Vous êtes sur la page 1sur 17

PROSIT 1.

4
Environnement hétérogène

CESI-EXIA/UCAC-ICAM
SEUNGTO ASSELSOUBA STEPHANE
stephane.seungto.cm@viacesi.fr

Table de matière
I. PRISE DE CONNAISSANCE DE LA SITUATION ET LA CLARIFIER ................................................ 3
1. Mots et expressions clés ............................................................................................................... 3
2. Contexte ........................................................................................................................................... 3
II. ANALYSE DU BESOIN ......................................................................................................................... 3
1. Besoins ............................................................................................................................................. 3
2. Problématique ................................................................................................................................. 3
3. Contraintes ...................................................................................................................................... 3
III. GENERALISATION........................................................................................................................... 3
IV. PISTE DE SOLUTION....................................................................................................................... 3
V. PLAN D’ACTION .................................................................................................................................. 4
1. Définition des mots et expression clé.......................................................................................... 4
2. Etudier la notion de réplication sur ADDS et Open LDAP .......................................................... 4
Cas des contrôleurs de domaine en lecture seule ............................................................................. 6
3. Expliquer le fonctionnement de samba ....................................................................................... 6
 Les démons de Samba .............................................................................................................. 7
 Installation de SAMBA : ............................................................................................................. 8
 Compilation et installation......................................................................................................... 8
4. Expliquer les rôles des maitresses opérations ........................................................................... 9
 Les rôles FSMO, ça sert à quoi ?............................................................................................... 9
 Rôle « Maître d’attribution des noms de domaine »............................................................. 10
 Rôle « Contrôleur de schéma » ............................................................................................... 10
 Rôle « Maître RID » .................................................................................................................... 10
 Rôle « Maître d’infrastructure » ............................................................................................... 10
 Rôle « Émulateur PDC »............................................................................................................ 11
 La gestion des maîtres d’opération ........................................................................................ 11
5. Expliquer l’infrastructure des systèmes d’annuaire de Microsoft ......................................... 11
 Autres services Active Directory : ........................................................................................... 12
 Structure d’active directory...................................................................................................... 13
 Contrôleur de domaine :........................................................................................................... 14
 DNS : ........................................................................................................................................... 15
 Réplication : ............................................................................................................................... 15
stephane.seungto.cm@viacesi.fr

6. Faire cohabiter les annuaires LDAP et Active directory (sans perdre les fonctionnalités de
chacun)................................................................................................................................................... 16
VI. Conclusion et retour sur les objectifs ........................................................................................ 16
VII. Bilan critique du travail effectuer................................................................................................ 16
VIII. Ressources utilisées : .................................................................................................................. 16
stephane.seungto.cm@viacesi.fr

I. PRISE DE CONNAISSANCE DE LA SITUATION ET LA


CLARIFIER
1. Mots et expressions clés
Architecture distribuée; replication

2. Contexte
Notre collaborateur travaillant sur un service différent du notre souhaite faire cohabiter
les solutions d’annuaires Windows et linux sans perdre les fonctionnalités de chacun deux
afin d’augmenter la robustesse de l’architecture réseau. Pour cela il fait appel à nous
puisqu’on avait déjà implémentés l’annuaire LDAP dans notre service et active directory
est déjà installé dans son service.

II. ANALYSE DU BESOIN


1. Besoins
 Installer un service d’annuaire sous linux
 Faire cohabiter les annuaires installés sur les deux systèmes d’exploitation
(Windows et linux)
 Le serveur linux devrait prendre le relais en cas de panne en proposant le même
niveau de fonctionnalité

2. Problématique
Comment mettre en place une architecture distribuée ou cohabite des services
d’annuaires OpenLdap et active Directory

3. Contraintes
 Architecture des systèmes d’exploitation différent
 Manque de connaissances sur Active directory
 Manque de connaissance sur la réplication

III. GENERALISATION
Mise en place d’un environnement hétérogène

IV. PISTE DE SOLUTION


 Samba nous sera utile pour mettre en place un environnement hétérogène
stephane.seungto.cm@viacesi.fr

 La réplication des maitres d’Operations sur active directory pourra nous aider sur
la mise en place d’un environnement hétérogène
 La notion de réplication nous sera utile

V. PLAN D’ACTION
1. Définition des mots et expression clé

Architecture distribuée : Une architecture distribuée désigne un système d’information ou


un réseau pour lequel l’ensemble des ressources disponibles ne se trouvent pas dans un
même endroit ou sur une même machine.

Réplication : La réplication est une pratique active directory qui consiste à assurer la
disponibilité des ressources au système d’information en cas de panne ou d’indisponibilité
du serveur contrôleur de domaine principale.

