Etude dActive Directory

Emmanuel le Chevoir
Herv Schauer Consultants
Cet article prsente une tude dtaille de lannuaire Microsoft Active Directory dans Windows 2000 et des technologies qui y sont lies. Y sont abords en dtail les concepts dannuaire lectronique, de domaine Windows 2000, ainsi que limplmentation DNS de Microsoft et les nouveaux mcanismes dauthentication.

Table des matires

1.1. Introduction................................................................................................................................2 1.2. Active Directory : un annuaire .................................................................................................2 1.2.1. Pourquoi un annuaire ?.....................................................................................................3 1.2.2. Contraintes .......................................................................................................................3 1.2.2.1. Laspect dynamique ..............................................................................................3 1.2.2.2. La exibilit..........................................................................................................4 1.2.2.3. La scurit ............................................................................................................4 1.2.3. Particularits dun annuaire..............................................................................................4 1.2.3.1. Sollicitations .........................................................................................................5 1.2.3.2. Nature des transactions.........................................................................................5 1.2.3.3. Accs linformation ...........................................................................................5 1.2.3.4. Communication entre annuaires ...........................................................................5 1.2.4. Compatibilit avec les autres annuaires ...........................................................................6 1.2.4.1. LDAP....................................................................................................................6 1.2.4.2. Microsoft ADSI ....................................................................................................7 1.2.5. Spcicits .......................................................................................................................7 1.2.5.1. Rplication............................................................................................................7 1.2.5.2. Un annuaire pour tout enregistrer.........................................................................8 1.2.5.3. Des mcanismes de scurit complexes ...............................................................8 1.3. Les domaines Active Directory .................................................................................................8 1.3.1. Introduction : avant Active Directory...............................................................................9 1.3.2. Le Contrleur de Domaine de Windows 2000 .................................................................9

Etude dActive Directory 1.3.2.1. NTDS.DIT : la base de donnes dActive Directory..........................................10 1.3.2.2. Lorganisation des donnes dans Active Directory : contenu et schema............10 1.3.2.3. Notions dArbre et de Fort................................................................................13 1.3.2.4. Domaine racine...................................................................................................13 1.3.2.5. Relations de conance entre domaines...............................................................14 1.3.2.6. rplication multi-matres ....................................................................................15 1.3.2.7. Le FSMO ............................................................................................................16 1.3.2.8. Le Catalogue Global...........................................................................................18 1.4. Vers un nouveau mcanisme dauthentication : Kerberos.................................................18 1.4.1. Avant Kerberos : NTLM ................................................................................................18 1.4.2. Kerberos 5 : une authentication unique, un protocole prouv....................................19 1.4.2.1. Principe...............................................................................................................19 1.4.2.2. Limitations de Kerberos 5 dans Windows 2000. ................................................21 1.4.3. Intgration dans Active Directory ..................................................................................22 1.4.4. Compatibilit..................................................................................................................23 1.4.5. Spcicits de limplmentation Microsoft ...................................................................24 1.5. DDNS : le DNS selon Microsoft ..............................................................................................24 1.5.1. Mort programme de NetBIOS ......................................................................................24 1.5.2. Intgration Active Directory ..........................................................................................25 1.5.3. Compatibilit de limplmentation.................................................................................26 1.5.4. Spcicits .....................................................................................................................27 1.5.4.1. Mise jour Dynamique ......................................................................................27 1.5.4.2. Suppression des enregistrements obsoltes ........................................................29 1.5.4.3. Support des caractres Unicode..........................................................................32 Rfrences Web ...............................................................................................................................32 Glossaire...........................................................................................................................................33

1.1. Introduction
Avec Windows 2000, Microsoft a introduit un ensemble complet de nouveaux outils et mthodes qui changent considrablement lapproche de ladministration et de la scurisation dun systme ou dun rseau, rendant son prcdent systme, Windows NT, obsolte. Ces nouveauts ont pour but avou de combler les lacunes de NT en matire de scurit, dune part, et dhomogniser toute ladministration des domaines tout en renforcant la scurit globale du rseau, dautre part. Lensemble de ces changements sarticule autour dun point, dune cl de vote : Active Directory.

Etude dActive Directory

1.2. Active Directory : un annuaire

1.2.1. Pourquoi un annuaire ?
Active Directory est avant toute chose un annuaire, comme le sont galement NDS, de Novell, ou iPlanet, de Sun. Avant daller plus loin dans ltude dActive Directory, il faut dnir ce quest exactement un annuaire. Avec le dveloppement des rseaux, les services offerts se sont multiplis. On trouve ainsi couramment sur un mme rseau un service de messagerie, un serveur de chiers, un agenda partag, etc. Avant daccder un quelconque service, il est souvent demand aux utilisateurs de sauthentier, an de se faire reconnaitre du service en question. De mme, chaque utilisateur dun service disposera de ses propres donnes, de ses propres paramtres, pour lutilisation du service. En prenant lexemple de la messagerie, un utilisateur devra donc :

sauthentier auprs du serveur de messagerie, au moyen dun identiant et dun mot de passe, par exemple pouvoir accder son courrier diter ses donnes personnelles (au minimum nom, prnom et adresse personnelle).

Les mmes besoins se font sentir si lutilisateur utilise un service dagenda, par exemple. L encore, il devra pouvoir se faire reconnaitre du service, stocker des informations le concernant, enregistrer ses rendez-vous, etc... Historiquement, chaque service implmentait les mcanismes ncessaires chaque opration lui tant propre (identication, stockage de donnes, etc...). Plus le rseau est vaste et plus les services se multiplient. Il est par consquent difcile, sur un rseau tendu, de contrler nement et efcacement lensemble des resources avec une telle approche. Cest l que le concept dannuaire prend son sens. Un annuaire va permettre de centraliser les informations dun utilisateur, dun service, etc... pour en simplier ladministration. Chaque utilisateur disposera dune entre dans lannuaire, entre dans laquelle seront conserves toutes les donnes le concernant. Les services nauront alors plus qu consulter lannuaire pour fournir lutilisateur les donnes quil attend.

1.2.2. Contraintes
Il est intressant de se pencher sur les contraintes qui se trouvent derrire le concept dannuaire lectronique.

Etude dActive Directory 1.2.2.1. Laspect dynamique Un annuaire lectronique doit avant tout tre dynamique. Il doit pouvoir tre mis jour rapidement, et ces modications doivent tre accessibles immdiatement, ce dans le but de diminuer le dlai de diffusion de linformation sur le rseau. Laspect dynamique dun annuaire permet galement de faciliter la dlgation des responsabilits. Cest le propritaire dune information qui met celle-ci jour ; linformation se trouve ainsi rapproche de sa source an de la rendre toujours plus pertinente.

1.2.2.2. La exibilit Un annuaire lectronique doit galement rpondre une deuxime contrainte, celle de la exibilit. Pour quil soit efcace, la structure dun annuaire doit pouvoir tre modie pour sadapter aux nouvelles entres qui doivent y tre enregistres. Lajout dun attribut, dune structure de donnes complte ou dune entre dans un annuaire lectronique doit pouvoir se faire sans altrer les informations existantes pour le reste de lannuaire. De mme, il doit tre possible de modier lorganisation des donnes au sein de lannuaire. La fonction principale dun annuaire est dorganiser les donnes de telle faon quelles puissent tre retrouves le plus rapidement possible. Pour ce faire, un annuaire met en place un classement qui lui est propre, susceptible dvoluer en fonction des informations qui sont ajoutes lannuaire.

