lidentifiant dautorit indique lentit qui a gnr le SID. Le RID permet davoir un SID unique. Grce regedit.exe, on peut visualiser le SID dun ordinateur dans HKEY_USERS. 5.5.3 Access Tokens
Les jetons daccs dcrivent les privilges requis pour accder une information. La taille des jetons est variable puisque les utilisateurs ont des privilges diffrents. Cependant, tous les jetons daccs contiennent au moins les mmes informations de base (figure 5.15). On peut distinguer deux composants principaux dans un jeton daccs : Le SID de lutilisateur (User Account SID) et les SID des groupes (Group N SID) auquel il appartient. Les privilges sont les droits associs au jeton daccs. Par exemple, si le privilge douvrir une session est prsent dans le jeton daccs, le processus qui y est rattach permettra lutilisateur dentreprendre cette action. Descripteurs de scurit
5.5.4
Les descripteurs de scurit sont des lments qui identifient un objet. Dune faon symtrique aux jetons pour les utilisateurs, ces objets possdent une structure de donnes spcifiant les actions possibles et par qui elles le sont (figure 5.15). La structure de donnes dun descripteur se compose dune zone den-tte qui contient le numro de rvision du descripteur et des drapeaux de contrle spcifiant les attributs du descripteur. Le propritaire de lobjet peut modifier ses autorisations daccs. Deux listes peuvent tre attaches au descripteur : DACL (Discretionary Access Control List ) permet de dterminer les actions quun utilisateur peut accomplir sur cet objet ( Qui peut faire quoi ?). Ces actions sont reprsentes par des entres de contrle daccs (ACE Access Control Entry) qui sont illustres sur la figure 5.15 : Chaque entre contient un type (ACE Type) qui autorise (AccessAllowed) ou refuse (AccessDenied) laccs. Un troisime type (SystemAudit ), utilis par les SACL, archive les vnements dans un journal daudit (Event Viewer). Le SID identifie lutilisateur ou le groupe auquel cet ACE sapplique.
SACL (System Access Control List) est une liste qui soccupe denregistrer ce quun utilisateur a tent de faire avec lobjet.
- 36 -
Diplme 2001 Remarques
DACL Si une DACL nexiste pas, tous les utilisateurs ont accs lobjet. Si une DACL existe mais ne contient pas dACE, personne na accs lobjet. SACL Si une SACL est vide, aucun audit nest effectu. Si une SACL contient des ACE de type SystemAudit , elle indique ce qui doit tre audit selon que lvnement ait russi et/ou chou. Principe La figure 5.15 illustre tous les lments qui intervienne nt lorsquon accde une ressource qui est audite. FIGURE 5.15 : ACCES A UNE RESSOURCE
5.5.5
1. Send session ticket to server Kerberos SSP
2. Share Permissions 3. Local Permissions 4. Revision Number Control Flags Owner SID Primary Group SID DACL Pointer SACL Pointer DACL (optional) ACE 1 Share Folder File Server ... SACL (optional) ACE 1 ... Security Descriptor ACE Type SID Access Type ACE
SSPI
User Account SID Group 1 SID ... Privilege 1 ... Default Primary Group Default DACL Token Source Authentification ID Modification ID Expiration Time Access Token
Client
1. Le client envoie son ticket de session qui contient les SIDs se trouvant dans le champs Authorization Data ( 5.4.1). 2. De son cot, le serveur vrifie grce aux SID User Account SID et Group N SID si lutilisateur a les autorisations de partage ( 2.3) suffisantes sur le rpertoire partag.
- 37 -
Diplme 2001
3. Le serveur va ensuite faire de mme avec les autorisations locales ( 2.2) sur le dossier, et le fichier auquel lutilisateur va accder. Pour cela, il vrifie que les SID de lutilisateur respectent les diffrentes ACE de la DACL. Si le fichier possde une SACL non vide, le serveur va comparer les entres de la SACL avec ce que lutilisateur a tent de faire et, si ncessaire, auditer ces tentatives. 4. Lorsque tous ces tests sont satisfaisants, lutilisateur peut accder sa ressource. Sources : Ecole dIngnieurs en informatique pour lindustrie Windows NT 4.0 Scurit http://www.e3i.univ- tours.fr/duac/winnt/uvnt2/uvnt2.htm Windows NT Magazine Windows NT Security, Part 2 June 1998
- 38 -
Diplme 2001
ETAPE 2 : 2 DOMAINES DANS UNE FORT