2. Etudier la notion de réplication sur ADDS et Open LDAP


ADDS et OpenLDAP sont tous deux des services d’annuaire respectivement Windows et linux.
En effet, active directory permet d’avoir un ensemble de serveur d’authentification qui se
répliquent et pour permettre :
 Une redondance (Protection contre les pannes),
 Une meilleure gestion de la charge (Plusieurs pour repartir les requêtes)
 Ou de fournir un serveur d’authentification local pour des sites distant.
Intérêt de la réplication :
La consommation de bande passante pour les réplications active directory sont globalement
négligeables sur les réseaux modernes.
Cependant, le fait de mettre des DC sur le site distant est rarement un choix lié à une
problématique de bande passante, mais plutôt une volonté d’assurer la continuité des services
même si le réseau WAN est tombé.
ET dont SAMBA est pour autant un outil, un produit mature qui peut gérer des domaines avec
plusieurs dizaines de contrôleur de domaine en réplication sans problème.
Fonctionnement des réplications :
Le fonctionnement des réplications en active directory est très différent du mode de réplication
OpenLDAP ou d’autre système de réplication.
stephane.seungto.cm@viacesi.fr

 Les réplications Active Directory fonctionnent sur un mode Pull (le serveur tire les
modifications depuis les autres serveurs) et non sur un mode Push (le serveur envoie
ses données modifiées) ;
 L’état des réplications est contenu dans l’arbre AD lui-même, il n’y a pas de fichier de log
qui enregistre l’ensemble des modifications ;
 Bien que les serveurs AD se répliquent ensemble, ils ne sont pas exactement identiques.
En effet il y a des objets et des attributs qui ne sont pas répliqués, comme par exemple
l’état des réplications. Si on doit comparer deux AD il faut donc exclure certain attribut
pour éviter d’avoir du bruit inutile, et faciliter ainsi une recherche post-incident de
réplication par exemple.
Topologie de réplication :
Gérer les connexions de réplication, rôle du KCC pour que les réplications se passent bien dans
un domaine, il est important que chaque contrôleur soit connecté à chaque autre contrôleur à
travers un ou plusieurs hop. Si une modification est effectuée sur srvads1, elle peut être
répliquée sur srvads2 qui la répliquera sur srvads3. Même si srvads1 et srvads3 ne se répliquent
pas directement, la modification sera propagée par transitivité.
Le rôle d’interconnecter les AD est celui du KCC, la vérification de la consistance de la
connaissance … C’est un nom qui reflète bien son rôle. Le KCC utilise les informations
configurées par l’administrateur dans la console Site et Services Active Directory pour choisir
sa stratégie d’interconnexion d’AD. Toutefois, si la configuration définie par l’administrateur ne
permet pas au KCC d’avoir un réseau complètement connecté, le KCC peut prendre des
décisions qui peuvent être en désaccord avec ce que l’administrateur avait défini.
Par défaut le KCC fera au moins une connexion de réplication avec un autre AD du même site, et
avec au moins un AD d’un site distant vers lequel il doit faire des réplications.

En pratique il est conseiller de définir des topologies de réplication en étoile avec un site de
réplication au centre et des sites de réplication autour qui ne se réplique qu’avec le site de
réplication. Cette méthode simple évitera des boucles.

Boucle de réplication

La topologie de réplication peut faire que l’on ait des boucles de réplication. C’est à dire, par
exemple, que le serveur A se réplique avec B et C, et que B et C se réplique entre eux. On peut
donc avoir une modification sur A qui est propagée à B qui est à nouveau propagée à C qui la
propage à nouveau au serveur A.

Dans ce cas de figure le protocole de réplication a un mécanisme pour reconnaitre ces


informations de réplication en doublon et les ignorer.

Répliquer le répertoire SYSVOL

Le répertoire SYSVOL d’un Active Directory contient les fichiers de définition des GPO ainsi que
les scripts d’ouverture de session NetLogon du domaine. Le répertoire SYSVOL doit être
disponible sur l’ensemble des serveurs AD d’un domaine avec le même contenu.
stephane.seungto.cm@viacesi.fr

La réplication de l’arbre LDAP DRS est un protocole complètement différent de celui utilisé pour
la réplication du répertoire SYSVOL .

Pour assurer la réplication du répertoire SYSVOL , Microsoft a mis en place deux protocoles :

 FRS : protocole intégré à AD depuis AD2k jusqu’à AD2k16 (sauf dernière version octobre
2019) ;

 DFS-R : protocole intégré à AD depuis AD2k8 ;

Actuellement Samba-AD ne support ni FRS ni DFS-R. Il n’y a pas de méthodologie officielle


Samba pour faire la réplication du répertoire SYSVOL . Il existe différentes méthodes.

