Vous êtes sur la page 1sur 19

Page |1

INTRODUCTION
Dans un monde où l’informatique est de plus en plus présente, le besoin d’assurer le bon
fonctionnement des réseaux et des systèmes d’informations de façon fiable et à moindre coût
s’impose. Ainsi dès qu’une entreprise se développe et que son réseau informatique commence
à s’intensifier, On entend parler dans la majeure partie des cas de l’annuaire LDAP conçu par
Microsoft appelée Active Directory. Dans notre travail, nous verrons les caractéristiques
génériques du protocole LDAP, ensuite le fonctionnement de Active Directory et enfin la
configuration et le déploiement de Active Directory

I- DEFINITION DES CONCEPTS ET GENERALITES


1- Qu’est-ce qu’un annuaire ?
Un annuaire c’est un répertoire ou un recueil contenant des informations (Nom, adresse,
coordonnées,) sur une entité spécifique. Dans le cas d’un système informatique distribuée ou
un réseau informatique public comme Internet, il existe de nombreux objets intéressants,
comme des imprimantes, des serveurs de télécopie, des applications, des bases de données et
d'autres utilisateurs. En effet, l’annuaire va avant tout permettre de répertorier ces objets. Ainsi
elle va permettre aux utilisateurs des réseaux de trouver et utiliser ces objets, et aux
administrateurs de contrôler leur utilisation.
Voici les caractéristiques communes aux annuaires :
▪ Un annuaire présente un ensemble défini de données (annuaire : nom, prénom, numéro
de téléphone, adresse)
▪ Il organise ces données (annuaire : classées par département, villes, nom)
▪ Il offre un service de consultation (annuaire : diffusion au format papier)
▪ Il peut protéger les données (annuaire : liste rouge)
▪ Il est plus consulté que mis à jour
▪ Il est disponible de manière permanente.

2- Le protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole dont le but est de manipuler
et interroger de manière synchrone ou asynchrone des annuaires. Il fonctionne (par défaut) sur
le port TCP 389 pour LDAP et 636 pour LDAPS (LDAP over TLS/SSL). Un serveur LDAP
sert d’intermédiaire entre une source de données et un client. Il peut envoyer aussi un referral
au client c’est-à-dire renvoyer le client vers un autre serveur qu’il devra joindre lui-même à
travers un pointeur. Il se base sur des modèles afin de proposer des services au client .
Page |2

2.1- Les modèles de LDAP


On dénote 04 types de modèles LDAP :

Modèle de nommage
Modèle fonctionnel
Modèle d'information
Modèle de sécurité

a) Le modèle de nommage
C’est la manière dont les données sont structurées dans l’annuaire. Ces entrées sont stockées
dans une structure d’arbres. Ceci signifie que toutes les informations découlent d'une seule et
même "racine".
b) Le modèle fonctionnel
Il décrit la méthode pour accéder aux données et les différentes opérations qu’on peut leur
appliquer. Il se subdivise en deux parties :
Les opérations de base
Les opérations étendues

c) Le modèle des données


Il représente l’ensemble des informations contenues dans l’annuaire. Les informations dans
l’annuaires sont des entrées or chaque entrée est composée d’un ensemble d’attributs. Chaque
attribut possède une ou plusieurs valeurs. Ils ont une syntaxe et peuvent avoir plusieurs options.
d) Le modèle de sécurité
C’est le procédé permettant aux clients de s’identifier et d’avoir accès aux données en fonction
de leurs droits. En effet avec LDAP, l’utilisateur devra s’authentifier en se présentant comme
une entrée de l’annuaire.

2.2- Intérêt de l’annuaire LDAP


L’annuaire LDAP est un annuaire dont l’interfaçage d’accès est géré par le standard LDAP.
Son intérêt se trouve dans la simplification de la gestion et l’administration de l’intranet d’une
entreprise. En effet, La mise en œuvre d'un annuaire LDAP au sein d'un Intranet apporte donc
une gestion optimale des utilisateurs et de leurs profils, des ressources, et la possibilité de
partager ce référentiel avec l'ensemble.

2.3- Types d’annuaires LDAP

Il existe en effet de nombreux autres outils dont le cœur est construit autour de LDAP. En voici
une liste non exhaustive :
Page |3

• Active Directory ; nom du service d'annuaire de Microsoft. Particularité : le moins


« compatible » des serveurs LDAP.
• Sun Java System Directory Server Enterprise Edition ; comme son l’indique, est le
serveur d’annuaire de Sun Microsystem.
• Fedora Directory Server (libre) ; serveur LDAP de RedHat issu du serveur de Netscape.
• Oracle Internet Directory ; serveur d’annuaire proposé par la société Oracle.