6.1 OBJECTIFS Lobjectif de ce scnario est de simuler deux coles (lEIG et lEIVD) en intranet. Chaque cole correspond un domaine Windows 2000, respectivement EIG_SOUCHON et EIVD_SOUCHON . Chaque contrleur de domaine fait office de serveur DNS priv pour son domaine. 6.1.1 Deux domaines avec deux contrleurs de domaine ( DC1, DC2) Deux serveurs de fichiers avec chacun un rpertoire partag (S1, S2 ) Deux clients (C1, C2) Un routeur Lightning Ethernet II ( ROUTER6 ) Deux serveurs DNS dynamiques Huit utilisateurs globaux et quatre groupes Deux zones dadressages prives de classe C
Structure physique
Le schma illustre la mise en uvre du rseau dcrit ci-dessus :
\\S1\Partage
\\S2\Partage
S1
WAN ROUTER6 DC1 C1 EIG_SOUCHON
LAN
S2
DC2 C2 EIVD_SOUCHON
Chaque domaine utilise une zone dadressage prive de classe C : EIG_SOUCHON : 192.168.1.0/24 EIVD_SOUCHON : 192.168.2.0/24
- 39 -
Diplme 2001
Les deux tableaux ci-dessous reprsentent les configurations rseaux de chaque domaine. EIG_SOUCHON IP Address Subnet Mask Gateway DNS Server Operating System EIVD_SOUCHON IP Address Subnet Mask Gateway DNS Server Operating System DC1 192.168.1.10 255.255.255.0 192.168.1.1 192.168.1.10 Windows 2000 Server DC2 192.168.2.10 255.255.255.0 192.168.2.1 192.168.2.10 Windows 2000 Server S1 192.168.1.11 255.255.255.0 192.168.1.1 192.168.1.10 Windows 2000 Professional S2 192.168.2.11 255.255.255.0 192.168.2.1 192.168.2.10 Windows 2000 Professional C1 192.168.1.12 255.255.255.0 192.168.1.1 192.168.1.10 Windows 2000 Professional C2 192.168.2.12 255.255.255.0 192.168.2.1 192.168.2.10 Windows 2000 Professional
Le routeur possde deux interfaces (une pour chaque domaine), appeles LAN et WAN, avec chacune une adresse IP diffrente. Le routeur doit aussi tre configur pour transmettre les paquets dun domaine lautre. Pour cela, il faut ajouter deux routes qui permettent daiguiller le trafic. Cette configuration rseau est dcrite en dtail dans le tableau suivant : ROUTER6 IP Address Subnet Mask Routes ROUTER6 Interface 1 ( LAN) 192.168.2.1 255.255.255.0 Destination 192.168.2.0/24 192.168.1.0/24 Interface 2 ( WAN ) 192.168.1.1 255.255.255.0 Interface LAN WAN
Gateway 0.0.0.0 0.0.0.0
- 40 -
Lorsquon dsire mettre en place deux domaines, deux variantes sont possibles : Variante 1 Arbre de domaine et domaines-enfant Domaine Fort Variante 2 Fort de domaine Domaines
EIG_SOUCHON
Domaine enfant
EIG_SOUCHON
EIVD_SOUCHON EIVD.EIG_SOUCHON
Choix dun arbre de domaine et de domaines-enfant : Administration dcentralise Espace de noms contigu Administration localise pour sadapter une langue ou un fuseau horaire diffrent. Partage un schma, une configuration et un catalogue global. Le premier domaine possde tous les droits sur le deuxime domaine.
Choix dune fort de domaine :
Administration dcentralise Espace de noms non contigu Administration localise pour sadapter une langue ou un fuseau horaire diffrent. Partage un schma, une configuration et un catalogue global Par dfaut, le premier domaine possde tous les droits sur le deuxime domaine (figure 6.1).
- 41 -
Diplme 2001
Architecture rseau base sur Windows 2000 FIGURE 6.1 : GROUPE UNIVERSEL ENTREPRISE ADMINS
Administrator ... Groupe global Administrators
Administrator ... Groupe global Administrators
Administrators Administrator Groupe global Domain Admins
Administrators Entreprise Admins Groupe global Domain Admins Administrator
EIG_SOUCHON
Domain Admins Groupe universel Entreprise Admins
EIVD_SOUCHON
Par dfaut, lorsquon rajoute un deuxime domaine ( EIVD_SOUCHON ) dans une fort existante (EIG_SOUCHON ), le groupe universel ( 6.2.1) Entreprise Admins de la fort est rajout dans le groupe global Domain Admins de EIVD_SOUCHON . Cette astuce permet aux Administrators de lEIG de pouvoir administrer aussi le domaine EIVD_SOUCHON . Dans notre cas cela nest pas souhaitable, car chaque cole doit administrer uniquement son domaine respectif. Par contre, il est possible de supprimer le groupe Entreprise Admins du groupe Domain Admins de lEIVD. Le choix sest port vers la variante 2 pour une raison principale : les deux coles doivent possder un espace de noms diffrent . Pour que la variante 2 soit mise en uvre, les options dinstallation des deux contrleurs de domaine doivent tre diffrentes. La marche suivre dtaille est disponible dans lannexe 1. DC1 : Contrleur de domaine Domain Controller Type : Domain Controller for a new domain Create Tree or Child Domain : Create a new domain tree Create or Join Forest : Create a new forest of domain trees New Domain Name : DC1 Configure DNS : Yes, install and configure DNS on this computer Permissions : Permissions compatible only with Windows 2000 servers
Le premier contrleur de domaine cre un nouveau domaine (EIG_SOUCHON ), un nouvel arbre de domaine et une nouvelle fort.
- 42 -
Diplme 2001 DC2 : Contrleur de domaine
Les options sont identiques la configuration de DC1, sauf : Create or Join Forest : Place this new domain tree in an existing forest New Domain Name : DC2
Le deuxime contrleur de domaine doit aussi crer un nouveau domaine (EIVD_SOUCHON ) et un nouvel arbre de domaine. Par contre, DC2 doit tre plac dans la fort cre par DC1. L aussi, un serveur DNS est obligatoire.
- 43 -
Diplme 2001 6.2 ACTIVE DIRECTORY 6.2.1
Groupe dutilisateurs (Users group)
Dans le 3.2.3, deux tendues de groupes sont expliqus. Ils interviennent au niveau du domaine. Il en existe une troisime qui agit au niveau de la fort : le groupe universel. Groupes universels Les membres sont issus de nimporte quel domaine Les membres accdent aux ressources de nimporte quel domaine
Appartenance Accs aux Ressources
Les groupes universels grent la fort de domaines. Par exemple, ils dfinissent qui a le droit dajouter un domaine dans la fort ou encore qui a le droit de modifier le schma ( 6.2.7). 6.2.2 Espace de noms (Namespace )
Active Directory est essentiellement un espace de noms, comme cest le cas de tout service dannuaire. Par exemple, td.unige.ch pourrait tre lespace de noms utilis par lEcole dIngnieurs de Genve. Nimporte quelle zone dlimite au sein de laquelle un nom donn peut tre rsolu constitue un espace de noms. Active Directory repose sur le systme de noms de domaine (DNS Domain Name System ) qui est aussi utilis sur Internet. Le principal avantage dutiliser le DNS avec Active Directory est que les utilisateurs peuvent se connecter des serveurs locaux en employant les mmes rgles dattribution de nom que sur Internet. Les espaces de noms existent sous deux formes : Espace de noms contigu : Dans une hirarchie dobjets, le nom de lenfant contient toujours le nom du domaine parent. Une arborescence est un espace de noms contigu. Espace de noms non contigu : Les noms dun objet parent et dun enfant du mme objet parent ne sont pas directement lis les uns aux autres. Une fort est un espace de noms non contigu.
- 44 -
Diplme 2001 6.2.3 Noms (Name)
Chaque objet dans Active Directory est identifi par un nom. Il y a deux sortes de noms : Nom unique : Chaque objet dans Active Directory possde un nom unique (DN Distinguished Name). Le nom unique identifie le domaine qui contient lobjet, ainsi que le chemin daccs complet permettant daccder lobjet travers la hirarchie des units dorganisation. Par exemple, ce nom unique identifie lobjet utilisateur Yann Souchon dans le domaine td.unige.ch : /DC=ch/DC=unige/DC=td/OU=Etudiants /CN=Yann Souchon DC : Nom du composant du domaine OU : Nom de lunit dorganisation CN : Nom courant Nom unique relatif : Le nom unique relatif (RDN Relative Distinguished Name) dun objet est la partie du nom qui constitue un attribut de lobjet. Dans lexemple prcdent, le nom unique relatif de lobjet utilisateur Yann Souchon est CN=Yann Souchon. Le nom unique relatif de lobjet parent est CN=Etudiants . FIGURE 6.2 : NOM UNIQUE ET NOM UNIQUE RELATIF
td.unige.ch / Etudiants / Yann Souchon
Nom unique 6.2.4 Nomination dobjets
Nom unique relatif
Un objet possde un seul nom, son nom unique (DN). Le DN identifie lobjet de manire unique et contient assez dinformations pour quun client puisse rcuprer lobjet dans lannuaire. Le DN dun objet peut tre trs long et difficile mmoriser. De plus, le DN dun objet peut changer. Dans la mesure o le DN dun objet est constitu de son nom unique relatif et de ses anctres, si un objet ou nimporte lequel de ses anctres change de nom, son DN changera.
- 45 -
Diplme 2001
Les DN sont difficiles connatre et sujets modification, il est utile de disposer dautres moyens de rcuprer des objets. Active Directory permet les requtes par attributs, de telle sorte quon peut trouver un objet mme si on ne connat pas son DN exact ou sil a chang. Pour simplifier le processus de recherche dobjets par requte, le schma dActive Directory dfini deux proprits : Identificateur globalement unique dobjet : Lidentificateur globalement unique dobjet (GUID Globally Unique Identifier) est un nombre cod sur 128 bits, garanti unique. Lorsquils sont crs, les objets se voient attribuer un GUID. Le GUID ne change jamais, mme si lobjet est dplac ou renomm. Nom principal dutilisateur : Le nom principal dutilisateur (UPN User Principal Name) est plus court que le DN et plus convivial . Le nom principal dutilisateur est compos dun nom abrg pour lutilisateur et du nom de larbre de domaines dans lequel se trouve lobjet utilisateur. Par exemple, lutilisateur Yann Souchon de larbre td.unige.ch pourrait avoir lUPN souchon@td.unige.ch. Arbre (Tree)
6.2.5
Un arbre, aussi appel arbre de domaine, est constitu de plusieurs domaines qui partagent un mme schma et une mme configuration, formant un espace de nom contigu. Les domaines dun arbre sont galement lis entre eux par des relations dapprobation. Active Directory est un arbre ou un ensemble de plusieurs arbres. Il y a deux faons de visualiser un arbre : par le biais des relations dapprobation entre domaines ou par celui de lespace de noms de larbre de domaines. Reprsentation des relations dapprobation On peut dessiner un arbre de domaines en reprsentant les domaines individuels et leurs relations dapprobations mutuelles. Windows 2000 tablit des relations dapprobation entre domaines en se basant sur le protocole dauthentification Kerberos. Lapprobation Kerberos est transitive et hirarchique ( Kerberos 3.5.1). La figure 6.3 reprsente trois domaines spars. Chaque domaine, symbolis par un triangle, correspond un ensemble dordinateurs sous Windows 2000 avec un ou plusieurs contrleurs de domaine. De plus, cette figure illustre les relations dapprobation quon peut avoir entre diffrents domaines. FIGURE 6.3 : ARBRE DE DOMAINES PAR RELATIONS DAPPROBATION Confiance tablie Domaine EIG Confiance tablie Domaine EIF Transmission de donnes - 46 Domaine EIVD Confiance
Diplme 2001
Architecture rseau base sur Windows 2000 Reprsentation de lespace de noms On peut aussi dessiner un arbre de domaine en fonction de son espace de noms. On dtermine le nom relatif distinct dun objet en suivant le chemin daccs jusqu lespace de noms de son arbre de domaines. Cette reprsentation est utile pour regrouper des objets selon une hirarchie logique. Lavantage principal dun espace de noms contigu est quune recherche approfondie partir de la racine de lespace de noms se fera dans lensemble de la hirarchie. Pour mieux comprendre, la figure 6.4 illustre un domaine principal (hes-so.ch) avec deux sous domaines qui sont lEcole dIngnieurs de Genve (EIG) et lEcole dIngnieurs du Canton de Vaud. FIGURE 6.4 : ARBRE DE DOMAINES SOUS FORME D ESPACE DE NOMS
hes-so.ch eig.hes-so.ch eivd.hes-so.ch
6.2.6
Fort (Forest )
Une fort est constitue dun arbre ou de plusieurs arbres qui ne forment pas un espace de nom contigu. Tous les arbres dune fort partagent un mme schma , une mme configuration et un mme catalogue global. De plus, ils saccordent une confiance mutuelle par lintermdiaire de relations dapprobation Kerberos transitives et hirarchiques. Contrairement un arbre, une fort na pas besoin de nom distinct. La figure ci-dessous montre deux domaines spars avec un espace de nom non contigu. FIGURE 6.5 : FORET DE DOMAINES
