Vous êtes sur la page 1sur 20

Systèmes et

réseaux
La gestion centralisée des utilisateurs Slide 1

Gestion centralisée des


utilisateurs
G.VALET – Version 1.11

Formation aux G. Valet – genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 2

Sommaire

n Dans ce chapitre, nous aborderons :


· Définition d’un utilisateur et d’un groupe d’utilisateurs
· Authentification centralisée
· Protocole LDAP
· Infrastructures d’annuaire
· Open Ldap
· Active Directory

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 3

Qu’est-ce qu’un utilisateur ?

n Définition :
 Un utilisateur est un individu travaillant sur un ordinateur
 Par extension, un utilisateur se définit par une identité
numérique dans un système d’information
· Un nom d’utilisateur / mot de passe
· Une empreinte biométrique
· ...
■ La notion de compte utilisateur permet d’associer à la personne :
· Un environnement de travail particulier (Logiciels,
paramétrages)
· Des droits d’accès aux ressources du système d’information

La gestion centralisée des utilisateurs Slide 4

Formation aux genael.valet@diderot.org


Les types d’utilisateurs

n Personne physique :
· Cas d’un individu associé au système d’information
n Administrateur:
· C’est un utilisateur ayant des droits lui permettant de modifier le
paramétrage du système et d’accéder à des tâches
d’administration
n Utilisateur système :
· Associé à une fonction plus qu’à une personne physique.
· Exemple : Compte utilisateur autorisé à démarrer un programme en tâche
de fond
Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 5

Et les groupes d’utilisateurs

n Il est parfois plus simple de regrouper les utilisateurs pour :


· Définir des droits à tout un ensemble logique d’utilisateurs
· Exemple : Tous les utilisateurs du service comptabilité ont les droits
permettant d’imprimer les fiches de paie
 La gestion est plus efficace et évite un travail répétitif
d’affectation d’un droit à un utilisateur
n Tout membre du groupe bénéficie des droits accordés au groupe
n Permet de distribuer les rôles au sein du système
· Opérateurs d’impression pour les imprimantes
· Administrateurs pour la maintenance
 ...

Formation aux G. Valet – genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 6

Permissions accordées à un utilisateur

n Exemple du système de fichier NTFS

Utilisateurs
ou
groupes
concernés

Permission
Répertoire s
ou fichier accordées

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 7

Authentification d’un utilisateur


nL’authentification permet à l’utilisateur de fournir les informations
nécessaires au système pour l’identifier
· Nom d’utilisateur ou login
· Mot de passe
n Le mot de passe n’est pas stocké tel quel :

Mot de passe « en Cryptage ou Mot de passe crypté


clair » Hachage ou haché
Saisi par · Par un algorithme · Stocké dans un annuaire
l’utilisateur de cryptographie ou une base de donnée

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 8

Processus d’authentification

n Au niveau du système d’exploitation, le processus est le suivant :


Authentification réussie si les « credentials » sont égaux
« Credentials » Cryptage/
en clair Hachage

Saisi par « Credentials » « Credentials »


cryptés/hach cryptés/hach
l’utilisateur é
é

Base de données
Ou Annuaire

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 9

Les systèmes multi-utilisateurs

nDans un système, plusieurs utilisateurs peuvent profiter des


mêmes ressources simultanément
nUn système d’exploitation moderne permet un accès simultané à
plusieurs utilisateurs
· Aux ressources physiques : Imprimantes, Disque externe, ...
· A un même système de fichier local ou distant
n L’identification d’un utilisateur est alors centralisée
· La gestion des données d’authentification est centralisée sur un ou
plusieurs serveurs/annuaires
· Organisation des utilisateurs et des machines en « forêt »

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 10

Pourquoi centraliser ?

n Sans une centralisation : 1 annuaire/bd par application

Web Mail Compta Ordinateurs


·Serveurs ·Serveurs mail ·Logiciels ·PC du parc
web intranet de l’entreprise de compta informatique

Bases de données d’authentification différentes


Formation aux G. Valet – genael.valet@diderot.org
Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 11

Système d’information avec authentification centralisée

n La centralisation permet de partager une base commune


Organisatio
n
· Compta
· Ventes
Services Parc
Web informatique
· Mail · Ordinateurs
· Web / Ftp · Imprimantes/
Photocopieurs

Bases de données/Annuaire d’authentification unique

Formation aux G. Valet – genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 12

Authentification depuis un annuaire

n Chaque entreprise ou entité bénéficie d’un annuaire centralisé


n Toutes les requêtes d’authentification passent par l’annuaire

Formation aux G. Valet – genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 13