1.2.2.3. La scurit Un annuaire lectronique doit tre en mesure de contrler les donnes quil fournit, et ce en fonction de diffrents critres, qui peuvent aller de la localisation gographique de lutilisateur demandant une information son identit complte. Des mcanismes dauthentication doivent tre prsent an de permettre, par exemple, dinterdire laccs un sous-ensemble de lannuaire, ou certains attributs. Il doit galement tre possible de restreindre laccs certaines informations en fonction de relations tablies ou non dans les donnes existant dans lannuaire. Par exemple, un administrateur local devra pouvoir accder aux prols des utilisateurs locaux, mais pas ceux des utilisateurs du domaine. De mme, un utilisateur local ne pourra pas accder aux informations concernant ladministrateur. Il est galement envisageable de ltrer les informations en fonction de lendroit do une personne accde lannuaire. Par exemple, un annuaire peut avoir une interface prive et une interface publique. Les informations dites publiques tant accessibles depuis Internet, et les informations prives seulement depuis un intranet. Enn, recoupant la contrainte de exibilit, il doit tre possible de contrler prcisment la dlgation des responsabilits.

Etude dActive Directory

1.2.3. Particularits dun annuaire

Les annuaires sont souvent compars des bases de donnes. La comparaison, si elle est justie, cr pourtant une ambigut quil faut lever. Si un annuaire est effectivement une base de donnes, la rciproque est fausse. Quelles sont donc les particularits dun annuaire ? 1.2.3.1. Sollicitations Un annuaire est beaucoup plus sollicit en lecture quen criture. Cest le but premier dun annuaire que dtre consult, doffrir des informations. Mme sil faut mettre jour un annuaire, et que, comme cela a t dcrit auparavant, la nature dynamique dun annuaire implique la rgularit de ces mises jour, les critures dans un annuaire sont ngligeables face aux lectures.

1.2.3.2. Nature des transactions Les transactions gres par un annuaire sont de nature simple. Un annuaire na pas pour vocation de grer de multiples transactions en concurrence, ou de traiter de gros volumes de donnes. De par lorganisation des donnes dans un annuaire, il nest pas ncessaire de mettre en place des mcanismes complexes de vrication de lintgrit des donnes.

1.2.3.3. Accs linformation Le but dun annuaire est dtre consult, de fournir des informations. Ces informations doivent tre accessibles quelle que soit la distance sparant la personne demandant linformation et lannuaire lui-mme. De mme, quel que soit le dbit de la liaison entre lannuaire et le client, la consultation, disons, dun numro de tlphone, doit pouvoir se faire rapidement.

1.2.3.4. Communication entre annuaires Rpondant au besoin de exibilit, la communication inter-annuaire est une caractristique importante. Elle permet, entre autre, de mettre en place efcacement la dlgation de ladministration des donnes servies. Lintrt de disposer de plusieurs annuaires lectroniques dans une multinationale est aisment comprhensible. Les informations concernant les employs franais, par exemple, seront conserves dans un premier annuaire, et celle des employs de Californie dans un second. Ces deux annuaires seront en mesure de communiquer entre eux, si bien quune demande dinformations sur un employ californien lannuaire franais aboutira, de faon totalement transparente. Cette coopration est illustre Figure 1.

Etude dActive Directory Figure 1. Coopration de deux annuaires

1.2.4. Compatibilit avec les autres annuaires

1.2.4.1. LDAP Microsoft nest en rien un pionnier. En effet, bien avant lui, Novell proposait son annuaire, NDS, et le concept mme dannuaire avait t formalis par une norme, X.500, qui dnit prcisment la faon daccder un service dannuaire. La norme X.500 tant un peu lourde et sadaptant assez mal aux besoins existant, une version allge de X.500, appele LDAP fut normalise par la suite.

Etude dActive Directory Historiquement, de nombreux annuaires sappuient sur LDAP. Microsoft nchappe pas la rgle, et les accs Active Directory se font avec des requtes LDAP classiques.

1.2.4.2. Microsoft ADSI An de faciliter les accs un ensemble dannuaires htrognes, Microsoft a dvelopp une couche dabstraction, appele ADSI (Active Directory Service Interface) [w2kadsi], permettant dinterroger de faon transparente et homogne un ensemble de services dannuaire, au moyen de scripts ou de programmes crits en C/C++. Cette couche dabstraction rend la manipulation de donnes appartenant un annuaire trs simple, quelque soit le service dannuaire sous jacent. Nativement, ADSI supporte les annuaires de type :

LDAP Windows NT NDS Netware 3

Il est galement possible dajouter le support dautres services dannuaire ADSI en dveloppant des connecteurs ADSI spciques. Enn, certains produits Microsoft tels que Exchange et IIS, bien quil ne sagisse pas dannuaires, disposent dune interface ADSI.

1.2.5. Spcicits
La prcdente partie a prsent Active Directory comme un service dannuaire lectronique classique. Cependant, Active Directory pousse le concept dannuaire dans ses retranchements. En effet, tout ou presque, dans Windows 2000, peut tre enregistr dans lannuaire. De plus, les mcanismes de rplication, ncessaires la tolrance de panne, entre autres, lui sont propres. 1.2.5.1. Rplication Active Directory est fortement bas sur LDAP, ce qui soulve un problme : LDAP ne dnit pas le mcanisme de rplication entre annuaires. Actuellement, les mcanismes de rplication dun annuaire LDAP sont en cours de normalisation lIETF [ldup], mais ce jour, rien nest encore nalis. Microsoft a donc fait le choix dimplmenter son propre mcanisme de rplication dannuaire. A ce jour, les dtails du protocole de rplication multi-matre cr par Microsoft ne sont pas connus. La

Etude dActive Directory rplication de lannuaire Active Directory sera traite plus en dtail dans la partie 3 de ce document, qui traite des contrleurs de domaine.

1.2.5.2. Un annuaire pour tout enregistrer Active Directory est bien plus quun simple annuaire. En effet, toutes les informations concernant le domaine contrl par la machine qui hberge lannuaire sont stockes dans ce mme annuaire. Sy trouvent, par exemple, la liste complte des utilisateurs ainsi que leur mot de passe, mais galement toutes les zones DNS, si lhte a des fonctions de Serveur de Noms [Section 1.5], les certicats numriques utiliss pour la gestion du domaine, la politique scurit des groupes du domaine, les rgles de ltrage IP du pare-feu Microsoft, ISA server, etc... Il est mme possible de stocker dans lannuaire des rgles spciques aux routeurs ou commutateurs Cisco, qui viendront chercher leur conguration deux mme en utilisant Active Directory. Le but tant clairement de centraliser au maximum ladministration du rseau.

1.2.5.3. Des mcanismes de scurit complexes Bien entendu, une telle volont de centraliser ladministration ne saurait tre viable sans une solide politique de scurit. An de pouvoir tablir de telles politiques, Active Directory repose entirement sur le concept dACL (Access Control List). Lannuaire Active Directory possde une structure arborescente, chaque lment tant soit un conteneur, soit une proprit. Chaque objet de lannuaire dispose de ses propres permissions. Il est donc possible de dnir compltement les permissions que lon souhaite donner lensemble des lments de lannuaire. Active Directory pouvant contenir des millions dentres, il est bien entendu inconcevable de dnir les permissions pour chaque objet de lannuaire. Chaque entre hrite donc des permissions de son parent, moins que cela ne soit chang de faon explicite. Cette approche scurit permet datteindre un niveau de granularit sans prcdent. Cependant, il faut veiller toujours utiliser au maximum les proprits dhritage, lensemble de permissions tant assez difcile auditer compte tenu du nombre dentres de lannuaire.