unige.ch
eivd.ch
td.unige.ch
td.eivd.ch
- 47 -
Diplme 2001
La figure 6.6 reprsente lensemble des diffrents lments quon peut avoir dans une structure logique dActive Directory. Pour complter la figure, deux domaines (EIVD et UNIGE) illustrent la notion darbres avec deux sous-domaines pour UNIGE. Lensemble forme une fort. FIGURE 6.6 : STRUCTURE LOGIQUE Arbres Fort
eivd.ch unige.ch td.eivd.ch td.unige.ch cui.unige.ch
Units dorganisation Utilisateurs / Ressources Domaine 6.2.7 Schma
Le schma dActive Directory est une liste de dfinitions qui spcifie les types dobjets pouvant tre stocks dans Active Directory et la nature des informations relatives ces objets. Les dfinitions sont elles-mmes stockes en tant quobjets, afin que Active Directory puisse grer les objets de schma en appliquant les mmes oprations de gestion que pour les autres objets de lannuaire. Il existe deux types spars de dfinition dans le schma : les attributs et les classes . Les attributs et les classes sont dfinis sparment. Chaque attribut est dfini une seule fois et peut tre utilis dans plusieur s classes. Par exemple, lattribut Description est utilis dans de nombreuses classes, mais nest dfini quune seule fois dans le schma. Les classes, appeles aussi classes dobjets , dcrivent les objets pouvant tre crs dans Active Directory. Chacune delles est un regroupement dattributs. Lors de la cration dun objet, les attributs stockent les informations qui dcrivent lobjet. Par exemple, certains programmes de messagerie comme Microsoft Exchange ou Lotus Notes modifient le schma en rajoutant des nouvelles classes.
- 48 -
Diplme 2001 6.2.8 Catalogue global
Le catalogue global (GC Global Catalog) permet aux utilisateurs et aux applications de trouver des objets dans larbre de domaines ou dans la fort dActive Directory pour peu quils connaissent un ou plusieurs attributs de lobjet recherch. Par dfaut, le catalogue global est automatiquement cr sur le premier contrle de domaine, appel serveur de catalogue global. Le catalogue global permet aux utilisateurs de trouver rapidement les objets qui les intressent sans savoir quel domaine les contient.
Sources :
Microsoft Press Windows 2000 Active Directory Services Document personnel Active Directory http://perso.club-internet.fr/jegoup/AD.htm
- 49 -
Diplme 2001 6.3 SCNARIO 1 : DNS
Aprs linstallation du premier contrleur de domaine, on peut remarquer que la configuration du serveur DNS par dfaut contient la zone correspondante au nom du domaine ainsi quune zone dadressage supplmentaire . Cette zone dadressage est une zone root reprsente par un point ("."), cest--dire quelle correspond au plus au niveau dans la hirarchie du DNS. Cette zone est cre car le rseau est totalement isol dinternet, et que donc, par consquent, Windows 2000 ne trouve aucun autre serveur DNS root . La configuration du deuxime serveur DNS (sur le deuxime contrleur de domaine) contient quune seule zone . Cette zone correspond au nom du domaine (EIVD_SOUCHON dans notre cas). Dans la configuration des serveurs root (onglet Root Hints), le deuxime serveur DNS possde une entre qui correspond au premier serveur DNS. La figure 6.7 est le schma de la configuration par dfaut des serveurs DNS lorsquon installe deux contrleurs de domaines dans la mme fort et sans connexion internet. FIGURE 6.7 : CONFIGURATION DES SERVEURS DNS
"."
EIG_SOUCHON EIVD_SOUCHON DC2 DC1
Pour mieux comprendre, la figure 6.8 illustre la configuration du premier serveur DNS. La flche montre la zone root . FIGURE 6.8 : ZONE D ADRESSAGE ROOT
- 50 -
Diplme 2001
La configuration dcrite la page prcdente pause un problme . En effet, pour quon puisse accder un domaine depuis lautre domaine, il faut que les serveurs DNS puissent travailler ensemble. Dans notre cas, seul le serveur DNS de DC2 interroge DC1 sil ne connat pas la rponse. Dans lautre cas, comme DC1 est un serveur DNS root , il ne peut pas interroger DC2. Pour remdier cela, il faut supprimer la zone root (".") de DC1 en cliquant simplement sur la zone et ensuite sur delete. DC1 peut maintenant interroger dautres serveurs sil ne connat pas la rponse. Deux variantes sont possibles pour que les serveurs DNS travaillent ensemble : Soit on utilise longlet Root Hints qui permet dintroduire des serveurs DNS root . Le serveur DNS interroge ces serveurs root lorsquil ne connat pas la rponse. Lautre mthode est transmettre la requte un autre serveur (onglet Forwarders).
Comme aucun des deux serveurs DNS nest un serveur root , le choix le plus appropri est la deuxime variante ( Annexe 4).
- 51 -
Diplme 2001 6.4 SCNARIO 2 : RPLICATION
Ce scnario explique le principe de la rplication sous Windows 2000. Dans le cas dune fort avec deux domaines, les deux contrleurs de domaine doivent connatre lensemble des objets de la fort. Pour cela, on utilise la rplication. La rplication permet de maintenir jour les donnes dActive Directory. Chaque contrleur de domaine possde un fichier sous forme de base de donnes qui possde lensemble des objets de son domaine. Ce fichier se trouve par dfaut dans \WINNT\NTDS\NTDS.DIT (figure 6.9). Ce rpertoire est modifiable linstallation dActive Directory ( Annexe 1). Le fichier NTDS.DIT se compose de trois parties : FIGURE 6.9 : NTDS.DIT Schma : Contient la dfinition de tous les objets et attributs quil est possible de crer dans Active Directory ( 6.2.7). Rplique sur tous les contrleurs de domaine de la fort. Configuration : Contient les informations concernant la structure dActive Directory (domaines, sites, contrleurs de domaine, etc.). Rplique sur tous les contrleurs de domaine de la fort. Domaine : Tous les objets dActive Directory sont stocks dans cette partie (Users, Groups, Computers, etc.). Rplique au sein du domaine.
Schma
Configuration
Domaine
NTDS.DIT
Quon utilise la variante 1 ou la variante 2, tous les contrleurs de domaine partagent le mme schma et la mme configuration. Ces deux parties sont rpliques sparment . La partie domaine est spcifique chaque domaine . Dans notre cas, DC1 possde une partie domaine1 et DC2 domaine2, car DC1 ne contient pas les mmes objets que DC2. La rplication intervient du fait des changements apports Active Directory : Nouveaux comptes dutilisateurs Changement dattributs sur des objets Suppression dobjets
Temps entre chaque rplication : Toutes les 5 minutes par dfaut lors dune modification Toutes les heures en absence de modification Immdiate lors de rplication urgente (tout ce qui touche la scurit, par exemple verrouillage de comptes dutilisateurs)
- 52 -
Diplme 2001
Par dfaut, le premier contrleur de domaine ( DC1) est un catalogue global ( 6.2.8), cest--dire quil contient sa partie domaine (domaine1) ainsi que la partie domaine de DC2 (domaine2), comme lillustre la figure 6.10. Par contre DC2 ne lest pas. FIGURE 6.10 : REPLICATION DANS UNE FORET , CATALOGUE GLOBAL
DC1 Rplication Schma Config. Domaine1 Domaine2 Active Directory Schma Config. Domaine2 Active Directory DC2
Global Catalog
Dans notre cas, cela ne pose pas de problme de performance car la liaison entre les deux domaines est rapide. Mais par exemple, si DC1 et DC2 seraient relis par une liaison lente, il faudrait que DC2 interroge DC1 pour les objets quil ne connat pas. Cela poserait un gros problme de performance. En activant la fonction Global Catalog sur DC1 et DC2, les deux contrleurs de domaine se rpliquent chacun leur partie domaine . Pour quun contrleur de domaine soit catalogue global, il faut simplement excuter Start Programs Administrative Tools Active Directory Sites and Services. Ensuite dans Sites Default-First-Site-Name Servers, slectionnez le contrleur de domaine (dans notre cas DC2) et affichez les Properties de NTDS Settings (figure 6.11). FIGURE 6.11 : CATALOGUE GLOBAL
- 53 -
Diplme 2001 6.5 SCNARIO 3 : SITE
Ce scnario explique le principe du site avec un exemple (figure 6.12) qui illustre les deux coles relies par une liaison bas dbit. Attention, cette figure ne correspond pas la structure physique de cette tape. La structure a t modifi pour pouvoir expliquer la notion de site. FIGURE 6.12 : SITES
EIG Sites S1 DC1 DC2 EIVD S2
ROUTER3
ROUTER4
10 Mbits
256 kbits
10 Mbits
C1
C2
192.168.1.0/24
192.168.2.0/24
Un site est une combinaison dun ou plusieurs sous-rseaux IP connect par une liaison haut dbit. Dans notre exemple, un site est reprsent par un sous-rseau IP. A lint rieur du site (intrasite), le rseau doit tre dun dbit lev (10 Mbits ou plus). Par contre, lextrieur des sites (intersites), la liaison est seulement de 256 kbits. La cration de deux sites possde deux avantages majeurs : Optimisation de laut hentification Par dfaut, lorsquon cre deux domaines dans une mme fort, un seul site est cre. De plus, seul le premier contrleur de domaine ( DC1) fait office de catalogue global. Cette configuration par dfaut introduirait un gros problme de performance. Par exemple, dix utilisateurs de lEIG sont en dpassement lEIVD. Si ces utilisateurs sauthentifient les dix la fois, ils devront patienter un moment avant quils puissent travailler. En effet, ces utilisateurs faisant partit du domaine EIG , DC2 devra aller interroger DC1 pour savoir si oui ou non ces utilisateurs peuvent accder au domaine EIVD. Pour rsoudre ce problme, il faut premirement dclarer DC2 comme un catalogue global, ce qui va permettre DC2 de connatre les objets de DC1. Cela ne suffit pas, car Windows 2000 ne dfinit pas dune manire certaine que les dix utilisateurs utilisent DC2 pour sauthentifier. Il est possible de voir sur un client la variable LogonServer (tapez set | more dans une console) qui dfinit sur quel contrleur de domaine lordinateur sauthentifie. Cest pour cela quil faut crer un site. Tout site doit contenir au minimum un contrleur de domaine avec un catalogue global.
- 54 -
Diplme 2001
Configuration de la rplication intersite A lintrieur dun site, il nest pas possible de configurer la rplication. Comme la rplication peut engendrer beaucoup de trafic (suivant les modifications), il faut que le rseau dun site soit de bonne qualit. La rplication intrasite utilise le protocole RPC et seffectue toutes les cinq minutes. A lextrieur des sites, la rplication est configurable en fonction de la bande passante disposition. Il est possible de la compresser et de choisir un protocole entre RPC et SMTP (Simple Mail Transfer Protocol ). SMTP possde deux avantages par rapport RPC : SMTP peut tre utilis sur des liaisons de mauvaises qualits, car il supporte beaucoup mieux les coupures. Les firewalls possdent trs souvent le port SMTP (25) dj ouvert, car SMTP est utilis par presque tous les programmes de messageries.
Pour rduire le trafic sur la liaison intersite, on peut aussi configurer le temps entre chaque rplication. Dans cet exemple, un site reprsente un domaine. Mais on peut trs bien avoir plusieurs domaines par site ou plusieurs sites par domaine.
Quelle est la diffrence entre un site et un domaine ? Un domaine regroupe sous un mme nom des ordinateurs ainsi que des ressources rseaux. Un site est un lment de la structure physique dActive Directory alors quun domaine est un lment de la structure logique. Comment un poste de travail trouve-t-il le site auquel il appartient ? Un poste de travail trouve son site en prsentant son numro de sous-rseau au premier contrleur de domaine quil contacte. Il dtermine son numro de sous-rseau en appliquant son masque de sous-rseau son adresse IP. Le premier contrleur de domaine contact utilise le numro de sous-rseau soumis pour localiser lobjet du site auquel appartient le poste de travail. Si le serveur courant nappartient pas lui- mme ce site, il indique au poste de travail un autre serveur contacter.
- 55 -
Diplme 2001
ETAPE 3 : 2 DOMAINES DANS 2 FORTS

