Algorithm PDF

2
DHCP
Dynamic Host Configuration Protocol
DHCP [RFC 2131 - 1997 ]
Administration Services RX Nizar chaabani

BUT
3
 Permet à un ordinateur qui se connecte sur un réseau

local d'obtenir et de configurer dynamiquement et
automatiquement :
 Son adresse IP
 masque de son sous-réseau
 passerelle par défaut
 adresse IP du serveur DNS
 nom de son domaine

Pourquoi utiliser le protocole DHCP ?
4
Le protocole DHCP simplifie et réduit le travail administratif grâce
à l'usage de la configuration automatique du protocole TCP/IP
Configuration manuelle Configuration automatique
du protocole TCP/IP du protocole TCP/IP
Les adresses IP sont entrées Les adresses IP sont
manuellement sur chaque automatiquement fournies aux
ordinateur client ordinateurs clients
Risque d'entrer une adresse Les clients utilisent toujours
IP incorrecte ou non valide es informations de configuration
correctes
Une configuration incorrecte
peut entraîner des problèmes La configuration du client est
de réseau automatiquement mise à jour
pour refléter les modifications
Surcharge administrative sur dans la structure du réseau
les réseaux dont les
ordinateurs
sont souvent déplacés
Fonctionnement
5
 Lorsque vous connectez un ordinateur sur le réseau il n’a

aucune connaissance de son adresse IP
 Par contre il connait:
 son adresse Mac
 L’adresse de broadcast

Fonctionnement : étape 1
6
Serveur DHCP
Ordinateur A
Réseau IP 192.168.10.0
 Le client A démarre, il n’a pas d’adresse IP

7
Serveur DHCP
Ordinateur A
DHCP Discovery Réseau IP 192.168.10.0
 L’ordinateur A émet un paquet de

découverte d’un serveur
Administration Services RX
DHCP
Nizar chaabani
8
DHCP Discovery
Serveur DHCP
Ordinateur A
DHCP Offer 192.168.10.9
 Le serveur DHCP propose une

configuration IP au client
Nizar chaabani
9
Serveur DHCP
DHCP Offer 192.168.10.9
Ordinateur A
Réseau IP 192.168.10.0
DHCP Request
 L’ordinateur annonce (par diffusion)

accepter ou non la configuration
Nizar chaabani
IP
10
Serveur DHCP
192.168.10.9
Ordinateur A
DHCP Ack
DHCP NAck
 Le serveur acquitte ou non la réponse du

client
Fonctionnement
11

Fonctionnement
12

Fonctionnement du DHCP
13

14 Gestion des adresses IP
 Une adresse obtenue par DHCP est valide :
 pour une période donnée (bail, lease)
 La durée du bail est paramétrable :

 en général 48 heures (minimum : 1h)
 possibilité de prolonger le bail

15
Gestion des adresses IP
 Possibilité de réserver des adresses IP à

certaines adresses MAC
 Le serveur DHCP peut fournir dans son
offre de nombreux paramètres IP :
 @ passerelle
 @ serveurs : DNS, WINS
 …

16
Mise en œuvre de DHCP
 Côté client :
 Sélectionner l’attribution automatique d’adresse
IP (on parle de « client DHCP »)
 Côté serveur :
 Installer le service DHCP
 Autoriser le serveur DHCP (le rendre actif)
 Définir la ou les plages d’adresses (étendues), les

exclusions d’adresses et la durée du bail …

Demande de bail/adresse IP
17
 Le poste client vient de se connecter, il n’a pas

d’adresse IP
 En DHCP une adresse IP n’est fournit que pour un
temps donné : Le bail. C’est pourquoi on parle de
demande de bail plutôt que d’adresse IP
Un bail a une durée : lease-time

Comment le protocole DHCP alloue des adresses IP
18
Client2 DHCP :
Client non-DHCP : Configuration IP
Configuration du serveur DHCP
IP statique
Renouvellement
d'un bail
Création d'un bail
Serveur DHCP
Client1 DHCP : DHCP

Configuration IP Base de données
du serveur DHCP
Adresse1 IP : Louée au Client1 DHCP
Adresse2 IP : Louée au Client2 DHCP
Adresse3 IP : Disponible pour un bail
Comment fonctionne le processus de création d'un
bail DHCP
19
Serveur
DHCP
Server2
Serveur
DHCP Client
Server1 DHCP
Le client DHCP diffuse un paquet

1 DHCPDISCOVER
2 Le client DHCP diffuse un paquet DHCPOFFER
Le client DHCP diffuse un paquet
3 DHCPREQUEST
Le serveur DHCP Server1 diffuse un paquet
4 DHCPACK
Comment fonctionne le processus de renouvellement d'un
bail DHCP
20
Serveur
DHCP
Server2
Client DHCP
Serveur
DHCP
Server1
50% de
87.5%
100% de
de
lala
la
durée du bail
s'est écoulée
Si le client n'est pas parvenu à renouveler son bail
lorsque
Si leLeclient
clientn'est pasenvoie
parvenu unàpaquet
renouveler son bail
1lorsque
50% de 87,5%
DHCP
la durée dedu
la bail
durée du écoulée,
s'est
DHCPREQUEST
bail s'estlaécoulée, la de
procédure
procédure
renouvellementde création
Le serveur de bail DHCP
du bailServer1
DHCP DHCP envoierecommence
commence lorsque avec
un paquet
2un client
87,5%DHCPACKDHCP diffusant un DHCPDISCOVER
de la durée du bail s'est écoulée Nizar chaabani
Demande de bail - UN serveur DHCP
21 time 1
DHCPDiscover
client
DHCPOffer
2 serveur
3 DHCPRequest
DHCPAck 4
t0
C’est SEULEMENT après t0 que le client peut utiliser
l’adresse IP communiquée par le serveur jusqu’à t0
+ lease-time
Trames DHCP
22
 DHCPDISCOVER :Permet de trouver un serveur DHCP. La trame est

une trame de « broadcast », elle est envoyée à l’adresse
255.255.255.255. Le client n’ayant pas d’adresse prend l’adresse
0.0.0.0
 DHCPOFFER : contient une proposition de bail, l’adresse IP du

serveur et l’adresse Mac du client.
 DHCPREQUEST : indique à tous les serveurs quel bail il a accepté
et/ou demande de renouvellement de bail
 DHCPACK : le serveur confirme le bail.