Etude dActive Directory

1.3. Les domaines Active Directory

1.3.1. Introduction : avant Active Directory
Active Directory regroupe sous un seul nom un ensemble considrable de services, et dsigne en fait, plus quun produit ou quun composant logiciel, un ensemble de standards et de protocoles compltant la base de donnes qui constitue lannuaire intgr Windows 2000. Avant Windows 2000, et plus particulirement dans Windows NT4, cet annuaire existait plus ou moins, sous la forme dun ensemble de composantes logicielles et de bases de donnes parses. On peut citer, parmi ces composantes :

IIS 4.0 La base dutilisateurs La base de donnes dExchange

Un effort tait dj fait pour homogniser cet ensemble doutils et de bases. Ainsi en tmoigne lAPI ADSI , permettant non seulement dunier laccs aux diffrents annuaires existant, avant mme que Microsoft ne mette en production sa propre solution, mais galement dtendre cet accs aux composantes de Windows NT 4.0, telles que celles qui viennent dtre cites. Lintgration complte de ces diverses composantes dans le systme na pourtant rellement t ralise quavec lapparition dActive Directory. Windows NT a galement introduit et tendu le concept de Contrleur de Domaine. Ce concept, sil est aujourdhui trs li au concept mme dannuaire (un annuaire Active Directory se trouve obligatoirement sur une machine faisant ofce de Contrleur de Domaine), tait un peu diffrent. Sous Windows NT 4.0, deux types de Contrleur de Domaine existaient :

Les PDC, ou Primary Domain Controler - Contrleur de Domaine Principal Les BDC, ou Backup Domain Controler - Contrleur de Domaine Secondaire

La diffrence entre ces deux types de Contrleur de Domaine est assez importante. Un domaine ne pouvait avoir quun seul PDC, mais plusieurs BDC. Le PDC tait le Contrleur autoritaire pour le domaine, et le seul sur lequel il tait possible dajouter une machine ou un utilisateur au domaine. Les BDC ntaient l quen cas de problme sur le PDC, pour prendre le relais. Cette notion de serveur primaire autoritaire unique et de serveurs secondaires dits de recopie, de sauvegarde, ressemble beaucoup lorganisation classique des serveurs DNS.

Etude dActive Directory

1.3.2. Le Contrleur de Domaine de Windows 2000

1.3.2.1. NTDS.DIT : la base de donnes dActive Directory Active Directory est un annuaire, il lui faut donc enregistrer les informations quil contient dans une base de donne. Cette base de donnes est modlise sous la forme dun seul chier, appel ntds.dit, et localis dans %systemroot%\NTDS\ntds.dit Lextension de ce chier, DIT, signie Directory Information Tree, ou arborescence dinformations de lannuaire. Cette base de donnes est base sur la base ESE (Extensible Storage Engine), cre lorigine pour Microsoft Exchange Server. Elle peut stocker plusieurs millions dobjets, et atteindre une taille maximale thorique de 70To. En comparaison, la base utilise pour stocker les utilisateurs de Windows NT 4.0 pouvait au maximum contenir 40 000 entres. Dans le rpertoire accueillant la base de donnes dActive Directory, se trouvent galement les journaux des transactions (ebd*.log). Ces journaux sont circulaires, ce qui peut tre assez droutant pour un administrateur venant du monde Unix. An dviter une perte des journaux dans le cas o le systme viendrait manquer despace disque, Windows 2000 cre deux chiers de journaux rservs, res1.log et res2.log.

1.3.2.2. Lorganisation des donnes dans Active Directory : contenu et schema Active Directory est une base de donnes, et par consquent contient de nombreuses informations. Ces informations sont structures de la faon la plus adapte, an de respecter au mieux les contraintes dun annuaire lectronique.

10

Etude dActive Directory Figure 2. Contenu de la base de donnes Active Directory

Trois sections, ou partitions, composent donc la structure dActive Directory. Ces sections sont appeles Naming Contexts, ou Contextes de Nommage. Ces trois contextes sont :

Le Domain Naming Context, Contexte de Nommage du Domaine Le Conguration Naming Context, Contexte de Nommage de la Conguration Le Schema Naming Context, Contexte de Nommage du Schma

La premire section contient les informations qui, la majorit du temps, sont assimiles Active Directory. Cest dire la partie concrte de lannuaire, les informations auxquelles Active Directory permet daccder, telles que la description des domaines et des Units dOrganisation.

11

Etude dActive Directory La deuxime section, le Contexte de Nommage de la Conguration, contient les informations concernant les sites, les sous-rseaux, les media de rplication [Section 1.3.2.6], les permissions, les donnes de conguration du service de rplication de chiers, du service Active Directory, ainsi que la conguration de divers autres services reposant sur Active Directory. La troisime section, le Contexte de Nommage du Schma, dnit la structure abstraite dActive Directory. Cette structure est extrmement importante, cest grce elle que les informations sont organises de faon consistente lintrieur de lannuaire. Y sont dnis les structures et les types de donnes des objets et des proprits contenus dans Active Directory. Un parallle simple peut tre fait entre le schma dActive Directory et la dnition des classes dun programme orient objet. Windows 2000 permet de modier le schma de lannuaire au moyen dun outil intgr dans une console MMC (Figure 3). Par exemple, supposons quun administrateur souhaite stocker la conguration de ses routeurs dans lannuaire, il faudra modier le schma an de lui ajouter de nouveaux types dobjets et dattributs, mme daccueillir ces donnes spciques. Figure 3. dition du schma Active Directory

12

Etude dActive Directory

Cisco et Microsoft ont beaucoup travaill ensemble an de rendre possible ce type dutilisation. De ce travail commun est n, dans un premier temps, DEN (Directory Enabled Networking) [DEN98], puis CNS/AD (Cisco Networking Services for Active Directory), qui tend le schma Active Directory standard avec un ensemble de primitives permettant dintgrer lannuaire de nombreuses donnes de conguration spciques aux quipements Cisco. Cependant, sil est intressant de pouvoir modier le schma de lannuaire Active Directory, cela reste une opration exceptionnelle. Une modication inadapte du schma est susceptible de rendre lannuaire moins efcace. De plus, les modications du schma Active Directory sont irrversibles.

1.3.2.3. Notions dArbre et de Fort Deux nouvelles notions sont apparues avec Windows 2000 et Active Directory, qui nexistaient pas sous Windows NT 4.0. Ces notions viennent complter le concept de domaine, et sinscrivent dans le prolongement de la volont de Microsoft dutiliser au maximum les conventions de nommage classiques en place sur Internet [Section 1.5]. La premire notion est la notion darbre. Un arbre reprsente un ensemble de domaines composant une structure hirarchique, o un domaine fait ofce de domaine racine. Par exemple, les domaines stagiaires.hsc.fr, tech.hsc.fr, et hsc.fr forment un arbre, tech.hsc.fr et stagiaires.hsc.fr tant des sousdomaines du domaine racine hsc.fr. Les concepts de domaines Windows 2000 et de domaines DNS tant encore spars, il est ici suppos que le domaine DNS hsc.fr est galement un domaine racine Windows 2000. Tous les domaines dun arbre partagent un espace de nommage commun. Ils disposent galement du mme schma, de la mme conguration, et le Catalogue Global [Section 1.3.2.8] est rpliqu entre tous les contrleurs de domaine appartenant larbre. Seul le Contexte de Nommage du Domaine nest pas rpliqu dans tout larbre. La seconde notion est la notion de fort. Une fort est un ensemble de domaines qui ne sont pas sousdomaines les un des autres, mais qui sont lis par une relation de conance bidirectionnelle transitive [Section 1.3.2.5]. Par exemple, les domaines stages.hsc.fr et zork.glou.net pourraient appartenir la mme fort (mais pas au mme arbre). Lun pourrait tre un domaine racine Windows 2000, et le second lui faire conance et le rpliquer. Une fort ne ncessite pas de domaine DNS racine commun ( lexception de ".", bien entendu), mais naura quun seul domaine racine Windows 2000. Le premier domaine appartenant une fort est automatiquement promu domaine racine. Dans une mme fort, les contrleurs de domaine partagent le schma, le Contexte de Nommage de la Conguration, et le Catalogue Global.