Le protocole DFS-R utilisé pour le répertoire SYSVOL est le même que celui utilisé pour
répliquer des partages de fichiers entre serveurs de fichiers Microsoft. C’est une extension du
protocole DFS. Samba supporte le protocole DFS, mais pas le protocole DFS-R.

Cas des contrôleurs de domaine en lecture seule


A partir d’Active Directory 2008, il est possible d’avoir des serveurs Active Directory en lecture
seule RODC. Comme son nom l’indique, ces contrôleurs de domaine ne permettent pas de faire
des modifications des données localement. Les modifications sont redirigées vers un contrôleur
de domaine normal (que l’on appellera dans cette documentation par abus de langage RWDC).

Toutefois, comme il a été précisé un peu plus tôt dans cette documentation, les données du
statut de réplication sont stockées elles même dans l’AD. Cela implique que l’AD n’est pas
entièrement en lecture seule. En effet certains attributs sont quand même en lecture / écriture.
L’attribut instance Type définit si l’attribut est en lecture / écriture (valeur 4) ou en lecture seule
(valeur 2)

3. Expliquer le fonctionnement de samba


A ce jour, Samba AD est à la version 4.1.1. Cette version est livrée avec

 Un annuaire LDAP Active Directory ;


 Un serveur d’authentification Kerberos KDC ;
 Un serveur DNS dynamique sécurisé ;
 Le support de la version 3.0 du protocole SMB ;
 Un serveur RPC (Remote Procedure Call) ;
 La prise en charge des GPO ;
 Le support de configuration via le service RSAT depuis un client Windows.
 L’administration du domaine en ligne de commande se fait grâce à l’utilitaire
samba-tool.
stephane.seungto.cm@viacesi.fr

Dans le cas d'un réseau homogène d'ordinateurs sous Windows, le principal outil de partage de
fichiers et d'imprimantes se situe sur le bureau de l'utilisateur, et est identifié par l'icône
"Voisinage Réseau". Cela permet, par l'intermédiaire du protocole NetBIOS (ou SMB), d'accéder
aux fichiers partagés des machines Windows situées sur le même réseau. L'idée de Samba est
d'offrir un support du protocole SMB sous Linux.
Ainsi, une machine sous Windows peut accéder à des ressources d'une machine Linux de façon
transparente et vice-versa. C'est dire que les ressources partagées seront alors banalisées. Un
utilisateur accédant à une ressource partagée n'aura pas conscience du fait que cette ressource
se trouve physiquement sur une machine Linux ou sur une machine Windows.
 Les démons de Samba
Le fonctionnement de SAMBA est mis en oeuvre par deux démons UNIX (tâches de fond) smbd
et nmbd :

Le démon SMBD(SaMBa Daemon):

Smbd permet le partage de ressources fichiers et d'imprimantes et gère l'authentification et les


droits de partage des utilisateursqui accèdent aux ressources.

Deux types d'accès sont possibles :

SHARE où un mot de passe seul suffit pour accéder à l'ensemble des ressources d'un domaine
NT (c'est à dire à l'ensemble des machines possédant le même contrôleur de domaine)

USER pour un accès personalisé par nom d'utilisateur et mot de passe pour une ressource
spécifique.

Il est contrôlé à partir du fichier de configuration samba/lib/smb.conf. On peut agir sur son
fonctionnement en utilisant les signaux (ex: SIGTERM, SIGUSER1 ou SIGUSER2).

Le démon NMBD (Name Management Daemon):

Il propose le support du serveur de nom NetBios imitant les fonctionnalités WINS et NetBios

Deux gestions différentes sont possibles :

BROADCAST(diffusion), utilisé pour les réseaux locaux, qui fonctionnent par envoi d'un nom de
machine sur le réseau puis attend le retour d'IP de la dite machine.

POINT-to-POINT(d'un point à un autre), qui s'utilise sans limitation aux réseaux locaux et
fonctionne par l'intermédiaire de serveurs DNS ou WINS. Dans ce cas, les serveurs constituent
un tableau de noms de machines associées à des adresses IP, ainsi plus de problème de
réseaux partiels : il suffit de rajouter des serveurs WINS pour accéder à un autre système de
ressources

Le démon nmbd répond aussi aux requête utilisées par le voisinage réseau. C'est à dire qu'il
permet de gérer la navigation parmi une liste de services et de fichiers partagés.