Demande de renouvellement de bail
time
23
client 3 DHCPRequest
serveur
DHCPAck
4
t1
Le client peut utiliser l’adresse IP communiquée

par le serveur jusqu’à t1+lease-time

Les paquets IP échangés Lors d’un
renouvellement de bail
24
Source Destination Protocol Info
192.168.0.9 192.168.0.253 DHCPRequest

192.168.0.253 192.168.0.9 DHCPAck

25
Message DHCP

Message DHCP
26
Envoyé par le Client

 DHCPDISCOVER demande de localisation des serveurs
DHCP
 DHCPREQUEST demande de bail
 DHCPDECLINE refus d’adresse IP, elle est déjà utilisée
 DHCPRELEASE libération son bail
 DHCPINFORM demande de paramètres locaux (autre
qu’une adresse IP)

Message DHCP
27
Envoyé par le Serveur

 DHCPOFFER réponse à un DHCPDISCOVER
 DHCPACK contient des paramètres et l'adresse IP du
client
 DHCPNAK refus de bail

Encapsulation d’un message DHCP
28
Trame contenant un BOOTP DHCP

message « DHCP »
UDP
IP Message
Eth UDP
DHCP
IP
BOOTP: Protocole de démarrage
Une station récupère les informations pour
s’amorcer (« booter ») sur un serveur par exemple
« d’amorçage » distant
Ethernet
Trame contenant un message DHCP
29
Adresse physique de l’émetteur

Ethernet Adresse physique du destinataire de
la trame
Adresse IP source
IP
Adresse IP destinataire du paquet IP
Port source
UDP
Port destination du datagramme
Message DHCP
Le Problème de l’oeuf et la Niveau
poule
30
physique
A moment de la demande de bail,
 Est-ce que le client connaît son adresse physique ?
 Est-ce que le client connaît l’adresse physique du serveur

DHCP ?
QUE Nizar
FAIRE chaabani
???
Le Problème de l’oeuf et la Niveau
poule
31
réseau
A moment de la demande de bail,
 Est-ce que le client connaît l’adresse IP du serveur DHCP ?
 Est-ce que le client connaît son adresse IP ?
 Est-ce que le serveur DHCP connaît l’adresse

IP du client?
QUE Nizar
FAIRE chaabani
???
DIFFUSION niveau physique
32
 Diffusion (broadcast) distribution de la requête DHCP à

tous les postes connectés
Client
DHCP Adresse de
diffusion:
ff:ff:ff:ff:ff:ff

DIFFUSION niveau réseau
33
 Diffusion (broadcast) distribution de la requête DHCP à

tous les postes connectés
Client Utilsation de
DHCP l’adresse IP de
diffusion générique
255.255.255.255

Niveau Transport - requêtes
34
 Le client DHCP envoie la requête sur le port 67. Le

serveur DHCP écoute sur le port 67.
Client
Serveur DHCP
DHCP 67

Niveau Transport - réponses
35
 Le serveur DHCP envoie la requête sur le port 68.

Le client DHCP écoute sur le port 68.
Client
Serveur DHCP
DHCP 68

DHCP : le client utilise un port réservé
36
 Port serveur DHCP 67

 Port Client DHCP 68
Client Serveur
DHCP DHCP
65 65
66 66
67 67
68 68
69
69
Trame contenant un DHCPDiscover
37
00:20.8f:b9:49:37
Ethernet ff:ff:ff:ff:ff:ff
0.0.0.0
IP
255.255.255.255
68
UDP 67
Administration Services RX MessageNizar

DHCPDiscover
chaabani
Adresse Trame contenant
physique du DHCPDiscover
38 client DHCP
00:20.8f:b9:49:37
adresse
ff:ff:ff:ff:ff:ff physique de
Adresse diffusion
IP
0.0.0.0
« neutre »
Adresse IP
255.255.255.255
de
68 diffusion
générique
Port 67
source
datagamm Message
e DHCPDiscover
Trame contenant un DHCPOffer
39
00.00.b4:bb:7d:ee
Ethernet 00:20.8f:b9:49:37
192.168.0.253
IP
67
UDP 68
Message DHCPOffer
Adresse DHCPOffer adresse
physique du
physique
40
serveur DHCP du client
00.00.b4:bb:7d:ee
00:20.8f:b9:49:37
Adresse
IP serveur 192.168.0.253
DHCP
67
68
Port
source Message DHCPOffer
datagamm
e
Trame contenant un DHCPRequest
41
00:20.8f:b9:49:37
Ethernet ff:ff:ff:ff:ff:ff
0.0.0.0
IP
255.255.255.255
68
UDP 67
Administration Services RX MessageNizar

DHCPRequest
chaabani
Demande de baux DES serveurs DHCP
42
serveur client serveur

DHCPDiscover DHCPDiscover
DHCPOffer
DHCPOffer
DHCPRequest
DHCPRequest
Le client refuse DHCPAck

mon offre
time
43
Bilan des échanges lors d’une

demande de bail

Les paquets IP échangés
44
Source Destination Protocol Info
0.0.0.0 255.255.255.255 DHCPDiscover
# le serveur DHCP vérifie que l’adresse IP qu’il veut offrir n’est pas utilisée
Serveur DHCP Broadcast ARP 192.168.0.9?
192.168.0.253 DHCPOffer
0.0.0.0 255.255.255.255 DHCPRequest
192.168.0.253 192.168.0.9 DHCPACK
# le client vérifie via ARP que personne n’utilisa sa nouvelle adresse

Client DHCP Broadcast ARP 192.168.0.9?