13

Etude dActive Directory 1.3.2.4. Domaine racine Un domaine Windows 2000 est constitu du Contexte de Nommage du Domaine dans Active Directory. Il reprsente lessentiel du contenu accessible de lannuaire, des utilisateurs, groupes, machines, etc., mais galement des empreintes de mot de passe, des SID, ... Le premier domaine Windows 2000 mis en place diffre un peu des suivants. Il est appel domaine racine Windows 2000, et est de facto le seul pouvoir modier les Contextes de Nommage du Schma et de la Conguration de larbre ou de la fort desquels il est domaine racine. De ce fait, un domaine racine Windows 2000 ne peut tre supprim, et ne peut pas tre rattach un domaine existant.

1.3.2.5. Relations de conance entre domaines Les domaines marquent les limites de la rplication. Les domaines rattachs, que ce soit dans une fort ou dans un arbre, partagent des donnes communes, mais les donnes propres un domaine particulier ne sont pas rpliques ailleurs que sur les contrleurs de ce domaine. La cration de domaines permet donc de contrler en partie le trac de rplication sur un rseau. Cependant, malgr cette limite de rplication, il est possible de dnir des relations de conance entre plusieurs domaines. Par dfaut, tous les domaines dun arbre ou dune fort sont lis par une relation de conance bilatrale transitive. Un utilisateur du domaine HSC, par exemple, pourra donc sauthentier sur nimporte quelle machine de la fort ou de larbre auquel appartient le domaine HSC, mme si cette machine appartient un domaine diffrent. Sous Windows NT 4.0, les relations de conance taient assez diffrentes, puisquunilatrales, et non transitives. Windows 2000 permet toujours dtablir ce type de relations de conance, dsormais appeles Conance Explicite. Cela dit, ces relations doivent tre cres manuellement. Ce type de relation permet de lier un domaine Windows 2000 un domaine Windows NT, voire un autre domaine Windows 2000. Ce type de relation, contrairement aux relations bilatrales et transitives, nimplique aucune rplication entre les domaines. Par consquent, un domaine li un domaine racine par ce type de relation ny est pas rattach .

14

Etude dActive Directory Figure 4. hirarchie de domaines et relations de conance

1.3.2.6. rplication multi-matres Un mme domaine peut contenir plusieurs contrleurs de domaine. Comme on la vu prcdemment [Section 1.3.2.4], un seul de ces contrleurs est authoritaire, et contrle, entre autre, le schma de lannuaire. Pourtant, chacun des annuaires peut se voir ajouter des entres, entres qui devront tre accessibles par tous les autres contrleurs de domaine si lon souhaite que le domaine conserve son intgrit. An de sassurer que tous les contrleurs disposent des mmes donnes, Microsoft a donc mis

15

Etude dActive Directory en place un systme efcace de rplication, dit multi-matre. Cette rplication entre contrleurs de domaine permet de rpartir la charge de faon transparente, mais aussi daugmenter la tolrance aux pannes. La rplication multi-matre est un concept compltement nouveau dans Windows 2000. Jusquici, Windows NT sappuyait sur les notions de PDC et de BDC [Section 1.3.1], o seul le PDC tait matre des informations. Windows 2000 assoupli considrablement ce concept en permettant chacun des contrleurs dun domaine de propager les changements qui y ont t fait tous les autres contrleurs. La notion de contrleur principal disparat donc. Avec ce type de rplication se pose bien sr le problme des conits. Pour rsoudre ceux-ci quand ils arrivent, Windows 2000 utilise des horodatages, ainsi que des numros de squence de mise--jour (USN - Update Sequence Number) et des GUID (Globally Unique Identier). Grce ces mcanismes, Windows 2000 remplace les enregistrements les plus anciens par les plus rcents. De plus, ces mmes mcanismes permettent galement de ne rpliquer que le ncessaire. La rplication, pour tre encore plus efcace, ne considre pas les objets Active Directory, mais leurs proprits. Ce niveau de granuralit supplmentaire permet de rduire considrablement le trac de rplication. La rplication Active Directory seffectue uniquement dans un site . Un site est un ensemble de machines ou de sous-rseaux connects entre eux avec une liaison disposant dune bande passante minimum. Cette bande passante doit tre au minimum de 256Kbps sur le rseau, et au minimum de 128Kbps entre deux machines. Souvent, un site correspond donc un rseau Ethernet, ou TokenRing, par exemple. La notion de site est purement matrielle. Un domaine peut stendre entre plusieurs sites, mais la rplication, par dfaut, ne se fera pas entre ces sites. Pour quelle aie lieu, il faut mettre en place un lien explicite, Inter-Site. Ce lien peut utiliser deux types de transports :

RPC sur TCP/IP, sur un lien rapide SMTP, sur un lien lent

Seul le transport RPC sur TCP/IP est utilisable pour lier deux sites dans le mme domaine. Cela signie donc que les diffrents sites composant un mme domaine doivent tre reli physiquement avec des liaisons rapides. Le transport SMTP, quant lui, ne peut tre utilis quentre deux sites appartenant deux domaines diffrents. Le protocole SMTP ntant absolument pas scuris, Windows 2000 chiffre toutes les donnes transitant sur ce lien, il faut donc, pour utiliser ce type de transport, une infrastructure complte de PKI, comprenant entre autres le composant logiciel Windows 2000 Enterprise Certication Authority.

16

Etude dActive Directory 1.3.2.7. Le FSMO Certains services sont trs peu adapts au concept de rplication multi-matres. Ce type de services tourne donc dans un mode particulier, au sein mme dActive Directory. Ce mode est appel FSMO, Flexible Single Master Operation. Ds quun contrleur de domaine fait tourner un tel service, il devient le matre FSMO de ce service, et dtient alors un rle FSMO. Dans Windows 2000, il existe cinq rles FSMO principaux : 1. Lmulateur PDC 2. Le serveur RID 3. Le serveur dInfrastructure 4. Le serveur matre du Schma 5. Le serveur matre du Nommage du Domaine

Lmulateur PDC Il en existe un par domaine. Ce service est ncessaire pour permettre de maintenir une compatibilit descendante avec les contrleurs de domaine NT 4.0. Lmulateur PDC rplique sa base sur les BDC NT 4.0 et joue le rle de Master Browser . Le serveur de RID Il en existe galement un par domaine. Ce serveur a en charge dallouer des groupes de RID (Relative Identier) chacun des contrleurs du domaine. Quand un contrleur na plus quune centaine de RID sa disposition, il contacte le serveur de RID pour obtenir un nouveau groupe de RID. Le serveur dInfrastructure Il en existe un par domaine. A lexception du Catalogue Global, la base Active Directory nest pas rplique entre deux domaines diffrents. Cependant, il se peut quun objet dans un domaine donn rfrence dautres objets dans dautres domaines. Par exemple, un groupe dans un domaine peut contenir un utilisateur appartenant un autre domaine. Quand un objet change dans un domaine, si cet objet est rfrenc par dautres objets dans un autre domaine, ces objets doivent mettre jour leurs rfrences. Cest le rle du serveur dInfrastructure que de scruter de tels changements et de mettre jour ces rfrences. Le serveur matre du Schma Ce service est le seul pouvoir effectuer des changements sur le schma de la base Active Directory [Section 1.3.2.2]

17

Etude dActive Directory Le serveur matre du Nommage du Domaine Seul ce serveur est autoris ajouter ou supprimer un domaine dune fret Active Directory.