7.1 OBJECTIFS Lobjectif de ce scnario est de simuler deux coles (lEIG et lEIVD) avec une connexion internet. Chaque cole correspond un domaine Windows 2000, respectivement EIG et EIVD. 7.1.1 Deux domaines avec deux contrleurs de domaine ( DC1, DC2) Deux serveurs de fichiers avec chacun un rpertoire partag (S1, S2 ) Deux clients (C1, C2) Deux routeurs Lightning Ethernet II ( ROUTER3, ROUTER4 ) Deux serveurs DNS dynamiques (DNS1, DNS2) Huit utilisateurs globaux et quatre groupes Deux zones dadressages prives de classe C
Structure physique
\\S1\EIG_Partage LAN WAN

Internet
\\S2\EIVD_Partage WAN LAN
File Server
File Server
ROUTER3 Domain Controller
ROUTER4 Domain Controller Client
Client EIG
EIVD
Chaque domaine utilise une zone dadressage prive de classe C : EIG : 10.0.1.0/24 EIVD : 10.0.2.0/24
- 56 -
Diplme 2001
Les deux tableaux ci-dessous reprsentent les configurations rseaux de chaque domaine. EIG_SOUCHON IP Address Subnet Mask Gateway DNS Server Operating System EIVD_SOUCHON IP Address Subnet Mask Gateway DNS Server Operating System DC1 10.0.1.10 255.255.255.0 10.0.1.1 10.0.1.10 Windows 2000 Server DC2 10.0.2.10 255.255.255.0 10.0.2.1 10.0.2.10 Windows 2000 Server S1 10.0.1.11 255.255.255.0 10.0.1.1 10.0.1.10 Windows 2000 Professional S2 10.0.2.11 255.255.255.0 10.0.2.1 10.0.2.10 Windows 2000 Professional C1 10.0.1.12 255.255.255.0 10.0.1.1 10.0.1.10 Windows 2000 Professional C2 10.0.2.12 255.255.255.0 10.0.2.1 10.0.2.10 Windows 2000 Professional
La configuration des deux routeurs est dcrite ci-dessous : ROUTER3 IP Address Subnet Mask ROUTER4 IP Address Subnet Mask Interface 1 (LAN ) Interface 2 ( WAN) 10.0.1.1 129.194.187.45 255.255.255.0 255.255.252.0 Interface 1 ( LAN) 10.0.2.1 255.255.255.0 Interface 2 ( WAN ) 129.194.186.207 255.255.252.0
Routes ROUTER3
ROUTER4
Destination 10.0.1.0/24 129.194.184.0/22 Default 10.0.2.0/24 129.194.184.0/22 Default
Gateway 0.0.0.0 0.0.0.0 129.194.184.3 0.0.0.0 0.0.0.0 129.194.184.3
Interface LAN WAN WAN LAN WAN WAN
- 57 -
Lorsquon installe les lments dun domaine Windows 2000 (structure logique), il est recommand de respecter dans lordre les quatre tapes suivantes : 1. Installation du serveur DNS : La rsolution DNS entre les deux domaines est trs importante pour quActive Directory fonctionne correctement ( 7.3). 2. Installation dActive Directory : La structure logique dActive Directory est reprsente ci-dessous. FIGURE 7.1 : STRUCTURE LOGIQUE Forts
EIG
EIVD
Domaines
Le choix de deux domaines dans deux forts : Administration dcentralise Espace de noms non contigu Administration localise pour sadapter une langue ou un fuseau horaire diffrent. Schmas, configurations et catalogues globaux indpendants Chaque administrateur gre sa fort
Par rapport la structure logique de ltape 2 ( 6.1.2), cette structure possde deux avantages majeurs dindpendances : Chaque cole possde son propre schma , ce qui permet dinstaller des applications qui le modifie sans dranger lautre cole ( 6.2.7). Chaque administrateur gre sa fort, ce qui ntait pas possible sans modification avec lancienne structure.
- 58 -
Diplme 2001
Pour crer cette structure, les options dinstallation des deux contrleurs de domaine doivent tre identiques, part le nom du domaine. Par exemple, pour DC1 : DC1 : Contrleur de domaine Domain Controller Type : Domain Controller for a new domain Create Tree or Child Domain : Create a new domain tree Create or Join Forest : Create a new forest of domain trees New Domain Name : DC1 Configure DNS : No, I will install and configure DNS myself. Permissions : Permissions compatible only with Windows 2000 servers
Ne pas oublier de changer le type des deux zones (directes et inverses) sur les deux serveurs DNS de chaque domaine. Maintenant quActive Directory est install, il est recommand de les intgrer Active Directory ( 7.2.4). Lorsque les zones sont intgres Active Directory, ajoutez les ordinateurs dans le domaine (join a domain, Kerberos 3.6.1). Le serveur DNS est mis jour automatiquement ds que lordinateur joint le domaine. 3. Configurations des relations dapprobations : Pour que les utilisateurs puissent sauthentifier sur les deux domaines, il faut tablir des relations dapprobations (trust ) bidirectionnelles ( 7.4). 4. Configuration dun rpertoire confidentiel : Pour finir, un nouveau rpertoire est partag sur les serveurs de fichiers ( 7.5).
- 59 -
Diplme 2001 7.2 DNS 7.2.1 Nouveauts
Le service DNS permet la rsolution de noms pour des clients. Grce cette fonction, les utilisateurs peuvent accder des serveurs en utilisant leur nom au lieu dadresses IP difficiles retenir. Active Directory fait appel au DNS pour lattribution des noms de domaine et la localisation. Les noms de domaines Windows 2000 sont des noms DNS. Windows 2000 intgre deux nouveauts principales dans son serveur DNS : 7.2.2 Les enregistrements de type SRV Le DNS dynamique SRV record type Ce nouveau type denregistrement permet de localiser un service au moyen du serveur DNS. Lextension SRV est base sur la RFC 2052. Le dtail de la syntaxe avec les principaux champs est la suivante : _Service._Proto.Name TTL Class SRV Priority Weight Port Target Service : le nom du service (_http) Proto : le protocole utilis par le service (_tcp) Name : le nom du domaine o se trouve le service Port : le port du service Target : le FQDN de lordinateur
La figure 7.2 illustre un client qui dsire connatre sur quel ordinateur se trouve le contrleur de domaine. Le serveur DNS lui rpond lordinateur qui fait office de contrleur de domaine. FIGURE 7.2 : LOCALISATION DU CONTRLEUR DE DOMAINE
Standard query SRV _ldap._tcp.dc._msdcs.eig_souchon
Standard query response SRV 0 100 389 dc1.eig_souchon Name: _ldap._tcp.dc._msdcs.eig_souchon Type: Service location Class: inet Time to live: 10 minutes Priority: 0 Weight: 100 Port: 389 Target: dc1.eig_souchon
DDNS
Client
Domain Controller
- 60 -
Diplme 2001 7.2.3 Dynamic DNS
Windows 2000 Server utilise le DNS dynamique (DDNS Dynamic DNS) , qui permet aux clients de sinscrire directement auprs dun serveur excutant le service DNS et de mettre jour le tableau DNS dynamiquement. FIGURE 7.3 : MISE JOUR DU DNS DYNAMIQUEMENT
1. Standard query SOA C1.EIG_SOUCHON
2. Standard query reponse 3. Dynamic update SOA EIG_SOUCHON
4. Dynamic update response
5. Standard query SOA 1.168.192.in-arpa.arpa DDNS 6. Standard query reponse SOA dc1.eig_souchon
7. Dynamic update SOA SOA 1.168.192.in-arpa.arpa
8. Dynamic update response
Client
Domain Controller
1. Le client envoie une requte au serveur DNS pour connatre quel serveur gre la zone laquelle il appartient. 2. Dans notre cas, cest ce serveur DNS qui gre la zone EIG_SOUCHON . Le serveur DNS va donc lui renvoyer son adresse IP. 3. Le client va soit crer une nouvelle entre, soit mettre jour son adresse IP sur le serveur autoritaire. 4. Si le serveur accpte la demande du client, il va mettre jour ladresse IP de celuici. 5. 8. Dans une deuxime partie (les quatres derniers paquets), le client effectue une requte inverse pour mettre jour la zone inverse qui lui fait autoriter. Le principe est le mme que pour une requte directe. Le DNS dynamique rduit beaucoup ladministration du serveur DNS. En effet, chaque client Windows 2000 est capable de senregistrer dans le DNS automatiquement au dmarrage ( 5.2).
- 61 -
Diplme 2001
Ce systme fonctionne aussi bien avec des adresses IP statiq ues, quavec des adresses IP dynamiques dont lattribution se fait grce un serveur DHCP ( Dynamic Host Configuration Protocol). Il existe deux types de mise jour dynamique : Dynamic Update : Cette mise jour peut tre effectue par nimporte qui. Chaque client possde une option par dfaut qui effectue cette mise jour ( Kerberos, Annexe 1 2). Secure Dynamic Update : Les zones intgres Active Directory ( 7.2.4) peuvent tre configures pour effectuer une mise jour scurise. Les listes de contrles daccs permettent de spcifier qui a le droit de mettre jour le DNS. La mise jour scurise est base sur lalgorithme GSS Algorithm for TSIG . Cet algorithme est bas sur linterface GSS-API (Generic Security Service Application Program Interface). Zone de recherche
7.2.4