Client DHCP
45
La configuration IP obtenue par un client Windows n'apparaît pas

dans l'interface graphique elle peut être visualisée avec la
commande IPCONFIG :
 IPCONFIG –ALL : Affiche toutes les informations de la
configuration TCP/IP
 IPCONFIG –RELEASE : Supprime les informations de la
 IPCONFIG -RENEW : Renouvelle les informations de la
Les options RELEASE et RENEW peuvent s'appliquer à toutes ou à
certaines interfaces
Configuration d'un agent de
46
relais DHCP
 Qu'est-ce qu'un agent de relais DHCP ?
 Comment fonctionne un agent de relais DHCP
 Comment un agent de relais DHCP utilise le nombre
de tronçons
 Comment un agent de relais DHCP utilise le seuil de
démarrage
 Comment configurer un agent de relais DHCP

Agent relais DHCP
47
Il est possible d'éviter d'avoir 2 serveurs DHCP en installant un

"Agent relais DHCP"
Matériellement la fonction "Agent relais DHCP" peut être
assurée par une machine du réseau ou un routeur qui autorise
la retransmission du trafic broadcast.
Serveur
DHCP
Réseau B
Réseau A Routeur
relais
Machine
DHCP
Relais DHCP

Qu'est-ce qu'un agent de relais DHCP ?
48
Un agent de relais DHCP est un ordinateur ou un routeur configuré
pour écouter les messages DHCP/BOOTP des clients DHCP et les
transmettre aux serveurs DHCP sur différents sous-réseaux
Agent de relais DHCP Serveur DHCP
Monodiffusion
Diffusion Diffusion
Sous- Sous-
réseau A réseau B
Routeurs
Client Client Client Client

Comment fonctionne un agent de relais DHCP
49 Serveur
DHCP
DHCP DHCP
Agent de
Agentde relais
derelais DHCP
relaisDHCP
DHCP Serveur DHCP
Agent Server
DHCP
Server
Client
Client
Client2 Client
Client Client2
Client2 Routeur Client
Client3
Client 2
2 Routeur
Router
Router
Routeur Client3
3
Client1
Client1
Client1
1 3
1
1 Client1 diffuse un paquet DHCPDISCOVER

L'agent de relais transmet le message DHCPDISCOVER au
2 serveur DHCP
Le serveur envoie un message DHCPOFFER à l'agent de relais
3 DHCP
4 L'agent de relais diffuse le paquet DHCPOFFER
5 Client1 diffuse un paquet DHCPREQUEST

L'agent de relais transmet le message DHCPREQUEST au
6 serveur DHCP
Le serveur envoie un message DHCPACK à l'agent de relais
7 DHCP
8 L'agent de relais diffuse le paquet DHCPACK
Comment un agent de relais DHCP utilise le nombre de
tronçons
50
Le seuil du nombre de tronçons représente le nombre de routeurs à
travers lesquels le paquet peut être transmis avant d'être rejeté
Agent de relais DHCP 2

Nombre de tronçons= 2
Agent de relais DHCP 1
Serveur DHCP

Comment un agent de relais DHCP utilise le seuil de
démarrage
51
Le seuil de démarrage est la durée en secondes pendant laquelle

l'agent de relais DHCP attend qu'un serveur DHCP local réponde
aux requêtes des clients avant de transmettre la requête
Seuil de démarrage Serveur DHCP 2
Seuil de démarrage Serveur DHCP 2
= 10 secondes
= 10 secondes
Agent
Agent de
de relais
relais DHCP
DHCP
Serveur
Serveur
DHCP
DHCP Local
Local
Serveur
Serveur DHCP
DHCP 3 3

Format d’un message BOOTP
OP HTYPE HLEN HOPS
52
identifiant session
secs flags
adresse IP client (écrit par le client)
adresse IP client (proposée par le serveur)
serveur adresse IP
gaterway adresse IP
adresse physique du client
nom du serveur
Fichier d’amorçage
Administration Services RX OPTION
Nizar chaabani
Format d’un message DHCP
OP HTYPE HLEN HOPS
53
identifiant session
secs flags
adresse IP client (écrit par le client)
adresse IP client (proposée par le serveur)
serveur adresse IP
gaterway adresse IP
adresse physique du client
nom du serveur
Fichier d’amorçage
OPTIONS définies
Nizardans
Administration Services RX chaabani DHCP
Administration Services RX Nizar chaabani 54
SERVICES DNS
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
Admin Serv RX
Résolution de Noms et Résolution inverse
55
 Depuis 1984, les systèmes ont recours principalement à

DNS pour la résolution de noms
 Adresse sous forme de nom plus agréable à manipuler

qu’une adresse IP
 a résolution de nom (forward lookup) permet de trouver

une adresse IP à partir d'un nom
la résolution inverse (reverse lookup) permet de trouver un

nom à partir d'une adresse IP

Vue d'ensemble du système DNS
56
DNS est une base de données distribuée hiérarchisée qui contient

les mappages de noms de domaine DNS à divers types de
données, notamment des adresses IP
DNS est à la base du système de noms Internet, mais aussi du système

de noms d'une organisation
DNS prend en charge l'accès aux ressources à l'aide de noms
alphanumériques
Le système DNS a été conçu pour résoudre les problèmes posés par une
augmentation :
 du nombre d'hôtes sur Internet
 du trafic généré par le processus de mise à jour
 de la taille du fichier Hosts

D.N.S. Signifie, selon les cas, plusieurs choses
57
 Domain Name System : l'ensemble des organismes qui

gèrent les noms de domaine.
 Domain Name Service : le protocole qui permet

d'échanger des informations à propos des domaines.
Domain Name Server : un ordinateur sur lequel fonctionne un

logiciel serveur qui comprend le protocole DNS et qui peut
répondre à des questions concernant un domaine.

Qu'est-ce qu'un espace de noms de
domaines ?
58
Domaine racine
Domaine de net com org

niveau supérieur
Domaine de Edipax
second niveau
Sous-domaines west rfid east
FQDN : sales Hôte : server1

server1.sales.rfid.edipax.com
Lecture des noms de domaine
59
 A l’inverse de l’adressage IP la partie la plus significative si situe à gauche de la syntaxe :
sun2.ethernet1.centralweb.fr / 193.148.37.201
vers le plus significatif vers le plus significatif
sun2. ethernet1. centralweb.fr

domaine français (.fr)
domaine de l’organisation CentralWeb
sous-domaine CentralWeb
machine sun2 du domaine ethernet1. centralweb.fr

Principes de résolution
60
 La communication entre clients et serveurs des

services des noms utilise le protocole dns à partir
des protocoles udp et tcp, usuellement le port 53.
 Le format des trames dns est identique dans le

sens client/serveur (question) et serveur/client
(réponse).