1.3.2.8. Le Catalogue Global Toujours dans le but damliorer, dune part, lefcacit des mcanismes de rplication, et dautre part, la rapidit des requtes aux annuaires de tous les domaines composant le rseau, Active Directory implmente un composant appel Global Catalog (GC), ou Catalogue Global. Ce catalogue contient la partie des donnes de lannuaire qui doit tre rplique entre domaines, ainsi que les donnes les plus souvent demandes tous les annuaires de tous les domaines composant le rseau. Ce Catalogue Global fait partie intgrante de la base de lannuaire. Il ne reprsente pas une quatrime division compltant les trois premires [Section 1.3.2.2], mais est compos partir des donnes de lannaires marques comme appartenant au GC. Les donnes du Catalogue Global reprsentent approximativement 55% de la taille totale de la base complte. Chaque site contient obligatoirement un Catalogue Global. An de rendre ce catalogue encore plus efcace, il est possible de lui ajouter des lments. Bien entendu, si le catalogue devient trop important, tous les avantages quil apporte a priori sont perdus.

1.4. Vers un nouveau mcanisme dauthentication : Kerberos

Windows 2000 utilise dsormais Kerberos 5 comme mcanisme dauthentication. Kerberos 5 et Active Directory sont intimement lis dans Windows 2000. La partie qui suit expose les principes, les bases et les origines de Kerberos dans Windows 2000, ainsi que les liens entre Kerberos et Active Directory. Une tude complte de Kerberos, complmentaire de celle-ci, est galement disponible sur le site dHSC (http://www.hsc.fr)

1.4.1. Avant Kerberos : NTLM

Il est intressant, avant toute chose, de chercher comprendre pourquoi Microsoft a dcid dutiliser Kerberos 5, un mcanisme dauthentication dvelopp par le MIT, qui existe de longue date sous Unix. Avant Kerberos, et avant Windows 2000, par consquent, lalgorithme dauthentication utilis par Microsoft dans Windows NT tait NTLM. Le principe de NTLM est simple ; basiquement, le principe consiste stocker une empreinte du mot de passe utilisateur, partir de laquelle il est impossible de retrouver le mot de passe originel. Ceci

18

Etude dActive Directory est obtenu au moyen dune transformation irrversible (One Way Function, OWF). Voici les tapes de lalgorithme : 1. Le mot de passe est converti en unicode, et peut contenir jusqu 128 caractres. 2. La chaine obtenue est alors passe en entre dune fonction de hachage, MD4, pour obtenir en sortie une empreinte de 128 bits.

Cet algorithme semble assez robuste, mais quelques points mritent dtre souligns :

Cet algorithme est trs vulnrable une attaque par dictionnaire. Les empreintes transitant sur le rseau, ce type dattaque nest pas ngligeable. NTLM ne permet quune authentication du client au serveur. Le client prouve bien son identit au serveur, mais ne peut avoir aucune garantie quant lidentit de ce serveur. NTLM ne permet pas la dlgation daccrditation. Un service utilisant NTLM comme mcanisme dauthentication ne pourra donc pas reprsenter un client auprs dun autre service. Dans Windows 2000, cette dlgation est ncessaire an de rendre possible les relations de conance transitives entre contrleurs de domaine.

Malgr cela, il semble que NTLM soit une solution viable pour grer lauthentication. Pourquoi dans ce cas passer Kerberos 5 ? Pour une raison simple. Il est impossible, avec NTLM, de mettre en place une authentication unique (Single Sign On). Chaque service ncessitant une authentication demandera donc lutilisateur dentrer son mot de passe pour pouvoir le comparer lempreinte dont il dispose.

1.4.2. Kerberos 5 : une authentication unique, un protocole prouv.

Kerberos 5 permet donc effectivement de palier le problme de NTLM en ce qui concerne lauthentication unique. Il prsente cependant de nombreux autres avantages et inconvnients ; Kerberos est dvelopp par le MIT depuis dix ans. Le protocole est prouv, et dj relativement rpandu. 1.4.2.1. Principe Kerberos repose sur un principe original. Il est architectur autour de deux lments clef : lAS (Authorization Service) et le KDC (Key Distribution Service), respectivement le serveur dauthentication et le centre de distribution des cls. Ces deux lments sont deux entits logiques distinctes, mais sont trs souvent modliss par la mme entit physique. Cest le cas dans

19

Etude dActive Directory Windows 2000. Pour simplier, lAS et le KDC seront assimils un seul terme, le KDC. Un troisime lment est utilis : le TGS (Ticket Granting Service), service de dlivrement de ticket. Quand un utilisateur souhaite sauthentier, il envoie une demande au KDC (AS-REQ). Lors de cette demande, lutilisateur va entrer son mot de passe, qui va tre transform, puis utilis comme cl de chiffrement pour chiffrer la demande dauthentication. A aucun moment, donc, le mot de passe ou une reprsentation de ce mot de passe ne transitera sur le rseau. Le KDC recoit cette demande. Il est le seul a connatre le mot de passe de lutilisateur. Grce ce mot de passe, il va pouvoir dchiffrer la demande dauthentication. Si le dchiffrement russi, cest que lutilisateur a chiffr sa demande avec le bon mot de passe ; il vient donc de prouver son identit. Le KDC renvoie alors une rponse positive (AS-REP), comprenant une cl de session, qui servira valider tous les changes entre lutilisateur et le KDC. Si le dchiffrement choue, le KDC renvoie une erreur (KRB-ERROR). Une fois authenti, lutilisateur utilisera sa cl de session pour communiquer avec le KDC et demander des tickets, tickets qui serviront de preuve auprs des services sur lesquels lutilisateur souhaite sauthentier. La Figure 5 rsume la demande didentication dun utilisateur.

20

Etude dActive Directory Figure 5. Authentication Kerberos

1.4.2.2. Limitations de Kerberos 5 dans Windows 2000. Kerberos apporte incontestablement une rponse lgante au problme de lauthentication unique. Pourtant, Kerberos possde galement des inconvnients notables, qui sont dtaills dans une tude complte de Kerberos, galement disponible sur le site dHSC (http://www.hsc.fr) Un bref rsum de ces problmes est fait ici : Un point central de faille. Tout repose en effet sur un point central, le KDC. Tout le monde fait conance au KDC, et cest la

21

Etude dActive Directory seule autorit qui rgne sur le rseau. Si le KDC est compromis, cest donc lensemble du rseau qui se trouve compromis avec lui.