Le service DNS offre la possibilit de partager lespace de noms en une ou plusieurs zones. Lespace de noms DNS reprsente la structure logique des ressources de votre rseau et les zones DNS fournissent une structure de stockage physique pour ces ressources. Zone de recherche directe Une zone de recherche directe permet les requtes de recherche directe, qui font correspondre une adresse IP un nom. Si linstallation du serveur DNS seffectue en mme temps quActive Directory, une zone de recherche directe (intgre Active Directory) correspondant au nom est automatiquement cre. Trois types de zone sont disponibles : Active Directory-integrated : Ce type de zone correspond une copie matre dune nouvelle zone. Elle utilise Active Directory pour stocker les fichiers de zones. Ladministration seffectue de manire automatique si les clients du domaine ont activ loption Register this connections addresses in DNS ( Kerberos, Annexe 1 2). Ce type de zone gre l es listes de contrles daccs (ACL Access Control List ) qui permettent de spcifier les utilisateurs ou les groupes autoriss modifier ces zones intgres. Standard primary : Cette zone est aussi une copie matre dune nouvelle zone. Par contre, elle est stocke dans un fichier texte standard. Ladministration ne seffectue donc pas automatiquement. Standard secondary : Ce type de zone correspond un rpliqua en lecture seule dune zone matre existante et stocke dans un fichier texte standard.
- 62 -
Diplme 2001 Zone de recherche inverse
Une zone de recherche inverse nest pas cre automatiquement. Cette zone effectue le travail inverse de la zone de recherche directe, cest--dire qu partir dun nom, elle trouve ladresse IP. Ce type de zone est utilis dans certain cas comme par exemple nslookup, ou encore pour que le protocole Kerberos fonctionne correctement ( Kerberos 4.2). Les types de zones sont identiques aux zones de recherche directe. 7.2.5 Vulnrabilit : Transferts de zone DNS
Lespace de noms dActive Directory sappuie sur DNS. Le serveur DNS qui lui est associ est donc une source majeure de renseignements. Par dfaut, on peut effectuer des transferts de zone vers nimporte quel hte distant. Par exemple, grce lutilitaire nslookup, un simple transfert de zone peut recenser une foule dinformations rseau intressantes.
C:\>nslookup Default Server: dc1.eig Address: 10.0.1.10 > ls d eig [dc1.eig_souchon] eig. SOA eig. A eig. NS ... _gc._tcp SRV _kerberos._tcp SRV _kpasswd._tcp SRV _ldap._tcp SRV _kerberos._udp SRV _kpasswd._udp SRV C1 A dc1 A S1 A eig. SOA > exit
dc1.eig admin. (35 900 600 86400 3600) 10.0.1.10 dc1.eig priority=0, weight=100, port=3268, dc1.eig priority=0, weight=100, port=88, dc1.eig priority=0, weight=100, port=464, dc1.eig priority=0, weight=100, port=389, dc1.eig priority=0, weight=100, port=88, dc1.eig priority=0, weight=100, port=464, dc1.eig 10.0.1.12 10.0.1.10 10.0.1.11 dc1.eig admin. (35 900 600 86400 3600)
Pour bloquer ces transferts de zone DNS, il faut excuter Start Programs Administrative Tools DNS. Cliquez ensuite sur chaque zone et affichez ces Properties, onglet Zone Transfers (figure 7.4).
- 63 -
Diplme 2001
Architecture rseau base sur Windows 2000 FIGURE 7.4 : TRANSFERT DE ZONE DNS
Par dfaut, Windows 2000 est configur de faon autoriser les transferts de zone vers nimporte quel serveur. Pour dsactiver cela, choisissez loption Only to the following servers et entrez ladresse IP des serveurs autoriss faire cela. Source : Osman Eyrolles Multimedia Halte aux Hackers (Deuxime Edition) Chapitre 6, Transferts de zone DNS
- 64 -
Diplme 2001 7.3 SCNARIO 1 : DNS 7.3.1 Principe
La configuration DNS des deux serveurs DNS (DNS1 et DNS2) est essentielle pour quActive Directory fonctionne correctement. Cette section explique en dtail la configuration du DNS pour le premier domaine , car la configuration est identique pour le deuxime domaine. Chaque serveur DNS gre deux zones primaires et possdent deux zones secondaires. DNS1 Zone de recherche directe Zone de recherche inverse DNS2 Zone de recherche directe Zone de recherche inverse Zone primaire eig 10.0.1.0 Zone primaire eivd 10.0.2.0 Zone secondaire eivd 10.0.2.0 Zone secondaire eig 10.0.1.0
Il est important que DNS1 gre ces deux zones primaires et connaisse les deux zones de DNS2 (zones secondaires). Cela permet au DNS1 de ne pas aller interroger DNS2 lorsquil ne connat pas la rponse. On parle de rplication de zones DNS lorsque deux serveurs DNS schangent leurs zones DNS. Une fois que les zones primaires de DNS2 sont stockes sur DNS1, il ny pas plus de trafic DNS entre les deux domaines, sauf lorsquil y a une modification sur une des zones primaires. 7.3.2 Ports utiliss
Pour que les deux serveurs DNS puissent schanger leurs zones (rplication), il faut spcifier sur les routeurs Lightning les ports utiliss. Les serveurs DNS utilisent les ports UDP 53 et TCP 53. Lannexe 7 explique comment configurer ces ports. 7.3.3 Configuration
Commencez par crer les deux zones primaires sur chaque serveur DNS, et dans un deuxime temps, les deux zones secondaires. Lannexe 4 dcrit en dtail la configuration des serveurs lorsquActive Directory nest pas encore install. A ce niveau, pour tre sr que la configuration fonctionne correctement, effectuez des tests laide des commandes ping, et nslookup qui permet dinterroger directement les serveurs DNS. Ne pas oublier de changer le type des deux zones (directes et inverses) sur les deux serveurs DNS de chaque domaine lorsquActive Directory sera install. Il est recomma nd de les intgrer Active Directory .
- 65 -
Diplme 2001 7.4 SCNARIO 2 : TRUST 7.4.1 Principe
Le trust permet aux utilisateurs de sauthentifier depuis nimporte quel ordinateur sur un des deux domaines. Par exemple, lorsquun utilisateur de lEIG se dplace lEIVD, il pourra sauthentifier avec son compte dutilisateur sur le domaine EIVD. Contrairement ltape 2 o le trust est effectu dune manire automatique (trust implicite ) lorsquon ajoute le deuxime contrleur de domaine, dans cette tape il faut tablir le trust dune manire manuelle (trust explicite ). La figure 7.5 illustre ces types de trust . FIGURE 7.5 : TRUST
Trust implicite
Trust explicite
EIG
EIVD
EIG Deux domaines dans deux forts
EIVD
Deux domaines dans une fort 7.4.2 Ports utiliss
Comme pour le DNS, il faut configurer les routeurs Lightning pour quils acceptent le trust . Le trust utilise les ports UDP 389 (LDAP Lightweight Directory Access Protocol) et TCP 445 (SMB Server Message Block ). Lannexe 7 explique comment configurer ces ports sur les routeurs Lightning. 7.4.3 Configuration
La configuration du trust seffectue dans un sens la fois. Elle est dcrite en dtail dans lannexe 5.
- 66 -
Diplme 2001 7.5 SCNARIO 3 : RPERTOIRE CONFIDENTIEL 7.5.1 Principe
Ce scnario rappelle les diffrents objets crer ainsi que les autorisations appliquer et introduit la notion de propritaire . Contrleurs de domaine ( DC1 et DC2) : crez les mmes comptes dutilisateurs, groupes dutilisateurs et rpertoires partags comme expliqus dans ltape 1 ( 5). Serveurs de fichiers (S1 et S2) : partagez les rpertoires et crez les groupes locaux (AGDLP) correspondants ( 5.4.2).
Sur chaque serveur de fichiers, un nouveau rpertoire est partag. Par exemple, ce rpertoire peut contenir les notes des tudiants dans des fichiers Excel. On parle alors de rpertoire confidentiel, car part les professeurs, personne (mme les administrateurs) ne doit avoir accs ce rpertoire. Pour que cela soit possible, il faut quun administrateur cre un rpertoire et change le propritaire de ce rpertoire. En changeant de propritaire, ladministrateur donne les pleins pouvoirs ce nouveau propritaire (dans notre cas, le groupe professeurs). Il est alors possible dinterdire laccs ladministrateur. 7.5.2 Ports utiliss
Par exemple, lorsquon dsire ajouter des groupes globaux du domaine EIVD aux groupes locaux sur le serveur de fichiers S1 et utiliser la ressource partage correspondante, les trois ports suivants doivent tre ouverts : TCP 135 (MSRPC) : Ce port est utilis pour localiser les groupes globaux. TCP 389 (LDAP) : S1 utilise ce port interroger DC2. TCP 1027 (MSRPC) : Ce port est utilis pour ajouter les groupes globaux du domaine EIVD dans les groupes locaux de S1.
La configuration des ces ports est dcrite dans lannexe 7. 7.5.3 Configuration
Pour modifier le propritaire (owner) dun rpertoire, il faut afficher les Properties du rpertoire et cliquez sur longlet Security. 1. Dsactivez loption Allow inheritable permissions from parent to propagate to this object qui permet dannuler la propagation des autorisations parentes. 2. Supprimez le compte ou le groupe dutilisateurs qui possde toutes les autorisations grce Remove.
- 67 -
Diplme 2001
3. Ajoutez un nouvel utilisateur ou nouveau groupe avec toutes les autorisations (dans notre cas le groupe Professeurs ). La figure 7.6 illustre cela. FIGURE 7.6 : CHANGEMENT DE PROPRITAIRE
4. Appuyez sur Apply. Essayez daccder au rpertoire avec ladministrateur, le systme retourne Access is denied. 5. En sauthentifiant avec un utilisateur (prof_1) faisant parti du groupe Professeurs, on saperoit que le propritaire (owner) du rpertoire a chang (figure 7.7). FIGURE 7.7 : NOUVEAU PROPRITAIRE
- 68 -
Diplme 2001
8 ETAPE 4 : AUTHENTIFICATION SUR UN SERVEUR WEB