Parcours de l’arborescence
61
Pour déterminer l’adresse ip correspondant au

nom :
www.security.com.fr.
Il faut trouver :
 un NS (serveur de noms) de la racine .
 interroger pour un obtenir NS de fr.
 Interroger pour un NS de com.fr.
 Le NS de security.com.fr. identifie www.

Quels sont les composants d'une solution
DNS ?
62
Racine « . »
Enregistrements
de ressources
.com
.edu
Enregistrements
de ressources
Clients DNS Serveurs DNS Serveurs DNS sur Internet

Qu'est-ce qu'une requête DNS ?
63
Une requête est une demande de résolution de noms envoyée à un

serveur DNS. Il existe deux types de requêtes : requêtes récursives
et requêtes itératives
 Les clients DNS comme les serveurs DNS peuvent lancer des requêtes de
résolution de noms
 Un serveur DNS qui fait autorité pour l'espace de noms de la requête
peut :
 Consulter le cache et la zone, puis renvoyer l'adresse IP demandée
 Renvoyer une réponse négative qui fait autorité
 Un serveur DNS qui ne fait pas autorité pour l'espace de noms de la
requête peut :
 Transmettre la requête qu'il ne sait pas résoudre à un serveur
spécifique appelé redirecteur
 Utiliser les indications de racine pour trouver une réponse à la
requête
Fonctionnement des requêtes récursives
64
Une requête récursive est une requête envoyée à un

serveur DNS dans laquelle le client DNS demande au
serveur de fournir une réponse complète
Le serveur DNS essaie de trouver une réponse dans

la zone de recherche directe et dans le cache
Requête récursive
pour
mail1.edipax.com
Base de
172.16.64.11 données
Computer1 Serveur DNS local

Fonctionnement des indications de
65
racine
Les indications de racine sont des enregistrements de ressources DNS
stockés sur un serveur DNS qui répertorient les adresses IP des serveurs
racines du système DNS
Cluster de Cluster de
serveurs DNS serveurs racines (.)
Indications de racine
com
local
Computer1 microsoft
Fonctionnement des requêtes
66
itératives
Une requête itérative est une requête envoyée à un serveur DNS dans laquelle le
client DNS demande la meilleure réponse que peut fournir le serveur DNS sans faire
appel à d'autres serveurs DNS. Le résultat d'une requête itérative est souvent une
référence à un autre serveur DNS situé
plus bas dans l'arborescence DNS
Requête itérative
Serveur
Indication de racine (.)
DNS local Interroger .com 1
.com
2
Computer1 3
edipax.com

Fonctionnement des redirecteurs
67
Un redirecteur est un serveur DNS que d'autres serveurs DNS internes désignent
comme responsable du transfert des requêtes pour la résolution de noms de
domaines DNS externes ou hors site
Requête itérative
Redirecteur Indication de racine (.)
Interroger .com
.com
edipax.com
Serveur DNS Computer1
local
Fonctionnement de la mise en cache du
serveur DNS
68
Table de mise en cache
Nom d'hôte Adresse IP Durée de vie
clientA.edipax.com. 192.168.8.44 28 secondes
Où se
ClientA est à l'adresse
trouve
192.168.8.44
ClientA ?
ClientA
Client1 Où seest à
ClientA
trouve
l'adresse
Client2
ClientA ?
192.168.8.44
La mise en cache est le processus qui consiste à stocker temporairement

dans un sous-système de mémoire spécial des informations ayant fait
l'objet d'un accès récent pour y accéder plus rapidement ensuite
Configuration des zones DNS
69
 Stockage et maintenance des données DNS

 Que sont les enregistrements de ressources et les
types d'enregistrements ?
 Qu'est-ce qu'une zone DNS ?
 Quels sont les types de zones DNS ?
 Que sont les zones de recherche directe et inversée ?
 Comment configurer des zones de recherche directe
et inversée

Stockage et maintenance des données DNS
70 Espace de noms : rfid.edipax.eu
local Enregistrements de ressources pour
la zone rfid.edipax.eu
Nom d'hôte Adresse IP
ClientA DNS 192.168.2.45
ClientB DNS 192.168.2.46
Fichier de zone :
rfid.edipax.eu.dns ClientC DNS 192.168.2.47
ClientC DNS
ClientA DNS ClientB DNS
Un enregistrement de ressource est une structure de base de données DNS
standard qui contient des informations utilisées pour traiter les requêtes
DNS
Une zone est une portion de la base de données DNS qui contient les
enregistrements de ressources dans lesquels le nom du propriétaire
appartient à la portion contiguë de l'espace de noms DNS
Que sont les enregistrements de ressources et
les types d'enregistrements ?
71
Type
Description
d'enregistrement
A Résout un nom d'hôte en adresse IP
PTR Résout une adresse IP en nom d'hôte
SOA Premier enregistrement dans tout fichier de zone
SRV Résout les noms des serveurs qui fournissent des services
NS Identifie le serveur DNS associé à chaque zone
MX Serveur de messagerie
CNAME Résout un nom d'hôte en nom d'hôte
Qu'est-ce qu'une zone DNS ?
72
edipax
rfid West North
Sales Support rfid

Quels sont les types de zones DNS ?
73
Zones Description
Lecture/
écriture Copie en lecture/écriture d'une base de
données DNS
Principale
Lecture
seule Copie en lecture seule d'une base de
données DNS
Secondaire
Copie de Copie d'une zone contenant certains

certains enregistrements seulement
enregistrements
Stub
Que sont les zones de recherche directe
et inversée ?
74
Espace de noms : rfid.edipax.eu
Client1 DNS 192.168.2.45
Zone 192.168.2.46
Serveur DNS autorisé rfid Client2 DNS
pour rfid directe
Client3 DNS 192.168.2.47
192.168.2.45 Client1 DNS
Zone 1.168.192.in 192.168.2.46 Client2 DNS
inversée -addr.arpa
192.168.2.47 Client3 DNS
Client2 DNS = ?
192.168.2.46 = ?
Client3 DNS
Client1 DNS
Client2 DNS
Fonctionnement des serveurs DNS préférés
et auxiliaires
3. Il est possible de spécifier
75
toute une liste de serveurs
DNS auxiliaires
1. Le serveur
DNS préféré est
celui que le client
contacte en
premier 4. Les serveurs préférés et
auxiliaires spécifiés
dans
la page Propriétés sont
automatiquement placés
en tête de liste et sont
2. Si le serveur préféré interrogés dans l'ordre
échoue, le client de la liste
essaie le serveur DNS
auxiliaire