Une distribution difcile Le KDC tant le seul pouvoir prendre en charge lauthentication, il est impossible de rpartir les demandes sur dautres serveurs sans dcouper le domaine principal en sous-domaines et tablir des relations de conance entre les diffrents KDC. Microsoft a rsolu ce problme au moyen de son systme de rplication multi-matre. Cependant, cette solution ne fait quaggraver le constat prcdent, dmultipliant les points sensibles du rseau.

1.4.3. Intgration dans Active Directory

Il est intressant dobserver de quelle faon Microsoft a intgr Kerberos 5. Lapproche est originale, et assez diffrente de ce que lon peut trouver dans le monde Unix. Toutes les entits Kerberos (principals) sont enregistres dans la base Active Directory, avec les cls correspondantes. Toutes ces entres sont protges par des ACL spciques, qui permettent entre autre dviter quun administrateur quelconque ne puisse accder aux cls des entits, malgr ses privilges. Active Directory fait un usage intensif de Kerberos pour authentier tous les accs la base. Cependant, par soucis de compatibilit avec les versions prcdentes de Windows, les outils souhaitant accder Active Directory utilisent une couche dabstraction appele SSPI (Security Support Provider Interface), qui prend en charge lauthentication. Kerberos est le mcanisme dauthentication par dfaut, mais il existe aussi un SSP (Security Support Provider, un module dauthentication utilisant linterface SSPI) permettant dutiliser NTLM. Un client LDAP faisant une requte sur une base Active Directory, plutt que de se connecter de faon classique avec un couple BaseDN/mot de passe, va utiliser des mcanismes gnriques pour sauthentier. De faon transparente, le ticket Kerberos de lutilisateur sera utilis pour lidentier auprs du KDC. Selon que lidentication russi ou non, la requte sera faite. En fonction des permissions associes lutilisateur faisant la requte, le client pourra rcuprer les informations quil demande ou non. SSPI est une interface trs importante dans Windows 2000, et joue un rle trs important dans les interactions avec Active Directory. Ce mcanisme tmoigne, comme ADSI, dune volont de la part de Microsoft de rendre les accs lannuaire aussi souples que possibles. La Figure 6 illustre parfaitement le rle de SSPI dans le modle de scurit Windows 2000. Cependant, le SSP privilgi dans Windows 2000 est Kerberos 5. De nombreux services utilisent ainsi Kerberos travers linterface SSP, dont :

22

Etude dActive Directory

les services dimpression CIFS/SMB le service LDAP permettant daccder Active Directory IPSec la gestion de la QoS (Quality of Service) etc.

Linterface SSP est dcrite en dtail dans [sspi2000]. Figure 6. SSPI et le modle de scurit Windows 2000

23

Etude dActive Directory

1.4.4. Compatibilit
Une tude dtaille dinteroprabilit des diffrentes implmentations Kerberos est ralise dans un document galement disponible sur le site dHSC () (http://www.hsc.fr)

1.4.5. Spcicits de limplmentation Microsoft

Limplmentation Kerberos 5 de Windows 2000 diffre quelque peu de limplmentation traditionnelle dcrite dans [rfc1510]. Selon la spcication ofcielle de Kerberos, les changes entre clients et KDC se font au moyen de datagrammes UDP (User Datagram Protocol), les datagrammes en question contenant la plupart du temps un ticket, ou des informations visant lobtention dun ticket. Or, cause de la complexit des tickets mis par le KDC de Windows 2000, il est impossible de faire tenir ceux-ci dans un seul datagramme UDP, ceci cause de la taille rduite (1500 octets) du MTU Ethernet [6]. Ce qui est particulirement gnant, puisque, UDP tant un protocole non connect, les trames UDP ne contiennent aucune information relative lordonnancement des datagrammes. Rien ne garantissant que les datagrammes arrivent dans lordre o ils ont t transmis, il est a priori impossible de reconstituer de faon able un ticket mis par Windows 2000. Pour rsoudre ce problme, la transmission des tickets dautorisation de Windows 2000 se fait en TCP, et non en UDP. An de garantir linteroprabilit avec les implmentations classiques de Kerberos, le KDC de Windows 2000 est capable de gnrer des tickets standards quil envoie en UDP. Bien entendu, ces tickets sont trs diffrents des tickets utiliss entre deux Windows 2000. Cette utilisation de TCP au lieu dUDP pour lautorisation Kerberos est trs brivement dcrite dans [w2k-kerberos]. Elle est dcrite de faon complte dans [draft-brezak-win2k-krb-authz-00], se basant lui-mme sur les propositions faites dans [draft-ietf-krb-wg-kerberos-clarications-00].

1.5. DDNS : le DNS selon Microsoft

1.5.1. Mort programme de NetBIOS
DDNS (Dynamic Domain Name Service) est limplmentation DNS de Microsoft. Son objectif est de remplacer la fois le DNS de Windows NT 4.0, et le service WINS (Windows Internet Naming Service). Pourtant, le service WINS reste prsent dans Windows 2000. En effet, WINS est ncessaire si on souhaite utiliser NetBIOS sur TCP/IP[rfc1001]. Si les intentions de Microsoft sont claires - faire disparaitre les changes NetBIOS du rseau - la transition nest pas aise. Historiquement, les clients Windows utilisaient NetBIOS pour communiquer entre-eux. NetBIOS est un protocole de niveau session, pouvant utiliser plusieurs protocoles de transport, tel quIP. An

24

Etude dActive Directory de transporter les donnes NetBIOS sur le rseau, plusieurs protocoles de transports peuvent tre utiliss, principalement NetBT (NetBIOS sur TCP/IP) et NetBEUI . Les machines utilisant NetBIOS sidentient les unes aux autres en utilisant un nom compos de caractres, et non une adresse IP. Microsoft a dni trois type de services au dessus de NetBIOS :

le service de nommage le service de session le service de datagramme

Chaque fois quune machine souhaite enregistrer un nom ou un service, elle envoie un broadcast sur le rseau. Si le service ou le nom existe dj sur le rseau, la machine qui il appartient renvoie alors un message derreur sur le rseau, annulant ainsi la demande denregistrement. Il apparait clair que cette faon de procder surcharge le rseau de faon consquente, le protocole se reposant sur le broadcast pour lenvoi de messages. Le service WINS tente de rsoudre ce problme en centralisant les informations NetBIOS. Ainsi, une machine souhaitant enregistrer un service ou un nom adressera sa demande au WINS plutt qu tout le monde, limitant ainsi les changes. Le service WINS permet galement dutiliser NetBIOS sur diffrents sous-rseaux, condition bien sr que la machine faisant ofce de WINS dispose dune interface sur chacun des sous-rseaux relier. Cependant, mme avec un serveur WINS, NetBIOS semble aujourdhui bien mal conu, et peu adapt aux rseaux actuels et aux besoins dinterconnexion. Do la volont de Microsoft de supprimer NetBIOS. DDNS, la nouvelle implmentation DNS de Microsoft, veut donc concilier la nature statique du service DNS avec la nature dynamique du WINS, ceci au moyen dun mcanisme de mise jour dynamique du DNS qui sera dtaill plus loin. Bien sr, cette migration nest pas sans poser problme. Historiquement, NetBIOS tait utilis pour tous les transferts de chiers via SMB. Mme si SMB peut dsormais fonctionner directement au dessus de TCP sous Windows 2000, linteroprabilit avec les anciens systmes ne peut tre maintenue quen conservant NetBIOS. Windows 2000 tente donc de faire la transition, en permettant dactiver ou de dsactiver NetBIOS.