8.1 OBJECTIFS Lobjectif de ce scnario est daccder depuis internet un serveur WEB se trouvant en interne dans le domaine de l EIVD. Le serveur WEB utilise Active Directory pour authentifier les utilisateurs. 8.1.1 Deux domaines avec deux contrleurs de domaine ( DC1, DC2) Un serveur WEB IIS 5.0 (S2) Deux clients (C1, C2) Deux routeurs Lightning Ethernet II ( ROUTER3, ROUTER4 ) Deux zones dadressages prives de classe C
Structure physique

Client
LAN Client
WAN
Internet
WAN
LAN
WEB Server
ROUTER3 Domain Controller
ROUTER4 Domain Controller Client
EIG
EIVD
La configuration IP des ordinateurs et des routeurs Lightning est identique celle de ltape 3 ( 7.1.1) avec en plus un client externe supplmentaire. Cext 129.194.187.47 255.255.252.0 129.194.184.3 129.194.4.6 Windows 2000 Professional
IP Address Subnet Mask Gateway DNS Server Operating System
8.1.2
Structure logique
La structure logique est identique celle de ltape 3 ( 7.1.2).
- 69 -
Diplme 2001 8.2 SCNARIO 1 : SERVEUR WEB IIS 5.0 8.2.1 Principe
Le serveur WEB utilis est celui livr avec Windows 2000 Professional, IIS 5.0 (Internet Information Services). Son FQDN est www.eivd. Le serveur WEB doit tre atteint de trois manires diffrentes : Depuis le domaine EIVD : le serveur WEB est accessible directement, car il se trouve dans le mme domaine (ordinateur membre du domaine EIVD). Depuis le domaine EIG : Il faut configurer ROUTER3 pour autoriser les ordinateurs du domaine EIG y accder (ordinateur membre du domaine EIG ). De plus, ROUTER4 doit autoriser les accs sur le port 80 de S2. Depuis internet : les clients externes doivent obligatoirement connatre linterface externe de ROUTER4 (129.194.186.207) pour y accder. En effet, cette adresse IP nest pas enregistre dans un DNS externe. Par contre, il est possible de rajouter la ligne suivante dans le fichier \WINNT\system32\drivers\etc\hosts : 129.194.186.207 www.eivd
Lorsquun FQDN est tap, lordinateur regarde dabord dans ce fichier pour voir si ladresses IP correspondante est prsente, sinon il interroge le serveur DNS spcifi. 8.2.2 Authentification intgre de Windows
Toute personne qui dsire accder au serveur WEB doit sauthentifier. Lauthentification choisie est Integrated Windows authentication. Cest une mthode dauthentification scurise car le nom dutilisateur et le mot de passe ne sont pas transmis en clair via le rseau. Le mot de passe est transmis en utilisant une fonction de hachage . Ce type dauthentification peut utiliser deux protocoles dauthentification : Kerberos v5 : protocole dcrit dans le chapitre 4. NTLM : ancien protocole propritaire de Microsoft utilis par les preWindows 2000 ( Annexe 1).
Les trois manires daccder au serveur nutilisent pas le mme protocole dauthentification. Le navigateur doit tre Internet Explorer 5.0 ou suprieur pour que ce type dauthentification fonctionne.
- 70 -
Diplme 2001 8.2.3
Architecture rseau base sur Windows 2000 Diffrentes variantes daccs un serveur WEB
Ltude comprend six variantes diffrentes pour accder au serveur WEB : 1. 2. 3. 4. 5. 6. Accs avec etudiant_3 depuis le domaine EIVD en utilisant IE 5.0 Accs avec etudiant_3 depuis le domaine EIVD en utilisant IE 6.0 Accs avec etudiant_1 depuis le domaine EIG en utilisant IE 5.0 Accs avec etudiant_3 depuis le domaine EIG en utilisant IE 5.0 Accs avec etudiant_3 depuis internet en utilisant IE 5.0 Accs avec etudiant_3 depuis internet en utilisant IE 6.0
Ces variantes sont illustres sous forme de diagramme en flches dans lannexe 8. De plus, les diffrentes analyses de protocole faite avec Ethereal sont disponibles dans lannexe 11. On peut remarquer plusieurs choses : Negotiate / NTLM : le deuxime paquet venant du serveur WEB propose au client deux mthodes dauthentification qui ne fonctionne quavec Internet Explorer 5.0 ou plus. Negotiate ngocie le protocole dauthentification (Kerberos ou NTLM) et NTLM utilise que le protocole NTLM. KRB_Error : lorsquon utilise Internet Explorer 5.0 depuis lun des deux domaines, Internet Explorer essaye dobtenir un ticket pour accder au serveur WEB grce au protocole Kerberos. Le KDC lui renvoie une erreur KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN qui signifie quil ne trouve pas le service demand (dans notre cas HTTP). A part quelques informations trouves sur les newsgroups, rien de trs concret. RPC Client / RPC Server : ces deux paquets sont changs entre le serveur WEB et le contrleur de domaine qui possde lutilisateur. Le serveur WEB va vrifier si le mot de passe que lutilisateur a rentr (figure 8.1) est correct. Ces deux paquets sont chiffrs par le protocole NTLM. Etudiant_1 ou Etudiant_3 : le choix du contrleur de domaine est dpendant du compte utilisateur. Par exemple, etudiant_1 est gr par DC1, cest donc lui qui va comparer si le mot de passe entrer par lutilisateur correspond au mot de passe dans Active Directory. Internet Explorer 6.0 : lorsquon utilise cette version, le navigateur nessaye plus dobtenir des tickets au prs du KDC grce au protocole Kerberos. Il utilise directement le protocole NTLM . Cext : quon utilise Internet Explorer 5.0 ou 6.0 depuis internet, seul le protocole NTLM est utilis. En effet, comme lordinateur ne fait pas parti dun des domaines, le protocole Kerberos ne peut pas tre utilis.
- 71 -
Diplme 2001 Remarques
Lutilisateur etudiant_1 provient du domaine EIG , alors que etudiant_3 du domaine EIVD. Le navigateur affiche la fentre suivante (figure 8.1) lorsque le serveur WEB demande de sauthentifier. FIGURE 8.1 : FENTRE DAUTHENTIFICATION
Le champ Domain est obligatoire pour spcifier le domaine qui gre lutilisateur. 8.2.4 Ports utiliss
Pour quon puisse accder au serveur WEB, il faut spcifier sur ROUTER4 le port 80. De plus, il ne faut pas oublier dajouter une rgle dans Misc NAT sur ROUTER3 pour le domaine EIG puisse accder au serveur WEB : Protocol : Source : Source Port : Destination : Destination Port : tcp 10.0.1.0/24 any 10.0.2.11/32 http Mapping : To address : To port : Type :
mapto
129.194.186.207 http destination
Cette rgle permet aux paquets venant de 10.0.1.0/24 (EIG ) vers 10.0.2.11/32 (www.eivd) dtre envoyer vers 129.194.186.207. En effet, ladresse de destination est redfinit pour que les paquets arrivent sur linterface externe du routeur de EIVD. 8.2.5 Configuration
La configuration est relativement simple : 1. Installez le serveur IIS 5.0 sur S2. Dans My Computer Control Panel Add/Remove Programs Add/Remove Windows Components, cochez la case Internet Information Services (IIS). 2. Lorsque le serveur WEB est install, la premire chose est dappliquer le patch contre le virus Nimda . La rfrence de Microsoft est Q301625.
- 72 -
Diplme 2001
3. Grce la console MMC (Snap-in : Internet Information Services), dans Default Web Site Properties onglet Directory Security, cliquez sur Edit de la partie Anonymous access and authentication control . 4. Dsactivez Anonymous access et activez Intregrated Windows authentication. 5. Dans Forward Lookup Zones du serveur DNS2, rajoutez dans la zone eivd un nouveau alias avec NewAlias www qui pointe sur s2.eivd.
- 73 -
Diplme 2001
9 PROBLMES GENERAUX RENCONTRS