Si nmbd fait office de serveur WINS, il stocke les informations de nom et d ’adresse dans le
fichier samba/var/locks/wins.dats. Si nmbd fait office d ’explorateur local principal, il stocke la
base d’exploration dans le samba/var/locks/brows.dat.
Comme smbd, nmbd répond à plusieurs signaux UNIX (SIGHUP, SIGTERM, etc...).
stephane.seungto.cm@viacesi.fr

 Installation de SAMBA :

L'installation ne pose aucun problème d'autant que la plupart (toutes ?) des distributions
modernes fournissent Samba sous forme de paquetages binaires ou RPM ou DEB. Il n'est pas
rare que Samba se trouve implicitement installé lors d'une procédure d'installation comme
poste de travail ou comme serveur. On peut facilement le vérifier à l'aide d'une simple
commande
Mais pour les inconditionnels de la compilation voici la méthode à suivre :

L’installation comprend les étapes suivantes :

 Téléchargement des fichiers source ou des fichiers binaires Lecture des documents
d’installation.
 Lancement d’un script de configuration GNU.
 Compilation du code serveur.
 Installation des fichiers serveur
 Création d’un fichier de configuration Samba.
 Test du fichier de configuration.
 Démarrage des démons Samba.
 Test des démons Samba.

 Compilation et installation

La compilation :

À partir du répertoire source, exécuter la commande make. L’utilitaire make génère une foule de
messages explicatifs et de messages de réussite.

L’installation :
Installer les fichiers compilés dans les répertoires identifiés à l’aide de la commande :

# make install

En cas de mise à niveau, l’extension .old est attribuée aux anciens fichiers. La restauration de
la version précédente se fait à l’aide de la commande make revert.

 Fiche d’installation :
stephane.seungto.cm@viacesi.fr

4. Expliquer les rôles des maitresses opérations


Depuis Windows Server 2000, Microsoft a intégré la notion de rôle FSMO au sein d’un
environnement Active Directory. On dénombre cinq rôles FSMO différents, ayant chacun un
objectif précis.
Pour votre information, FSMO signifie « Flexible Single Master Operation ».
Dans ce chapitre du cours, nous allons voir chacun de ces cinq rôles dans le détail.
 Les rôles FSMO, ça sert à quoi ?
Lorsque l’on met en place un environnement Active Directory, il y a de très fortes chances (car
c’est conseillé) que l’on ait plusieurs contrôleurs de domaine. De ce fait, tous les contrôleurs de
domaine « normaux » disposent d’un accès en écriture sur l’annuaire.

Cependant, certaines tâches sont plus sensibles que d’autres, et il serait dangereux d’autoriser
la modification de certaines données sur deux contrôleurs de domaine différents, en même
temps. De ce fait et pour minimiser les risques de conflits, Microsoft a décidé d’implémenter les
rôles FSMO qui permettent de limiter la modification de certaines données internes à l’annuaire
Active Directory.
Au sein d’un environnement, on attribuera la notion de « rôle FSMO » à « maître d’opération ». En
fait, le maitre d’opération est le contrôleur de domaine qui détient un ou plusieurs rôles
FSMO. Détenir un rôle signifie pour un contrôleur de domaine qu’il est capable de « réaliser une
action particulière au sein de l’annuaire ».
Il est à noter qu’il ne peut pas y avoir plusieurs maîtres d’opérations pour le même rôle FSMO, au
sein d’un domaine ou d’une forêt (selon le rôle concerné).

Voici les cinq rôles que nous allons étudier :


stephane.seungto.cm@viacesi.fr

 Rôle « Maître d’attribution des noms de domaine »


Le maître d’opération qui détient ce rôle est unique au sein de la forêt, et il est le seul autorisé à
distribuer des noms de domaine aux contrôleurs de domaine, lors de la création d’un nouveau
domaine.

De ce fait, il est notamment utilisé lors de la création d’un nouveau domaine. Le contrôleur de
domaine à l’initiative de la création doit impérativement être en mesure de contacter le
contrôleur de domaine disposant du rôle FSMO « Maître d’attribution des noms de domaine »
sinon la procédure échouera.
Enfin, je tiens à préciser qu’il a également pour mission de renommer les noms de domaine.

En résumé, il est unique au sein d’une forêt et attribue les noms de domaine.
 Rôle « Contrôleur de schéma »
Pour rappel, le schéma désigne la structure de l’annuaire Active Directory, le schéma est donc un
élément critique au sein de l’environnement Active Directory. Cela implique l’unicité au sein de la
forêt de ce maître d’opération, qui sera le seul – contrôleur de domaine – à pouvoir initier des
changements au niveau de la structure de l’annuaire (schéma). En fait, comme le schéma est
unique, son gestionnaire est unique également.