1.5.2. Intgration Active Directory

Le DDNS de Microsoft sintgre compltement dans lenvironnement Active Directory. Il bncie ainsi de la structure sous-jacente de lannuaire, ce qui lui donne plusieurs avantages ;

Les enregistrements DNS sont des objets Active Directory. Par consquent, il est possible

25

Etude dActive Directory dappliquer chaque enregistrement des permissions particulires via les ACL, autorisant ainsi une granularit sans prcdent dans la gestion des enregistrements DNS.

Les zones DNS sont rpliques en mme temps que lannuaire. En plus du concept traditionnel de DNS primaire et secondaire, il est donc possible davoir plusieurs DNS autoritaires pour une zone. Cela prsente des avantages comme des inconvnients, lesquels sont discuts plus en dtail dans la partie 5. concernant le contrle de domaine.

Lintgration du DNS dans Active Directory pose toutefois un problme dans le cas o lon souhaite mettre en place un DNS secondaire. En effet, cela nest tout simplement pas possible (Il faudrait exclure tous les objets Active Directory crs par le DNS de la rplication de lannuaire, ce qui nest pas ralisable avec Windows 2000).

1.5.3. Compatibilit de limplmentation

Microsoft nest pas lorigine, loin sen faut, du concept de DNS. Il est donc naturel de se demander dans quelle mesure limplmentation de Microsoft est compatible avec les DNS existants. Cette compatibilit est trs importante, le DNS tant la base mme du fonctionnement dInternet. Le DDNS de Microsoft interopre sans problme avec BIND 8.2 et suprieur. Il a besoin, pour pouvoir fonctionner correctement, dun DNS supportant :

les enregistrements SRV [rfc2052] les mises jour dynamiques [rfc2136] les transferts de zone.

De plus, il supporte les fonctionnalits suivantes :

le transfert de zone incrmental [rfc1995] DNSSec [rfc2535]

26

Etude dActive Directory Figure 7. Transfert de zone incrmental (IXFR)

1.5.4. Spcicits
1.5.4.1. Mise jour Dynamique Bien que compatible avec les implmentations classiques DNS, le DDNS de Microsoft utilise une mthode qui lui est propre pour palier le problme de lauthentication dynamique. Cette mise jour scurise repose sur un ensemble de travaux dtude mens par des groupes de travail lIETF, en particulier sur [draft-ietf-dnsext-gss-tsig-05], travaux sappuyant eux-mme sur GSS-API [rfc2078]. La mise jour du DDNS se passe en plusieurs temps ; 1. Le client fait une recherche du serveur autoritaire pour la zone quil souhaite mettre jour. 2. Le client tente de faire une mise jour non scurise, en premier lieu. Si le serveur DDNS est congur pour accepter ce genre de mise--jour, lopration se poursuit de faon non scurise. La mise jour scurise rendue possible par DDNS nest donc efcace que si le serveur est explicitement et correctement congur.

27

Etude dActive Directory 3. La mise jour non scurise ayant choue, le client et le serveur ngocient alors un contexte de scurit. Le client prsente ses privilges au serveur, au moyen dun enregistrement TKEY, dni dans [rfc2930]. Le client commence par ngocier le mcanisme de scurit utilis pour la ngociation. Par dfaut, Windows 2000 propose Kerberos. Ce mcanisme de scurit est ensuite utilis pour vrier lidentit des deux parties. Une fois le contexte de scurit dni, il sera utilis pour crer et vrier les signatures de chaque transaction DNS.

4. Le client envoie ensuite ses mises--jour, signes. Pour cela, il utilise un enregistrement TSIG, dni dans [rfc2845]. 5. Si les privilges du client sont sufsant pour effectuer lopration, DDNS ralise alors la mise jour. Il renvoie alors une rponse signe, dans un enregistrement TSIG, dans lequel il informe le client du succs ou non de lopration.

28

Etude dActive Directory Figure 8. Droulement dune mise jour Dynamique scurise

29

Etude dActive Directory 1.5.4.2. Suppression des enregistrements obsoltes Grce aux mises jour dynamiques permises par DDNS, les enregistrements sont automatiquement ajouts aux zones DNS quand une machine ou un contrleur de domaine sont ajouts. Dans certains cas, toutefois, ces enregistrements ne sont pas supprims automatiquement, alors quils nont plus de raison dexister. Le fait davoir des enregistrements inutiles nest pas sans poser problme. Ces enregistrements occupent inutilement de la place sur le serveur, et rendent les informations renvoyes par le serveur moins pertinentes ; en effet, si une machine nexiste plus, il est tout fait souhaitable que lentre correspondante du DNS disparaisse galement. Ces enregistrements obsoltes peuvent donc poser un problme de performance du serveur DDNS. An de rsoudre ce problme, le DNS de Windows 2000 est capable de supprimer lui mme les enregistrements dit expirs , ou obsoltes. En fait, il est en mesure de chercher dans ses zones les enregistrements qui ont expir et de les supprimer. Il est possible de contrler les paramtres dexpiration et de purge des enregistrements en prcisant :

Quels serveurs sont en mesure de supprimer des enregistrements obsoltes Quelles zones peuvent tre purges Quels enregistrements doivent tre supprims sils deviennent obsoltes.

Le DNS de Windows 2000 utilise un algorithme garantissant quaucun des enregistrements qui doivent tre conservs ne sera supprim, la condition que le serveur soit correctement paramtr. Par dfaut, le mcanisme de purge est dsactiv. Il peut tre activ globalement pour un serveur DNS, pour une zone donne, ou sur un ensemble restreint denregistrements. Dure de vie dun enregistrement Au moment de la cration ou de la mise jour dun enregistrement DNS, un horodatage est effectu sur cet enregistrement. A cause de la prsence de cet horodatage, une zone pour laquelle lexpiration automatique des enregistrements est active diffre lgrement dun chier de zone classique. Une telle zone ne peut pas tre exporte directement vers un serveur DNS (de type BIND, par exemple). Cependant, le transfert de zone reste possible, lincompatibilit est donc mineure. Si un enregistrement est cr autrement que par une mise jour dynamique, lhorodatage de cet enregistrement vaut 0. Sinon, sa valeur correspond la date de cration ou de mise jour. Par mesure de protection, les enregistrements dont lhorodatage est nul ne sont pas expirs et purgs par dfaut. Il faut forcer lexpiration de tels enregistrements si on souhaite les purger eux aussi. Le DNS de Windows 2000, sil est intgr Active Directory, est automatiquement rpliqu entre les diffrents contrleurs de domaine. An dviter une augmentation inutile du trac li cette

30

Etude dActive Directory rplication, chaque enregistrement dispose dun paramtre appel no-refresh interval, intervalle de non rafraichissement. Ce paramtre indique le dlai ncessaire avant que lenregistrement puisse de nouveau tre raffraichi. Il est toutefois possible de modier un enregistrement pendant ce dlai (si une mise jour dynamique requiert le raffraichissement, cest dire la simple mise jour de lhorodatage, elle sera ignore. Si elle requiert une modication de lenregistrement lui-mme, elle sera accepte). Le paramtre refresh (rafraichissement) dun enregistrement est pris en compte une fois le dlai de non rafraichissement expir. Durant le dlai x par le paramtre refresh, un enregistrement peuttre mis jour. Une fois ce dlai expir, si lenregistrement est marqu comme expirable, il pourra alors tre supprim de la zone DNS lors dune purge. Figure 9. Cycle de vie dun enregistrement expirable

Algorithme de purge Le serveur effectue les purges intervalles rguliers. Il est galement possible de dmarrer une purge tout moment. Une purge russira sur une zone si les conditions suivantes sont runies :

La zone est une zone primaire Le paramtre EnableScavenging est dni pour le serveur et vaut 1 Le paramtre EnableScavenging est dni pour la zone et vaut 1 Les mise jour dynamiques sont autorises pour la zone Le paramtre ScavengingServers est absent, ou contient ladresse IP du serveur Lheure et la date dnies par le paramtre StartScavenging sont antrieures la date et lheure actuelles.