Le serveur d’annuaire LDAP

n LDAP : Lightweight Directory Access Protocol


· Protocole réseau permettant l’accès à un annuaire
· Repose sur TCP/IP
nPar extension, LDAP est devenu une norme pour les systèmes
d’annuaire
· Structure hiérarchique en arbre permettant d’organiser tout le
système d’information Unité d’organisation Objet
cn=DA01
ou=Computer
s
Branche Branche

dc=loca dc=coliniere ou=Utilisateur uid=toto


lrg sPeople

ou=Groupe cn=Prof
s s

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 14

Le « Distinguished Name »

n Chaque entrée possède un identifiant unique


· Distinguished Name (DN)
· Exemple : « uid=toto, ou=Utilisateurs, dc=colinière, dc=local »
· Il permet de situer l’entrée au sein du modèle d’organisation
nCette entrée est unique et ne peut être dupliquée au sein du même
annuaire
nExempl DN
e:

cn=DA01 ou=Computers dc=coliniere dc=local

ttribut « cn » Attribut « ou Attribut « dc Attribut « dc


Common »
Organisational »
Domain »
Domain
Name Unit Componet Componet
Formation aux genael.valet@diderot.org
Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 15

Structure d’un annuaire LDAP

nChaque entrée de l’annuaire est composée d’un ensemble


d’attributs
· Chaque attribut possède un nom, un type et une ou plusieurs
valeurs
· Exemple
Valeu
: r

Attribu
t Plusieur
valeur
s
Attribu
t

Formation aux G. Valet – genael.valet@diderot.org


réseaux
Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 17

Caractéristiques d’un Open LDAP annuaire


n Caractérisé par un ou plusieurs schémas LDAP
· Un schéma définit la structure hiérarchique et les attributs disponibles
n Contient des index
· Ils permettent d’effectuer des recherches plus rapides
n L’organisation d’un annuaire est hiérarchique
· Il contient des entités ou des objets sous la forme de
· Personnes (Les utilisateurs)
· Ressources (Ordinateurs, imprimantes, ...)
· Unités d’organisations (Compta, Marketing, ...)
n L’accès à distance est possible pour toute recherche
· Possibilité de sécuriser l’accès à l’annuaire
L’annuaire peut être répliqué pour éviter toute perte de données

Formation aux genael.valet@diderot.org


n n Implémentation libre du protocole LDAP

· Pour tout système d’exploitation : Linux, Windows, Max Osx, ...


· Très utilisé dans le monde de l’Unix/Linux
n Le serveur OpenLdap est accessible depuis le réseau
· Le serveur se nomme « slapd » (d comme démon)
· En écoute sur le port 389
n Il peut servir à de multiples applications :
· Authentification Unix/Linux ou authentification Windows (via
SAMBA)
· Authentification depuis toute application qui gère le protocole LDAP
· Serveur Mail (Pour authentifier les adresses emails)
· Serveur web (Pour authentifier les utilisateurs du web)
n http://www.openldap.org
Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 18

Active Directory
(AD)
n Microsoft a développé son propre modèle d’annuaire
nActive directory est un service d’annuaire utilisé pour stocker
des informations relatives aux ressources réseaux d’un
domaine
n AD est utilisé pour l’infrastructure serveur de Microsoft
· Windows 2003/2008 serveur
n Organisé en «forêts »
· Chaque forêt possède un ou plusieurs domaines

Formation aux genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 19

Structure AD (suite)

n Les forêts AD sont organisées autour des éléments suivants :


Possibilité d’organiser différents
sous-
Wan
Ensemble d’ordinateurs/d’utilisateurs
quipartagent la même base de
donnée d’annuair
Objet conteneure utilisé pour organiser
les
objets au sein d’un domaine
(Exemple : _compta, direction, ...)
Service
Utilisateurs ou groupe
d’utilisateurs
Serveur membre ou contrôleur de
domaine

Formation aux G. Valet – genael.valet@diderot.org


Systèmes et
réseaux
La gestion centralisée des utilisateurs Slide 20

Conclusion

n La gestion centralisée des utilisateurs permet :


· Une gestion cohérente des utilisateurs sur un ensemble
d’applications, de domaines, de parc informatique
n Cette gestion est réalisée avec un annuaire
· L’annuaire centralise toutes les informations sur
· Les utilisateurs et les groupes d’utilisateurs
· Les machines
· Tout autre ressource
n Le protocole standard est LDAP
n Les 2 approches de la notion d’annuaire sur la marché sont :
· OpenLdap (+Samba ou autre) sous Unix/Linux
· Active Directory de Microsoft

Formation aux genael.valet@diderot.org