En résumé, il est unique au sein d’une forêt et gère la structure du schéma.


 Rôle « Maître RID »
Comme vous le savez déjà, les objets créés au sein de l’annuaire Active Directory dispose de
plusieurs identifiants uniques. Parmi eux, il y a notamment le GUID et le DistinguishedName
mais aussi l’identifiant de sécurité « SID », c’est ce dernier qui nous intéresse dans le cadre du
maître RID.

- Pourquoi RID ?
Le RID est un identifiant relatif qui est unique au sein de chaque SID, afin d’être sûr d’avoir un SID
unique pour chaque objet de l’annuaire. Le SID étant constitué d’une partie commune qui
correspond au domaine, le RID est essentiel pour rendre unique chaque SID. C’est là que le
maître RID intervient...

Unique au sein d’un domaine, ce maître d’opération devra allouer des blocs d’identificateurs
relatifs à chaque contrôleur de domaine du domaine. Ainsi, chaque contrôleur de domaine aura
un bloc (pool) de RID unique qu’il pourra attribuer aux futurs objets créés dans l’annuaire.

Bien sûr, tous les contrôleurs de domaine ne vont pas épuiser le pool de RID au même rythme…
Un contrôleur de domaine qui atteindra un certain niveau d’épuisement de son stock de RID
disponible contactera le Maître RID pour en obtenir des nouveaux. Cela implique que la création
d’un objet est impossible si le Maître RID du domaine n’est pas disponible.

En résumé, il est unique au sein d’un domaine et attribue des blocs de RID aux contrôleurs de
domaine pour assurer que les SID des objets soient unique.
 Rôle « Maître d’infrastructure »
Unique au sein d’un domaine, le contrôleur de domaine qui dispose du rôle de Maître
d’infrastructure a pour objectif de gérer les références entre plusieurs objets.

Prenons un exemple pour mieux comprendre ce que cela signifie. Imaginons qu’un utilisateur
d’un domaine A soit ajouté au sein d’un groupe du domaine B. Le contrôleur de domaine « Maître
stephane.seungto.cm@viacesi.fr

d’infrastructure » deviendra responsable de cette référence et devra s’assurer de la réplication


de cette information sur tous les contrôleurs de domaine du domaine.
Ces références d’objets sont également appelées « objets fantômes » et permettent au
contrôleur de domaine de faciliter les liens entre les différents objets. Un objet fantôme
contiendra peu d’information au sujet de l’objet auquel il fait référence (DN, SID et GUID). Dans le
cas de l’exemple ci-dessus, un objet fantôme sera créé sur le domaine B afin de faire référence à
l’utilisateur du domaine A.

De ce fait, si l’objet est modifié ou supprimé à l’avenir, le Maître d’infrastructure devra se charger
de déclencher la mise à jour de l’objet fantôme auprès des autres contrôleurs de domaine. En
quelque sorte, il accélère les processus de réplication et la communication entre les contrôleurs
de domaine.
En résumé, il est unique au sein d’un domaine et doit gérer les références d’objets au sein du
domaine.
 Rôle « Émulateur PDC »
L’émulateur PDC (Primary Domain Controller) est unique au sein d’un domaine et se doit
d’assurer cinq missions principales :
- Modification des stratégies de groupe du domaine (éviter les conflits et les écrasements)
- Synchroniser les horloges sur tous les contrôleurs de domaine (heure et date)
- Gérer le verrouillage des comptes
- Changer les mots de passe
- Assure la compatibilité avec les contrôleurs de domaine Windows NT

En résumé, il est unique au sein d’un domaine et assure diverses missions liées à la sécurité et
par défaut il joue le rôle de serveur de temps pour l’ensemble du domaine.
 La gestion des maîtres d’opération
Par défaut, le premier contrôleur de domaine du domaine détient les cinq rôles FSMO, par faute
de choix. Cependant, il est possible de transférer les rôles si vous souhaitez les répartir entre
plusieurs contrôleurs de domaine, il y a une véritable flexibilité à ce niveau-là.

Pour transférer un rôle d’un contrôleur de domaine vers un autre, on pourra utiliser l’interface
graphique de Windows ou encore l’utilitaire « ntdsutil ».