9.1 PARTAGE DE FICHIERS ET DIMPRIMANTES SOUS W INDOWS 2000 SERVER Aprs avoir installer et configurer Active Directory, il faut faire attention ne pas dsactiver File and Printer Sharing for Microsoft Networks dans la configuration de la carte rseau. Sinon, il est impossible dajouter des ordinateurs dans le domaine.
9.2 LOCALISATION DU CONTRLEUR DE DOMAINE Sous Windows 2000, les noms des domaines sont des noms DNS. Cest pour cela quil faut ne pas omettre de configurer sur chaque poste client le serveur DNS du domaine (dans notre cas, le serveur DNS est install sur le contrleur de domaine, mais il peut trs bien tre sur un autre serveur). Grce au serveur DNS, le client peut ainsi obtenir les informations dont il a besoin pour localiser le contrleur de domaine. Le mme problme se pose au moment o lon ajoute un deuxime contrleur de domaine (soit dans larbre de domaine, soit dans la fort de domaine). En effet, le deuxime contrleur de domaine doit aussi localiser le premier contrleur de domaine soit pour joindre larbre de domaine, soit pour faire parti de la mme fort.
9.3 FONCTION NAT ACTIVE PAR DFAUT SUR LE ROUTEUR LIGHTNING Il faut faire attention dsactiver loption NAT dans la configuration du routeur Lightning (firmware 3.0.1b). En effet, cette option est active par dfaut lors du dmarrage du routeur. Elle est visible en utilisant lutilitaire ( Ethernet II Configurator) de Lightning livr avec le routeur dans longlet Interfaces NAT NAT enabled. FIGURE 9.1 : LIGHTNING CONFIGURATOR
- 74 -
Diplme 2001
9.4 IMPOSSIBLE D ANALYSER LE TRAFIC DES ROUTEURS LIGHTNING Lensemble des ordinateurs utiliss possde une carte rseau 10/100 Mbits et sont connects sur un hub 10/100 Mbits. Les routeurs Lightning possdent deux interfaces, une 10/100 Mbits (LAN) et lautre 10 Mbits (WAN). Pour analyser le trafic des routeurs Lightning, il faut que le driver la carte rseau de lordinateur en question travaille uniquement 10 Mbits . Pour une raison inconnue, le hub ne reproduit pas le trafic 10 Mbits sur les interfaces 100 Mbits.
- 75 -
Diplme 2001
10 CONCLUSION
Ce systme dexploitation est sortit le 25 aot 1999 aux Etats-Unis. Aujourdhui, deux Service Pack importants sont disponibles. Le systme est gnralement stable. Durant ces trois mois, il na plant que une ou deux fois. Au niveau protocole, Windows 2000 possde un grand avantage sur ses prdcesseurs car il utilise le protocole DNS pour localiser les diffrents ordinateurs dun rseau. De plus, le protocole NetBIOS peut tre dsactiv, ce qui permet de rduire les broadcasts. Un grand effort a t fait dans la scurit. Windows 2000 utilise en standard le protocole Kerberos qui permet de chiffrer toutes les authentifications effectues par les utilisateurs. Kerberos permet la mise en uvre de relations dapprobations entre diffrents domaines. Par contre, linteroprabilit avec dautres systmes est conteste car Windows 2000 utilise un champ supplmentaire pour transporter les SID qui nest pas pris en compte dans limplmentation standard de Kerberos. Toutes les informations du rseau sont stockes dans un annuaire centralis appel Active Directory . Active Directory facilite la recherche et ladministration des ressources prsentes dans un rseau. Laudit fait partit de la scurit de Windows 2000. Il permet denregistrer tout ce qui se passe sur un rseau du changement dattributs jusquaux modifications dautorisations. La rplication est un lment essentiel lorsque Windows 2000 est utilis dans plusieurs domaines. Elle permet de diminuer le trafic entre les domaines, car elle peut aller jusqu rpliquer un simple attribut. Beaucoup de particuliers utilisent Windows 2000, par contre peu dentreprises ont migrs leur parc informatique sous Windows 2000. Il faudra, je pense, encore attendre un peu pour que le systme possde un niveau de maturit plus important. La sortie prochaine du Service Pack 3 devrait favoriser cela. Sur le plan personnel, ce travail ma permis de beaucoup mieux connatre Windows 2000 dans son ensemble. La comparaison avec dautres systmes est maintenant beaucoup plus claire quau dbut de la 5me anne. Windows 2000 est trs vaste et trs complet, il est donc impossible de ltudier en douze semaines. De plus, lvolution des systmes dexploitatio n utiliss pour des rseaux va trs vite. Le nouveau systme de Microsoft, Windows XP, est dj sortit alors que Windows 2000 commence percer dans les grandes entreprises. Pour finir, je dirais que Windows 2000 est une grande volution dans les systmes dexploitation ddis aux rseaux informatiques.
Yann Souchon
- 76 -