II- PRINCIPE DE FONCTIONNEMENT DE L’ANNUAIRE LDAP : ACTIVE


DIRECTORY
a- Présentation de Active Directory

Active Directory est un annuaire LDAP conçu pour les systèmes d’exploitation WINDOWS,
créé par Microsoft. Son objectif principal est de centraliser deux fonctionnalités essentielles à
savoir l’identification et l’authentification des systèmes d’informations. En effet, depuis la
version 2000 de Windows Server, il ne cesse de progresser et de prendre de l’importance au
sein des entreprises dans lesquelles il est déployé. De ce fait, il est notamment utilisé pour le
déploiement de stratégie de groupe, la distribution des logiciels ou encore l’installation des
mises à jour Windows.

b- Fonctionnement de Active Directory

Active Directory permet de faire la représentation et le stockage des éléments constitutifs du


réseau (les ressources informatiques mais également les utilisateurs) sous formes d'objets, c'est-
à-dire un ensemble d'attributs représentant un élément concret. Les objets sont organisés
hiérarchiquement selon un schéma (lui-même stocké dans l'annuaire) définissant les attributs
et l'organisation des objets. Le service d'annuaire Active Directory permet de mettre ces
informations à disposition des utilisateurs, des administrateurs et des applications selon les
droits d'accès qui leur sont accordés.

c- Structure D’active Directory

Les objets d'Active Directory (Utilisateurs, Groupes, Ordinateurs, etc.) se rapportent à des
classes, c'est-à-dire des catégories d'objets possédant les mêmes attributs.
Ainsi un objet est une « instanciation » d'une classe d'objet, c'est-à-dire un ensemble d'attributs
avec des valeurs particulières. Lorsqu'un objet contient d'autres objets, on le qualifie de
conteneur. Les conteneurs permettent de regrouper les objets afin de les organiser. A l'inverse
si l'objet est au plus bas niveau de la hiérarchie, il est qualifié de feuille. La hiérarchie composée
de l'ensemble des conteneurs (nœuds) et des feuilles est appelée arbre.

La notion d'arbre est étroitement liée à la notion de domaine, permettant de circonscrire des
ressources informatiques dans un même périmètre de sécurité. Un domaine est ainsi constitué
d'un ensemble défini d'éléments et possède une politique de sécurité (contrôles d'accès) qui lui
est propre. Deux domaines (ou plus) possédant le même schéma peuvent établir entre eux des
Page |4

relations d'approbation (relations de confiance) bidirectionnelles et transitives basées sur le


protocole Kerberos. L'ensemble des domaines reliés entre eux hiérarchiquement par des
relations d'approbation constituent un arbre de domaines (appelé arbre). Le domaine situé au
sommet de la hiérarchie est appelé « domaine racine » et les domaines situés en dessous sont
des sous-domaines. Les domaines d'un même arbre partagent nécessairement le même espace
de nom. Ainsi les domaines esatic.ci, Compta.esatic.ci et support.esatic.ci font partie du même
espace de nom et constituent un arbre lorsqu'ils sont liés par des relations d'approbation.

Et au-dessus de l’arbre, on a la forêt qui est un ensemble d’arbres. En effet, la forêt regroupe
une ou plusieurs arborescences de domaines. Ces arborescences sont différentes et
indépendantes bien qu’elles se trouvent dans la même forêt.
Page |5

III- CONFIGURATION ET DEPLOIEMENT DE ACTIVE DIRECTORY


Dans le but de mettre en place Active Directory, nous avons installé Windows
Server 2012. Avant de passer à l’installation de Active Directory, nous avons dû
configurer notre serveur.
A- Configuration de notre serveur

❖ HOSTNAME

1- Nous Allons modifier le nom d’hôte du serveur en ouvrant le « Gestionnaire de


serveur ». Ensuite, nous cliquons sur « Serveur local ».

2- Nous obtenons les propriétés de notre serveur qui sont : le nom d’hôte de notre
serveur, le statut du pare-feu, le statut de la gestion à distance, les informations de
nos cartes Ethernet. Notre serveur a pour nom actuel WIN suivi de chiffres et de
lettres. Nous cliquons sur ce nom.
Page |6

3- Nous obtenons à l’écran l’image ci-dessous. Pour renommer notre serveur nous
cliquons sur le bouton « Modifier », renommons le serveur puis « OK ».
4- Un message s’affiche sur notre écran nous demandant de redémarrer notre serveur,
on clique sur « OK », puis fermer. Ensuite « Redémarrer maintenant ».

Après le redémarrage du serveur, on constate que le nom d’hôte à changer.

❖ RESEAU

1- Nous allons maintenant configurer notre carte réseau. Pour se faire, nous ouvrons le «
Gestionnaire de serveur ». Ensuite, on clique sur « Serveur local ».