Je vais maintenant répondre à une question qui a dû vous venir à l’esprit : « Comment faire si le
contrôleur de domaine qui dispose d’un ou plusieurs rôles est corrompu ? ». Rassurez-vous, tout
n’est pas perdu. En effet, il faudra réaliser une opération de « seizing » qui consiste en fait à
forcer la récupération d’un ou de plusieurs rôles, ce qui sera d’une utilité cruciale en cas de
corruption d’un contrôleur de domaine. Là encore, on pourra procéder via l’utilitaire « ntdsutil ».
Ce chapitre est terminé, désormais vous maîtrisez la notion de rôles FSMO et vous connaissez
le rôle de chacun d’entre eux.
5. Expliquer l’infrastructure des systèmes d’annuaire de Microsoft
Active directory est principalement le système d’annuaire active directory le plus utiliser.
Active Directory (AD) est un service d’annuaire destiné aux environnements Windows Server. Il
s’agit d’une base de données distribuée et hiérarchisée qui partage des informations relatives à
l’infrastructure permettant de localiser, de sécuriser, de gérer et d’organiser des ressources
ordinateur et réseau ressources dont des fichiers, utilisateurs, groupes, périphériques et
appareils réseau.
stephane.seungto.cm@viacesi.fr

Active Directory est le service d’annuaire développé par Microsoft à destination des domaines
Windows. Outre les fonctions d’authentification et d’autorisation dont il est doté, il fournit un
cadre aux autres services de ce type. L’annuaire est en réalité une base de données LDAP qui
contient des objets interconnectés. Active Directory utilise le système d’exploitation Windows
Server.

Quand quelqu’un parle d’Active Directory, il se réfère généralement à Active Directory Domain
Services, qui fournit des protocoles d’authentification et d’autorisation intégrés et de grande
ampleur.

Avant Windows 2000, le modèle d’authentification et d’autorisation de Microsoft avait besoin de


diviser un réseau en domaines, puis de corréler ces domaines par l’entremise d’un système
complexe, et parfois imprévisible, de simple ou double approbation. Active Directory a été
intégré à Windows 2000 afin de fournir des services d’annuaire taillés pour des environnements
plus grands, et plus complexes.

 Autres services Active Directory :


Au fil du temps, Microsoft a enrichi l’offre Active Directory de plusieurs services.

Active Directory Lightweight Directory Services

Cette version allégée fait l’impasse sur certaines des fonctionnalités avancées qui compliquent
l’usage de Domain Services pour intégrer les fonctions d’annuaire les plus rudimentaires, sans
recours aux contrôleurs de domaine, aux forêts ou aux domaines. C’est ainsi une version tout
indiquée pour les réseaux de petite taille ou à ceux destinés à un seul et même bâtiment.

Services de certificats Active Directory (AD CS)

Ces services fournissent des certificats numériques qui sont générés dans une infrastructure à
clés publiques, ou PKI. Celle-ci peut stocker, approuver, créer et révoquer des clés publiques
d’identification utilisée à des fins de cryptage plutôt que de générer des clés de façon externe ou
locale.

Active Directory Federation Services (ADFS)

ADFS est un service web d’authentification et d’autorisation unique (SSO) qui s’adresse en
premier lieu aux entreprises. Grâce à lui, un prestataire peut se connecter à son propre réseau et
être habilité à accéder à celui de son client également.

Active Directory Rights Management Services (ADRMS)

Ce service de gestion des droits décompose l’autorisation au-delà d’un modèle d’accès octroyé
ou refusé et restreint les actions qu’un utilisateur peut effectuer sur des fichiers ou documents
spécifiques. Dans ce système, les droits et restrictions sont associés au document plutôt qu’à
l’utilisateur. Ces droits servent généralement à interdire l’impression, la copie ou la réalisation de
captures d’écran d’un document.
stephane.seungto.cm@viacesi.fr

 Structure d’active directory


Active Directory se distingue par sa capacité à déléguer les autorisations et par l’efficacité de
son système de réplication. Chaque partie de la structure organisationnelle d’AD restreint soit
l’autorisation, soit la réplication, au périmètre qu’elle délimite.

Forêt

La forêt est le sommet de l’organisation hiérarchique d’AD. Une forêt est une limite de sécurité
au sein d’une organisation, et permet la séparation des délégations d’autorité au sein d’un même
environnement. Ainsi, l’administrateur a accès à l’ensemble des droits et permissions, mais
uniquement à un sous-ensemble précis de ressources. On peut se contenter d’utiliser une seule
forêt sur un réseau. Les informations qui y sont associées sont stockées sur tous les
contrôleurs de domaine, sur tous les domaines, au sein de la forêt.

Arborescence

Une arborescence correspond à un groupe de domaines. Les domaines qui appartiennent à une
arborescence ont le même espace de nom racine. Si elles partagent un même espace de nom,
les arborescences n’en constituent pas pour autant des limites de sécurité ou de réplication.