Application des suffixes
76
Option de Liste de
sélection recherche de
suffixes de Requête de nom =
de suffixe server1
domaine
server1.sales.rfid.edipax.com
server1.rfid.edipax.com
server1.edipax.com
Suffixe
spécifique à la
connexion
77 Administration Services RX Nizar chaabani
80
 La commande dig permet d'interroger des

serveurs DNS (man dig), elle accepte des
paramètres plus fins que la
commande nslookup (man nslookup) qui existe
également sous windows, mais un peu différente
 Les commandes Netsh pour DHCP offre un outil de
ligne de commande utile à l'administration des
serveurs DHCP et fournit une solution alternative
équivalente à la gestion sur console. Elles sont utiles
dans les cas suivants :
 Administration Services RX Nizar chaabani
LDAP
LIGHTWEIGTH DIRECTORY ACCESS
PROTOCOL
Définitions et concepts
82
 Un annuaire est un conteneur d’informations

organisées.
 Exemples d’annuaires courants
 annuaire téléphonique : Les Pages Jaunes
 carnet d’adresses
 catalogue de vente
 Un annuaire global célèbre très utilisé : DNS
Un annuaire est une base de données, mais

une base de données n’est pas un annuaire

Qu’est-ce qu’un annuaire
83
 Répertoire en ligne, dynamique

 Possibilité de faire des recherches
 Contrôle d’accès à l’information
Ce n’est pas:
 destiné à manipuler des données volumineuses
 un substitut à un serveur FTP, un système de

fichiers,...

Définition d'un service d'annuaire
84
 Un référentiel d'informations structuré sur les

personnes et les ressources d'une organisation
Domaine
OU1
Ordinateurs
Rosalie Mignon
Ordinateur 1
Attributs Valeurs
Utilisateurs
Rosalie
Nom
Utilisateur 1 Mignon
OU2 Bâtiment
117
Utilisateurs Étage
1
Utilisateurs 2
Imprimantes
Administration Services RX Imprimante 1 Nizar chaabani
85
LDAP : Protocole Qui utilise le Port TCP 389

Facettes de LDAP
86
LDAP définit :
 le protocole -- comment accéder à l’information contenue dans
l’annuaire,
 un modèle d’information -- le type d’information contenu dans
l’annuaire,
 un modèle de nommage -- comment l’information est organisée et
référencée,
 un modèle fonctionnel -- comment on accède à l’information,
 un modèle de sécurité -- comment données et accès sont protégés,
 un modèle de duplication -- comment la base est répartie entre

serveurs,
 des API -- pour développer des applications clientes,
 LDIF -- un format d’échange de données.

Protocole (2): client-serveur
87
bind
status
requête
Réponse 1
Réponse 2
résultat
unbind
L’authentification est faite pendant le bind.

Modèle de nommage / modèle
88
d’information
Le modèle de nommage définit comment
sont organisées les entrées de l’annuaire
et comment elles sont référencées.
Le modèle d’information définit le type de
données pouvant être stockées dans
l’annuaire.

Modèle de nommage /
modèle d’information
country
must c
may description
may searchguide
c=fr
organization
must o
may businessCategory
o=ventes may postalAddress
organizationalUnit
must ou
ou=aspirateurs may businessCategory
may registeredAddress
person
must cn,sn
cn=maurice_duplantier may description
Nizar chaabani 89
Le modèle de nommage
90
 Organisation des entrées : structure logique arborescente,

le directory information tree (DIT)
 Chaque objet est une instance d’objet
 Chaque entrée est identifiée par un nom, le
DN=distinguished name
 Le “suffix” définit l’espace de nommage dont le serveur a
la gestion
 Un noeud de l’arbre (entrée de l’annuaire) est appelé DSE
(directory service entry)
 Sommet de l’arbre: BaseDN ou rootDSE racine de l’arbre

Duplication: replication
91
 Le modèle de duplication (replication service) définit comment

dupliquer l’annuaire sur plusieurs serveurs.
 Pas encore standard, mais est proposé par la plupart des serveurs.
 L’IETF prépare le protocole LDUP.
Dupliquer l’annuaire :
Pallier à une panne de
l’un des serveurs, une
coupure du réseau,
surcharge du service.
Master slapd
slave slapd

vulnérabilités
92
 Déni de service
 Codes BER semi-valides, requete malformées => freeze
 Mesures compensatoires
 Firewall
 Opérations signées
 Buffer overflow
 Attaquant récupère les privilèges système, ou privilège de la database
 Mesures compensatoires
 Tourner ldap en chroot

CONFIGURATION DE
WINDOWS SERVER
ACTIVE DIRECTORY
L'Active Directory
94
 La mise en place d'un domaine Windows 200x passe

par l'installation :
 D'un annuaire appelé par Microsoft "Active Directory"
 D'un serveur DNS
(Le serveur DHCP n'est pas nécessaire dans un premier

temps)

L'Active Directory
95
 L'Active Directory de Microsoft est le service

d'annuaire fourni par Windows 200x Server
(abandon de la notion de base de comptes
intégrée dans la base de registre)
 L'Active Directory supporte les protocoles suivants :
 TCP/IP : protocole réseau

 DNS : la gestion des noms de domaine Windows
200x repose sur ce service.

L'Active Directory
L'Active Directory supporte les protocoles suivants :
96

 DHCP : Distribution d'adresses IP. Il renseigne le

DNS sur les adresses distribuées (DHCP
dynamique).
 SNTP : protocole de distribution de l'heure.
Toutes les machines W2k doivent être
synchronisées car l'authentification Kerberos se
base sur un ticket horodaté.