2- En face du nombre de votre carte réseau dans mon cas « Ethernet », cliquez sur
« Adresse IPv4 attribuée par DHCP… ».
Page |7

3- On clique ensuite sur la carte réseau que nous voulons configurer. On obtient ceci à
l’écran. On attribue une adresse fixe notre serveur en cliquant sur « Propriétés », puis
« Protocole Internet version 4 ».

4- On renseigne ensuite les champs suivants :

NB : Ce serveur sera aussi le Serveur DNS donc nous mettons l’adresse 127.0.0.1 qui
correspond à lui-même (Localhost).

On clique sur « OK » pour terminer.

B- Installation « Active Directory Domain Services »

1- Nous allons maintenant procéder à l’installation d’Active Directory. Pour se faire, dans
le Gestionnaire de serveur nous cliquons sur « Gérer » en haut à droite. Ensuite, sur
« Ajouter des rôles et des fonctionnalités ».On obtient ceci :
Page |8

2- On clique sur « Suivant » en laissant cocher ce qui est par défaut : Installation basée sur
un rôle ou une fonctionnalité, puis « Suivant » deux fois de suite. Nous cochons le rôle
« Services AD DS », puis nous cliquons sur « Ajouter des fonctionnalités ». Ensuite sur
« Suivant » trois fois de suite.

3- Et pour finir sur « Installer ». Une fois le bleu rempli. On clique sur « Fermer ».

4- Maintenant, nous allons promouvoir notre serveur en contrôleur de domaine. On clique


sur le drapeau avec le panneau jaune, puis sur « Promouvoir ce serveur en contrôleur de
domaine ». On cliquer sur « Ajouter une nouvelle forêt », et on renseigne le nom de
notre domaine. Dans notre cas « esatic.lan ». Puis on clique sur « Suivant ».
Page |9

5- On renseigne ensuite le niveau fonctionnel de la forêt et du domaine avec le nom de


l’OS de notre infrastructure ainsi que le mot de passe de restauration des services
d’annuaire. On clique sur « Suivant » pour poursuivre.

6- Une erreur apparaît sur l’écran. Ce message survient, car aucun serveur DNS n’est
installé sur la machine. On clique sur « Suivant » pour le créer. Ensuite, on indique un
nom NetBIOS au domaine. Ensuite « Suivant » deux fois de suite en laissant les valeurs
de l’écran suivant par défaut (NTDS et SYSVOL).
P a g e | 10

7- L’installation est prête et un récapitulatif est affiché pour vérifier la configuration. On


clique sur « Suivant ». Une vérification système est effectuée, on clique ensuite sur «
Installer ». Le serveur va par la suite redémarrer automatiquement. Le login se fait
maintenant avec notre compte et mot de passe du domaine.

C- Gestion des utilisateurs

1- Nous allons maintenant créer des utilisateurs. Pour cela on clique dans le menu sur
« Outils > Utilisateurs et ordinateurs Active Directory ».
P a g e | 11

2- On clique sur le nom de notre domaine. Puis dans le menu sur « Action > Nouveau >
Utilisateur ». On renseigne les différents champs. Puis on clique sur « Suivant ».

3- On renseigne le mot de passe que nous souhaitons attribuer à cet utilisateur et on clique
sur « Suivant », puis sur « Terminer ». Notre utilisateur est ainsi créé.

D- Création de groupe
Les groupes vont nous permettre d’assigner un certain nombre de droits à un ensemble
d’utilisateurs. Cela permet une meilleure gestion du dynamisme dans les organisations.
Ainsi pour créer un groupe, Nous allons sur l’onglet « outil », puis on clique sur « utilisateurs
et ordinateurs Active Directory », ensuite on fait un clic droit sur le nom de domaine , on
sélectionne « Nouveau », et on clique sur « Groupe ».Après avoir rempli les différents champs
on clique sur « OK »

NN
2

1
P a g e | 12

E- Création d’unité d’organisation


Une unité d’organisation est un conteneur d’objet permettant de définir les stratégies
d’utilisation sur un ensemble d’utilisateurs. Les unités d’organisations regroupent les
utilisateurs et les ressources (Ordinateurs et imprimantes).
Pour les unités d’organisations, on se rend également au niveau de l’onglet « Outil », puis on
clique sur « utilisateurs et ordinateurs Active Directory », ensuite on fait un clic droit sur le nom
de domaine, on sélectionne « Nouveau », et on clique sur « Unités d’organisations ».
On clique sur « Ok » après avoir rempli les différents champs.