Domaines

Chaque forêt contient un domaine racine. Les autres peuvent servir à créer d’autres partitions au
sein d’une forêt. L’objet d’un domaine est de décomposer le répertoire en petits fragments afin
d’en maitriser la réplication. Un domaine limite la réplication de données Active Directory aux
seuls contrôleurs de domaine qui y appartiennent. Cela évite ainsi, par exemple, à un bureau
parisien de dupliquer les données AD d’un autre situé à Dijon, ce qui serait parfaitement inutile.
On économise ainsi de la bande passante, tout en limitant les dégâts en cas de faille de sécurité.

Chaque contrôleur appartenant à un domaine possède une copie identique de sa base de


données Active Directory. Celle-ci reste à jour grâce à la réplication en continu.

Si les domaines étaient déjà présents dans le précédent modèle conçu pour Windows-NT et font
aujourd’hui encore office de barrière de sécurité, il est recommandé de les utiliser pour contrôler
la réplication des données, mais aussi de leur préférer les unités organisationnelles (UO) pour
regrouper et limiter les autorisations de sécurité.

Unités organisationnelles (UO)

Une unité organisationnelle permet de regrouper l’autorité dans un sous-ensemble de


ressources d’un domaine. Une UO assure la fonction de barrière de sécurité pour les privilèges
élevés et les autorisations, mais elle ne limite pas la réplication d’objets AD.

Les UO permettent de déléguer le contrôle au sein de regroupements fonctionnels. Elles doivent


être utilisées pour mettre en place et limiter la sécurité et les rôles au sein des groupes, tandis
que les domaines servent à contrôler la réplication d’Active Directory.
stephane.seungto.cm@viacesi.fr

 Contrôleur de domaine :
Les contrôleurs de domaine sont des serveurs Windows qui contiennent la base de données
Active Directory et s’acquittent des fonctions liées à ce système, notamment d’authentification
et d’autorisation. On entend par « contrôleur de domaine » tout serveur Windows configuré pour
assurer ce rôle.

Chaque contrôleur de domaine enregistre une copie de la base de données d’Active Directory
renfermant les informations sur tous les objets appartenant à un même domaine. Chacun
d’entre eux sauvegarde par ailleurs le schéma de l’ensemble de la forêt, ainsi que des
informations au sujet de cette dernière. Un contrôleur de domaine ne sauvegardera pas de copie
d’un schéma ou d’une forêt autres, même s’ils se trouvent sur le même réseau.

Les rôles des contrôleurs de domaine spécialisés

Les rôles des contrôleurs de domaine spécialisés servent à accomplir des fonctions spécifiques
qui sont indisponibles sur les contrôleurs de domaine de base. Ces rôles de maîtres sont
attribués au premier contrôleur de domaine créé dans chaque forêt ou domaine.
L’administrateur a cependant la possibilité de redistribuer les rôles manuellement.

Le maître de schéma

Il y a un seul maître de schéma par forêt. Celui-ci contient la copie maître du schéma qu’utilisent
tous les autres contrôleurs de domaine. Cette copie maître est le gage que tous les objets
seront définis de la même manière.

Le maître d’attribution des noms de domaine (Domain Naming Master)

Chaque forêt compte un seul maître d’attribution des noms de domaine. Celui-ci veille à ce que
tous les noms d’objets soient uniques et, si nécessaire, fait une analyse croisée des objets
stockées dans d’autres annuaires.

Le maître d’infrastructure (Infrastructure Master)

Il y a un seul maître d’infrastructure par domaine. Celui-ci garde la trace des objets supprimés et
maintient à jour les références d’objets entre les différents domaines.

Le maître des ID relatifs (RID Master)

Il y a un seul maître des ID relatifs par domaine. Celui-ci est chargé de mémoriser l’attribution et
la création des identifiants uniques de sécurité (SID) dans le domaine.

Émulateur du contrôleur principal de domaine (PDC Emulator)

Il y a un seul émulateur du contrôleur principal de domaine (PDC Emulator) par domaine. Celui-ci
est chargé d’assurer la rétrocompatibilité avec les contrôleurs de domaines des anciens
systèmes de nom de domaine basés sur Windows NT. Il traite les requêtes reçues par un PDC
comme un ancien PDC l’aurait fait.