Architecture Reseaux Basee Sur Windows 2000

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Architecture Reseaux Basee Sur Windows 2000

Transféré par

Droits d'auteur :

Formats disponibles

e i g

Laboratoire de Transmissions de donnes

Architecture rseau base sur Windows 2000

Informations Date Etudiant Email 04.12.2001 Yann Souchon yann@linuxch.org

Professeur Grald Litzistorf

Architecture rseau base sur Windows 2000

Time New Romain Italique Gras

Et toutes les personnes qui mont soutenues :

Architecture rseau base sur Windows 2000

ETAPE 1 : 1 DOMAINE 5.1 5.2 5.3 5.4 5.5

Architecture rseau base sur Windows 2000

Architecture rseau base sur Windows 2000

1 PRSENTATION DU MMOIRE DE DIPLME

Architecture rseau base sur Windows 2000

Diplme 2001 2.2 AUTORISATIONS LOCALES 2.2.1 Autorisations au niveau dossier

Architecture rseau base sur Windows 2000

Diplme 2001 2.2.3 Autorisations multiples

Architecture rseau base sur Windows 2000

Diplme 2001 2.3 AUTORISATIONS DE PARTAGE

Architecture rseau base sur Windows 2000

Architecture rseau base sur Windows 2000

Diplme 2001 3.2 COMPOSANTS 3.2.1

Architecture rseau base sur Windows 2000

Objet et attribut (Object and attribute)

Architecture rseau base sur Windows 2000

Architecture rseau base sur Windows 2000

FIGURE 3.3 : COMPTES D UTILISATEURS

Domain Controller File Server

Architecture rseau base sur Windows 2000

Accs aux Ressources

EIG Groupes globaux

Groupes de domaine locaux Groupes locaux Client

Domain Controller File Server Domaine

Diplme 2001 3.3 STRUCTURE LOGIQUE

Architecture rseau base sur Windows 2000

Diplme 2001 3.4 STRUCTURE PHYSIQUE 3.4.1

Architecture rseau base sur Windows 2000

Contrleur de domaine (Domain Controller)

Architecture rseau base sur Windows 2000

Architecture rseau base sur Windows 2000

K_TGS K_S KDC TGS

AP_Req : {T_S} K_S , {A_C} K_C,S

AP_Rep : {Timestamp} K_C,S

Diplme 2001 Ticket

Architecture rseau base sur Windows 2000

Rapport du projet de semestre Kerberos Chapitre 2.2

Diplme 2001 4.2 GESTION DES CLS

Architecture rseau base sur Windows 2000

Password MD5 Long-Term Symmetric Key Kerberos Client

Password MD5 Long-Term Symmetric Key KDC

Architecture rseau base sur Windows 2000

Architecture rseau base sur Windows 2000

Disposant de trois ordinateurs, le rseau est mis en uvre de la faon suivante :

Ce tableau rsume la configuration rseau des trois ordinateurs constituant le domaine.

EIG-SOUCHON IP Address Subnet Mask Gateway DNS Server Operating System

129.194.187.57 255.255.252.0 129.194.184.3 129.194.187.59 Windows 2000 Professional

129.194.187.59 255.255.252.0 129.194.184.3 129.194.187.59 Windows 2000 Server

129.194.187.58 255.255.252.0 129.194.184.3 129.194.187.59 Windows 2000 Professional

Diplme 2001 5.1.2 Structure logique

Architecture rseau base sur Windows 2000

Units dorganisation : 1. Professeurs 2. Etudiants 3. Groupes 4. Ressources

Architecture rseau base sur Windows 2000

Read Change Full Control