L'Active Directory
97
 L'Active Directory supporte les protocoles

suivants :
 LDAP : protocole d'accès à l'annuaire
 KERBEROS : permet l'authentification
 LDIF : permet la synchronisation de l'annuaire
(Lightweight Data Interchange Format)

L'Active Directory
98 Racine .lyc
Un domaine Windows 2000 comprendra un ou
plusieurs serveurs. Les objets du domaine sont décrits
dans l'Active Directory.
Domaine tsinfo.lyc
Serveur : infosrv1
(infosrv1.tsinfo.lyc) D'autres domaines peuvent
Serveur : infosrv2 être créés. Ils sont reliés
(infosrv2.tsinfo.lyc) entre eux hiérarchiquement
Domaine
tscompta.lyc par des relations des
Serveur : cptsrv d'approbation
(cptsrv.tscompta.lyc) bidirectionnelles transitives
Domaine
stage.tsinfo.lyc
Serveur : st1
(st1.stage.tsinfo.lyc)
Les domaines ainsi reliés forment un ARBRE

L'Active Directory
99 Racine .lyc Racine .adm
Domaine tsinfo.lyc Domaine adminlab.adm

Serveur : infosrv1 Serveur : jtsrv
(infosrv1.tsinfo.lyc) (jtsrv.adminlab.adm)
Serveur : infosrv2
(infosrv2.tsinfo.lyc) Domaine
tscompta.lyc
Serveur : cptsrv
(cptsrv.tscompta.lyc)
Domaine
Domaine scola.adm
stage.tsinfo.lyc
Serveur : sco1
Serveur : st1
(sco1.scola.adm)
(st1.stage.tsinfo.ly
c)
Les ARBRES ainsi reliés forment une FORET
L'Active Directory
100
Les objets de l'Active Directory sont :

 Un compte d'utilisateur
 Un ordinateur
 Un dossier partagé publié
 Un groupe
 Une imprimante publiée
 Un contact
 Un objet contact est un compte qui ne dispose d’aucune autorisation de sécurité. Vous ne pouvez pas
vous connecter au réseau en tant que contact. Les contacts représentent les utilisateurs externes dans
le cadre de la messagerie par exemple

L'Active Directory
101
Les objets de l'Active Directory sont

 Une unité organisationnelle
 Les unités d’organisation sont utilisées comme
conteneurs pour organiser de façon logique des
objets d’annuaire tels que les utilisateurs, les
groupes et les ordinateurs …

L'Active Directory
102
Tous les objets ont des attributs, par exemple :

 Nom et prénom d'un utilisateur
 Nom de partage d'un dossier
Certains attributs sont obligatoires (nom de l'utilisateur)
d'autres sont facultatifs (son numéro de téléphone)

L'Active Directory
103
L'ensemble des attributs sont définis dans le SCHEMA

Le composant enfichable Schema Active Directory
permet de modifier le schéma pour ajouter des
attributs (attention, il est impossible d'en supprimer).

Exemple de création d'une A.D
104
 L’objectif de cet exemple est de créer 2 forêts bts et

sts.
 La forêt bts sera composée de 2 arbres.
 Le premier arbre composé :
 Du domaine : mozart géré par les serveurs vienne et valse ;
 Du sous-domaine : vivaldi géré par le serveur saisons.

105
 La forêt bts sera composée de 2 arbres.

 L’arbre (domaine) : chopin géré par le serveur danube.
 La forêt sts sera composée de l’arbre (domaine) :
clapton géré par le serveur eric.

106
bts sts
mozart.bts clapton.sts
chopin.bts
Srv : vienne Srv : eric
Srv : danube
(172.16.41.100) (172.16.41.50)
(176.16.41.250)
Srv : valse
(172.16.41.150)
vivaldi.mozart.bts
Srv : saisons
(172.16.41.200)
Première étape (1)
107
Installation de l'Active Directory sur le serveur
VIENNE
Rappel : bts
Lors de la 1ère partie de
l'installation du système, le
futur serveur à été appelé :
VIENNE
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.100)

108

109

110

111

112

113

114
Installation d'un second serveur sur le domaine
mozart.bts (serveur VALSE)
bts
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.100)
115
Configuration préalable :
"Pointer" sur le serveur DNS qui
gère l'Active Directory du
domaine mozart.bts

116

117

118

119
Résultat dans l'Active Directory

120
Résultat dans le serveur DNS (VIENNE)

Deuxième étape
121
Installation d'un second domaine : chopin.bts
bts
chopin.bts
Srv : danube
(176.16.41.250)

Deuxième étape
122
domaine mozart.bts, premier
serveur ayant été installé.

Deuxième étape
123

Deuxième étape
124

Deuxième étape
125

Deuxième étape
126

Deuxième étape
127

Deuxième étape
128 Résultat dans le serveur DNS (DANUBE)

Deuxième étape
129
Résultat dans le serveur DNS (VIENNE)

Deuxième étape
Relations d'approbations entre les domaines
130

Deuxième étape
131

Deuxième étape
132

Troisième étape
133
bts
Création du sous-domaine vivaldi
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.100)
vivaldi.mozart.bts
Srv : saisons
(172.16.41.200)
Troisième étape
134
domaine mozart.bts, premier
serveur ayant été installé.

Troisième étape
135

Troisième étape
136

Troisième étape
137

Troisième étape
138

Troisième étape
139 Résultat dans le serveur DNS (VIENNE)

Troisième étape
140

Quatrième étape
141 Création de l'arborescence "sts"
et du domaine "claption.sts"
sts
clapton.sts
Srv : eric
(172.16.41.50)

Quatrième étape
142

Quatrième étape
143

Quatrième étape
144

Quatrième étape
145

Quatrième étape
146

Quatrième étape
147
Résultat dans le serveur DNS (ERIC)

LE PROTOCOLE SNMP
(SIMPLE NETWORK MANAGEMENT
PROTOCOL)
SNMP : Motivation
149
 Nécessité d ’avoir un protocole permettant de

remonter des informations sur l ’activité des
différentes ressources du réseau (les serveurs, les
routeurs, les hubs, etc).