NN
2
1

❖ CONFIGURATION DES GPO


Les GPO (Group Policy Object) sont des stratégies de groupes. Elles permettent l’application
des paramètres sur des utilisateurs ou ordinateurs qui se trouvent dans un domaine Active
Directory.
Pour sa mise en place, nous allons l’appliquer sur une unité d’organisations (OU).
On ouvre la console de » Gestion de Stratégie de groupe », puis on ouvre la liste déroulante de
la forêt, du Domaine, du Nom de domaine, ensuite on fait un clic droit sur notre (OU) cible ici
Direction, et on clique sur « Créer un objet GPO dans ce domaine et le lier ici », on obtient
ceci :
P a g e | 13

Après avoir rempli les champs de notre objet , on clique sur « OK » et obtient ceci :

Cette fenêtre obtenue nous permet d’avoir une panoplie de stratégies applicable sur notre unité
d’organisation cible.

F- Configuration du DNSSEC
Le protocole DNS de base présente des failles de sécurités qui pourraient constituer un danger
pour l’entreprise, un effet un pirate pourrait les exploiter pour détourner les requêtes s’adressant
au serveur DNS dans le but voler des informations. Ainsi DNSSEC est une suite d’extensions
qui va renforcer la sécurité du protocole DNS.
P a g e | 14

On sélectionne l’onglet « DNS » dans le Gestionnaire de serveur, puis on fait un clic droit sur
le nom de notre serveur, ensuite on clique sur « Gestionnaire DNS », par la suite on clique sur
« Zones de recherche directe » pour dérouler son menu, on fait un clic droit maintenant sur le
nom de domaine, et on sélectionne « DNSSEC » , puis « Signer la zone » .

On obtient après cela « l’assistant de signature de Zone », on clique sur « Suivant »


P a g e | 15

A un moment donné, l’assistant de signature nous demande de configurer des clés KSK et ZSK,
qui sont des clés cryptographiques le premier qui signe la ZSK et le second qui signe la Zone.

NN NN

L’assistant de signature nous envoie un message signifiant que les paramètres de la zone ont
été bien configurés.
P a g e | 16

Nous allons par la suite activer les ancres d’approbation, qui sont des clés de chiffrement
publiques qui permettent au serveur DNS de valider les réponses DNS dans un espace de noms.
Pour cela on reste au niveau du « DNS », on sélectionne « DNSSEC », puis « propriétés », on
clique sur l’onglet « Ancre d’approbation » et on coche les deux cases.

NN

NN

G- Intégrer une machine au domaine

Pour intégrer une machine à notre domaine, il faut au préalable :

• Changer le nom d’hôte de notre Ordinateur


• Faire un ping pour vérifier que nous arrivons à joindre notre contrôleur de domaine.

1- Pour changer le nom d’hôte de notre ordinateur qui a un système Windows 8.1, on
effectue un clic droit sur le logo Windows en bas à gauche sur la barre des tâches. Puis
sur « Système ».
P a g e | 17

2- On obtient l’image ci-dessous sur l’écran. Ensuite, on clique sur « Modifier les
paramètres ». Une fenêtre s’ouvre et on clique sur « Modifier ».

3- Pour changer le nom d’hôte de notre machine, on remplit les champs « Nom de
l’ordinateur », on coche « Domaine » au lieu de groupe de travail et on remplit le champ
par le nom de votre domaine dans mon cas : esatic.lan. On clique sur « OK » pour
valider.

On redémarre l’ordinateur par la suite. Après quoi notre ordinateur sera lié au domaine, il nous
suffira de nous connecter avec votre nom d’utilisateur. Dans notre cas : ESATIC\jean.
P a g e | 18

CONCLUSION
Pour conclure, nous pouvons dire que la mise en place de l’annuaire Active Directory passe par
un certain nombre d’étapes et c’est une solution profitable et flexible pour les entreprises
soucieuses d’une meilleur gestion de leur réseau, car elle offre une panoplie de services dans
un environnement graphique et facile à utiliser. Pour notre part elle nous a permis d’approfondir
nos connaissances théoriques et de faire des tests pratiques dans un environnement virtuel.
P a g e | 19

BIBLIOGRAPHIE
[1]
file:///C:/Users/user/Desktop/admin_reseau/Mise%20en%20place%20d'Active%20Dire
ctory%20sous%20Windows%20Server%202012%20%20%20SUPINFO,%20%C3%89
cole%20Sup%C3%A9rieure%20d'Informatique.html
[2]
file:///C:/Users/user/Desktop/admin_reseau/Installer%20un%20serveur%20Active%20
Directory%20sous%20Windows%202012%20server%20%20%20Lolokai%20-
%20Supervision,%20syst%C3%A8mes,%20r%C3%A9seaux,%20base%20de%20don
n%C3%A9es.html
[3]
file:///C:/Users/user/Desktop/admin_reseau/Principes%20d'Active%20Directory.html
[4]
https://www.it-connect.fr/chapitres/domaine-arbre-et-foret/
[5]
https://docs.microsoft.com/fr-fr/previous-versions/windows/server/dn593679(v=ws.11)