31

Etude dActive Directory Le serveur dbute une purge ds quun des vnements suivant arrive :

La mise jour dynamique est active Le paramtre EnableScavenging est pass de 0 1 sur la zone La zone est charge

1.5.4.3. Support des caractres Unicode [rfc952] et [rfc1123], dnissant les standards auxquels doit rpondre un DNS, restreignent le jeu de caractres utilisables dans un nom un intervalle bien prcis, [a-z0-9]*. En revanche, les noms NetBIOS posent beaucoup moins de restrictions et autorisent lusage dun jeu de caractres plus vaste. Windows 2000 ayant pour ambition de faire disparatre la rsolution de noms NetBIOS au prot dune rsolution par DNS, ces diffrences ne sont pas sans poser problme. La solution retenue pour permettre une migration simple sappuie sur un document rcent, Clarications to the DNS specication [rfc2181], qui largi le jeu de caractres autoriss dans les noms DNS ; un nom DNS peut dsormais tre une chaine binaire, et na pas ncessairement tre interprt comme une chaine ASCII. Partant de cela, Microsoft a dcid dtendre lespace de nommage DNS au jeu de caractres UTF-8, qui inclue les caractres de la plupart des langues crites dans le monde. Toutefois, lutilisation de ce jeu de caractre peut poser des problmes de compatibilit avec des applications qui vrient les noms qui leurs sont passs et qui ne prennent pas en compte cet largissement du jeu de caractres. De plus, lutilisation de noms en UTF-8 doit se limiter un rseau local. Tous les noms qui doivent tre visible sur Internet, par exemple, sont dans lobligation de rpondre aux spcications faites dans [rfc1123].

Rfrences Web
[rfc952] http://www.ietf.org/rfc/rfc952.txt. [rfc1001] http://www.ietf.org/rfc/rfc1001.txt. [rfc1123] Requirements for Internet http://www.ietf.org/rfc/rfc1123.txt. Hosts -Application and Support

[rfc1510] The Kerberos Network Authentication Service (V5), http://www.ietf.org/rfc/rfc1510.txt.

32

Etude dActive Directory [rfc1995] IXFR, Incremental Zone Transfert, www.ietf.org/rfc/rfc1995.txt. [rfc2052] A DNS RR for specifying the location of services (DNS SRV). [rfc2078] http://www.ietf.org/rfc/rfc2078.txt. [rfc2136] Dynamic Updates in the Domain Name System, http://www.ietf.org/rfc/rfc2136.txt. [rfc2181] Clarications to the DNS Specication http://www.ietf.org/rfc/rfc2181.txt. [rfc2535] Domain Name Security Extensions, http://www.ietf.org/rfc/rfc2535.txt. [rfc2845] Secret Key Transaction Authentication for DNS (TSIG),. [rfc2930] Secret Key Establishment for DNS (TKEY RR),. [w2kadsi] http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/w2kadsi.asp. [ldup] http://www.ietf.org/html.charters/ldup-charter.html. [sspi2000] http://www.microsoft.com/windows2000/techinfo/howitworks/security/sspi2000.asp. [w2k-kerberos] http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp. [draft-brezak-win2k-krb-authz-00] authz-00.txt. http://www.ietf.org/internet-drafts/draft-brezak-win2k-krb-

[draft-ietf-krb-wg-kerberos-clarications-00] http://www.ietf.org/internet-drafts/draft-ietf-krb-wgkerberos-clarications-00.txt. [draft-ietf-dnsext-gss-tsig-05] http://www.ietf.org/internet-drafts/draft-ietf-dnsext-gss-tsig-05.txt. [BELLOVIN91] Steven M. Bellovin et Michael Merritt, Winter, 1991, Limitations of the Kerberos Authentication System, http://www.research.att.com/~smb/papers/kerblimit.usenix.pdf .

[DEN98] 1998, Directory Enabled Networks http://www.cisco.com/warp/public/cc/techno/network/dirserv/den/prodl

33

Etude dActive Directory

Glossaire A
ADSI Active Directory Service Interface, interface unie daccs un annuaire, cre par Microsoft an de simplier et gnraliser laccs un annuaire. ADSI permet ainsi daccder un annuaire Novell, LDAP, iPlanet, etc. avec les mmes primitives. Se rfrer [1.2] pour plus de dtails.

authentication mutuelle Authentication permettant de garantir la fois lidentit dun client au serveur et lidentit dudit serveur au client.

Authentication Server - serveur dauthentication Premire entit logique composant le KDC. Le serveur dauthentication prend en charge lidentication dune entit Kerberos, et fournit un Ticket de dlivrement de ticket Voir aussi : Ticket-Granting Ticket.

E
ESE Extensible Storage Engine, moteur de base de donnes cr par Microsoft et utilis par Exchange Server.

F
FSMO Flexible Single Master Operation, voir Section 1.3.2.7

34

Etude dActive Directory

G
GUID Globally Unique IDentier, identiant unique. Lunicit de cet identiant est garantie par lalgorithme de gnration.

I
IETF Internet Engineering Task Force, http://www.ietf.org

K
KDC Key Distribution Center. Ce service est en fait compos de deux composantes logiques, lAS et le TGS, qui ensemble constituent lautorit dauthentication du protocole Kerberos. Seul le KDC est apte authentier une entit Kerberos, cest donc llment crucial du protocole Kerberos. Voir aussi : Authentication Server - serveur dauthentication, Ticket-Granting Server.

L
LDAP Lightweight Directory Access Protocol

35

Etude dActive Directory

M
MMC Microsoft Management Console, service de prsentation standardise des applications de gestion. Toute ladministration dActive Directory se fait par lintermdiaire de modules sintgrant dans une MMC.

MTU Maximum Transmission Unit

N
NetBEUI Network Basic Extended User Interface

NetBIOS Network Basic Input/Output System, le protocole utilis par les versions prcdentes de Windows pour communiquer entre elles. Le protocole NetBIOS sur TCP/IP est dcrit en dtail dans la RFC 1001,

R
RID Relative IDentier - Partie dun SID qui est unique pour chacun des membres dun domaine. Voir aussi : RID.

36

Etude dActive Directory

S
RID Security IDentier - Nombre unique assign chacun des utilisateurs, groupe, ou machine dun domaine.

SSPI Security Support Provider Interface - Interface gnrique daccs aux mcanismes de scurit de Windows 2000. Figure 6

T
Ticket-Granting Server Serveur de dlivrement de ticket. Cest la seconde entit logique composant le KDC. Le TGS fournit des tickets de service aux client souhaitant sauthentier sur un service Kerberos. Voir aussi : Ticket-Granting Ticket. Ticket-Granting Ticket Ticket dlivr par le serveur dauthentication, ncessaire pour obtenir les tickets de service dlivrs par le TGS. Voir aussi : Authentication Server - serveur dauthentication, Ticket-Granting Server.

U
USN Update Sequence Number, numro de squence de mise jour. Les USN sont utiliss lors de la rplication des contrleurs de domaine, an de rgler les problmes de conit.

37