Qu’est ce que le protocole SNMP ?
150
 SNMP est un protocole de gestion réseaux
 Il s’appuie sur 4 composantes principales :

 Des agents
 Un ou plusieurs managers
 Une MIB (Management Information Base)
 Des trames

Modèle d ’administration SNMP
151
Une administration SNMP est composée de trois types d'éléments :

 des agents chargés de superviser un équipement. On parle
d'agent SNMP installé sur tout type d'équipement.
 une ou plusieurs stations de gestion capables d'interpréter les
données
 une MIB (Management Information Base) décrivant les
informations gérées (objets administrés).
 SNMP permet la supervision, le contrôle et la modification
des paramètres des éléments du réseau.

Le modèle OSI
152

Présentation de SNMP
153
Protocole d’administration de machines supportant TCP/IP

 SNMP Version 1 (SNMPv1)
Mécanisme de sécurité basé sur la notion de communauté (mot

de passe en clair dans les requêtes et réponses)
Amélioration des performances :

 Demande des données en bloc et non plus variable par
variable et Meilleur gestion des erreurs
 Remplacement de la communauté par un nom d'utilisateur
 Ajout d'un mot de passe
 Crypté enServices
Administration DES RX Nizar chaabani
Présentation de SNMP
154
Répond à un grand nombre de besoins :

 Administrer à distance des machines indépendamment
de leur architecture
 Disposer d’une cartographie du réseau
 Fournir un inventaire précis de chaque machine
 Mesurer la consommation d’une application
 Signaler les disfonctionnements

L ’architecture de SNMP
155
SNMP fonctionne au dessus de UDP

Les requêtes SNMP
156
 Recherche d’informations :
 GetRequest : recherche d’une variable sur un agent.
 GetNextRequest : recherche de la variable suivante.
 GetBulkRequest : recherche d’un groupe de variables
 Envoie d’informations
 Trap : détection d’un incident
 Modification de valeurs :
 SetRequest : permet de changer la valeur d’une variable d’un
agent.

Les réponses SNMP
157
Une seule réponse existe.

Elle est différente s’il y a une erreur ou non.
 Aucune erreur :
GetResponse : renvoie la ou les valeurs souhaitées
 En cas d’erreur :
GetResponse mais accompagné d’un NoSuchObject

Les PDUs SNMP
158

Les Ports SNMP
159

160

MIB (Management Information Base)
161
 Ensemble d’objets structurés de manière arborescente
 Accès à un objet via un Object Identifier (OID)

 Deux MIB normalisées: MIB I et MIB II
 Références des informations réseau (interfaces, ip …)
 MIB privée sous le nœud enterprises
 Une MIB n’est pas une base de données mais une
« dispatch table »

La MIB (Management Information Base)
162
 1 ressource à gérer = 1 objet

 Les objets administrables sont une abstraction des ressources
physiques (interfaces, équipements, etc.) et logiques (connexion
TCP, paquets IP, etc.)
 MIB : collection structurée d’objets reconnus par les agents
 Chaque noeud dans le système doit maintenir une MIB qui reflète
l’état des ressources gérées
 Une entité d'administration peut accéder aux ressources du
noeud en lisant les valeurs de l'objet ou en les modifiant
 MIB: 2 objectifs
 Un schéma commun : SMI (Structure of Management Information)
 Une définition commune des objets et de leur structure

Arbre des MIB accessibles
163

Identificateur d ’un objet de la MIB
164
Identificateur d ’un objet:

Identificateur unique = séquence d ’entiers dont chacun
représente la position de ces successeurs dans l ’arbre.
Exemple: identificateur de l ’objet MIB :

Le groupe MIB-2
165

1–3–6–1–2–1–4–9 Syst
1
166
Interface
1 2
UIT STD Directory Addr. Trans.
0 0
2 1 3 1-
2-
Mgmt
Internet MIB I IP 3-
1 3 2
ISO 1 1 4 4-
1 5-
Experim. 6-
3 ICMP
4 2 2 5 7-
2 8-
Private 9-IpInDelivers
4 TCP
ORG 5 3 6
2
3
DoD UDP
6 4 7
EGP
8
La structure numérique de la MIB
167
 system 1.3.6.1.2.1.1
 interfaces 1.3.6.1.2.1.2
 at 1.3.6.1.2.1.3
 ip 1.3.6.1.2.1.4
 Icmp 1.3.6.1.2.1.5
 tcp 1.3.6.1.2.1.6
 udp 1.3.6.1.2.1.7
 egp 1.3.6.1.2.1.8
 rmon 1.3.6.1.2.1.9
 transmission 1.3.6.1.2.1.10
 snmp 1.3.6.1.2.1.11

Requête SNMP
168
 Les formats des requêtes SNMP sont spécifiées par une

description en ASN.1 (Abstract Syntax Notation 1).
 Le principe de la syntaxe de transfert est que chaque
valeur transmise contient trois champs :
 Un identificateur
 La longueur en octets du champ de données
 Le champ de données

Requête SNMP
169
 Le format des messages SNMP comprend plusieurs
champs :
Longueur
Versio Community Le champ
Tag du
n Name PDU
message
 Le champ Tag identifie le type de la trame.

 Le champ Longueur contient la longueur totale de la trame.
 Le champ Version est utilisé pour une compatibilité entre les

différentes versions SNMP.
 Le champ community Name contient le nom de la
communauté utilisée dans le processus d'authentification.

Requête SNMP
170
champs :
Longueur
Tag du
n Name PDU
message
 Le champ PDU comprend 5 valeurs :

 La PDU GetRequest
 La PDU GetNextRequest
 La PDU SetRequest
 La PDU GetRespons
 La PDU Trap

Requête SNMP
171
champs :
Longueur
Tag du
n Name PDU
message
Lg Request Error Error VarBindLis

Tag PDU
PDU ID Status Index t
Format d'une PDU

Structure des informations d ’Administration
(SMI)
172
􀂉 La MIB contient des éléments simples (scalaire et tableaux à deux

dimensions de scalaires)
􀂉 SMI (Structure of Management information) : donne les règles de
définition, d'accès et d'ajout des objets dans la MIB (méta-modèle)
􀂉 Objectifs : encourager la simplicité et l'extension de la base
d ’informations d’Administration :
􀂉 Représentation identique des objets >>> rendre un objet accessible de la
même manière sur chaque entité du réseau
􀂉 L ’objet administré peut être considéré d ’être composé d ’un type d ’objet
et une instance.
􀂉 SMI définit le type d ’objets et non leur instance.

Structure des informations d ’Administration (SMI)
173
Un objet possède :
 un nom (Descripteur + identificateur d ’objet)
 une syntaxe utilisant ASN.1 (Abstract Syntaxe Notation)
 une définition qui est un texte de description de l ’objet
 un accès qui spécifie les droits d ’accès à l ’objet (read only,

read-write or not accessibe)
 Un statut qui spécifie si l ’objet est courant (mondatory ou
optional) ou obsolète.
 un schéma de codage BER (Basic Encoding Rules)

(SMI)
174
Les caractéristiques d ’un objet sont regroupées dans la définition

d ’une macro qui définie la structure d ’un type d ’objet :
OBJECT-TYPE MACRO ::=
BEGIN
TYPE NOTATION ::=
"SYNTAX" type (TYPE ObjectSyntax)
"ACCESS" Access
"STATUS" Status
VALUE NOTATION ::= value (VALUE ObjectName)
Access ::= "read-only »|"read-write" |"write-only" |"not-accessible’’
Status ::= "mandatory« |"optional« |"obsolete" |"deprecated"
END

(SMI)
175
atIndex OBJECT-TYPE
SYNTAX Integer
ACCESS read-write
STATUS mandatory
DESCRIPTION « Numéro d’interface logique."
::= { atEntry 1 }

Exemple de fichier ASN.1
176
Identification d’un
ACCELANCE-MIB DEFINITIONS ::= BEGIN
fichier ASN.1
…
accelance MODULE-IDENTITY Rattachement de la branche
… Accelance à la branche enterprises via
::= { enterprises 9697 } l’OID 9697
general OBJECT IDENTIFIER ::= { accelance 1 } Affectation de la branche

…
general à la branche
accelance via l’OID 1
release OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS read-only Définition de la variable realease
STATUS current
&
DESCRIPTION
"Type d’OS utilisé"
Rattachement de celle-ci à la
branche general
::= { general 1 }
 Désormais nous pouvons accéder à la variable release de la manière suivante :

.iso.dod.internet.private.enterprises.accelance.general.release.0
Mécanismes de sécurité de SNMP
177
L ’autorisation est l ’intersection entre le mode d ’accès

défini par la communauté et l ’accès à l ’objet défini
parmi les caractéristiques de l ’objet.
Mode d’accès read-only read-write write-only not-accessible
read-only 3 3 1 1
read-write 3 2 4 1
où les classes sont définies par :
1 no right 3 get, get-next, trap
2 get, get-next, set, trap 4 set, trap
outils de supervision
178
 Les logiciels libres

 HP OpenView ou Tivoli d'IBM
 Les logiciels payants
 Microsoft Operations Manager 2005
 IBM Tivoli Monitoring
 BMC Patrol

outils de supervision
179
 Cacti
 Zabbix
 Nagios
 Zenoss

180 INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE SILIANA

Algorithm PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Algorithm PDF

Transféré par

Droits d'auteur :

Formats disponibles

2

Administration Services RX Nizar chaabani

 Permet à un ordinateur qui se connecte sur un réseau

Administration Services RX Nizar chaabani

 Lorsque vous connectez un ordinateur sur le réseau il n’a

Administration Services RX Nizar chaabani

 Le client A démarre, il n’a pas d’adresse IP

Administration Services RX Nizar chaabani

DHCP Discovery Réseau IP 192.168.10.0

 L’ordinateur A émet un paquet de

DHCP Offer 192.168.10.9

 Le serveur DHCP propose une

DHCP Offer 192.168.10.9

 L’ordinateur annonce (par diffusion)

 Le serveur acquitte ou non la réponse du

Administration Services RX Nizar chaabani

Administration Services RX Nizar chaabani

Administration Services RX Nizar chaabani

 La durée du bail est paramétrable :

 possibilité de prolonger le bail

Administration Services RX Nizar chaabani

 Possibilité de réserver des adresses IP à

 @ serveurs : DNS, WINS

Administration Services RX Nizar chaabani

 Autoriser le serveur DHCP (le rendre actif)

 Définir la ou les plages d’adresses (étendues), les

Administration Services RX Nizar chaabani

 Le poste client vient de se connecter, il n’a pas

Un bail a une durée : lease-time

Administration Services RX Nizar chaabani

Client1 DHCP : DHCP

Le client DHCP diffuse un paquet

 DHCPDISCOVER :Permet de trouver un serveur DHCP. La trame est

 DHCPOFFER : contient une proposition de bail, l’adresse IP du

Administration Services RX Nizar chaabani

Le client peut utiliser l’adresse IP communiquée

Administration Services RX Nizar chaabani

Source Destination Protocol Info

192.168.0.9 192.168.0.253 DHCPRequest

Administration Services RX Nizar chaabani

Administration Services RX Nizar chaabani

Envoyé par le Client

 DHCPDECLINE refus d’adresse IP, elle est déjà utilisée

 DHCPRELEASE libération son bail

 DHCPINFORM demande de paramètres locaux (autre

qu’une adresse IP)

Administration Services RX Nizar chaabani

Envoyé par le Serveur

 DHCPACK contient des paramètres et l'adresse IP du

Administration Services RX Nizar chaabani

Trame contenant un BOOTP DHCP

Adresse physique de l’émetteur

A moment de la demande de bail,

 Est-ce que le client connaît son adresse physique ?

 Est-ce que le client connaît l’adresse physique du serveur

 Est-ce que le client connaît son adresse IP ?

 Est-ce que le serveur DHCP connaît l’adresse

 Diffusion (broadcast) distribution de la requête DHCP à

Administration Services RX Nizar chaabani

 Diffusion (broadcast) distribution de la requête DHCP à

Administration Services RX Nizar chaabani

 Le client DHCP envoie la requête sur le port 67. Le

Administration Services RX Nizar chaabani