Data Store

Le stockage et la récupération des données sur tout contrôleur de domaine sont assurés par le
magasin de données. Celui-ci se compose de trois couches. La couche inférieure est la base de
stephane.seungto.cm@viacesi.fr

données elle-même. La couche intermédiaire contient les composants de service, l’agent du


service d’annuaire (DSA), la couche de base de données, et le moteur d’enregistrement
extensible (ESE). La couche supérieure, enfin, est celle des services d’annuaire, de LDAP
(Lightweight Directory Access Protocol), de l’interface de réplication, de l’API de messagerie
(MAPI), et du Responsable de la sécurité des comptes (SAM).

 DNS :
Active Directory contient des informations relatives à la localisation des objets stockés dans la
base de données, mais il s’appuie sur le système DNS pour localiser les contrôleurs de domaine.

Au sein de l’annuaire actif, tous les domaines ont un nom de domaine DNS et chaque ordinateur
raccordé a un nom DNS au sein du même domaine.

Objets

Tous les éléments de l’annuaire actif y sont stockés en tant qu’objets. La classe se définit
comme le « type » d’objet dans le schéma. Les attributs désignent pour leur part les composants
de l’objet. Les attributs d’un objet sont donc définis par sa classe.

Les objets doivent être définis dans le schéma avant que les données ne soient stockées dans
l’annuaire. Une fois définies, les données sont conservées au sein de l’annuaire actif en tant
qu’objets individuels. Chacun d’entre eux doit être singulier et représenter une chose unique,
comme un utilisateur, un ordinateur, ou un groupe précis de choses (par exemple, un groupe
d’utilisateurs).

Les deux principaux types d’objets sont les ressources et les entités de sécurité. Ces dernières
se voient assigner des ID de sécurité ID (SID), contrairement aux ressources.

 Réplication :

Active Directory utilise plusieurs contrôleurs de domaine à diverses finalités, notamment pour la
répartition de la charge ou la tolérance aux pannes. Pour assurer ces fonctions, tous les
contrôleurs doivent posséder une copie complète de la base de données AD du domaine lui-
même. La réplication garantit que chaque contrôleur possède une copie actuelle de la base de
données.

La réplication se confine aux frontières du domaine. Deux contrôleurs rattachés à des domaines
différents ne répliquent pas les données de l’autre, même s’ils appartiennent à la même forêt.
Tous les contrôleurs sont égaux. Contrairement aux précédentes versions de Windows, Active
Directory ne s’appuie pas sur le système de contrôleurs primaires et secondaires. Il peut parfois
y avoir confusion du fait de la reprise par Active Directory du nom « contrôleur de domaine », issu
de l’ancien système d’approbations.

La réplication fonctionne sur le principe de l’extraction : le contrôleur de domaine demande ou


« extraie » les informations des autres au lieu de transmettre ses données aux autres. Par
défaut, la réplication entre contrôleurs de domaine se fait toutes les 15 secondes. Certains
événements nécessitant un haut niveau de sécurité déclenchent une réplication immédiate,
comme la déconnexion d’un compte.
stephane.seungto.cm@viacesi.fr

Seules les modifications sont répliquées. Pour s’assurer de la correspondance parfaite des
données sur un système comptant plusieurs maîtres, chaque contrôleur de domaine garde la
trace des changements effectués, et extrait seulement les éléments qui ont été modifiés depuis
la dernière réplication. Les changements sont répliqués dans l’ensemble du domaine par le biais
d’un mécanisme de stockage et de retransmission de manière à ce que toute modification soit
répliquée quand la demande en est faite, même si la modification n’émane pas du contrôleur qui
répond à la demande de réplication.

Ce système empêche l’explosion du trafic et peut être configuré de sorte que chaque contrôleur
de domaine demande ses données de réplication auprès du serveur le plus approprié. Par
exemple, un site éloigné disposant d’une connexion haut débit et d’une connexion bas débit à
d’autres sites dotés de contrôleurs de domaine peut fixer un « coût » à chaque connexion. Ce
faisant, la demande de réplication transitera par la connexion la plus rapide.

6. Faire cohabiter les annuaires LDAP et Active directory (sans perdre les
fonctionnalités de chacun)
Voir solution du prosit.

VI. Conclusion et retour sur les objectifs


Les objectifs de ce prosit ont été atteint à a 65%.

VII. Bilan critique du travail effectuer


La corbeille et le workshop n’ont pas été réaliser dans la totalité car nous avons rencontré
plusieurs difficultés lors de l’installation et de la configuration de samba. Ce qui nous a
considérablement ralentis dans la réalisation de et dans l’accomplicément de la corbeille.

VIII. Ressources utilisées :


https://dev.tranquil.it/samba/fr/samba_fundamentals/samba_ad_replication.html

https://www.ibm.com/support/knowledgecenter/fr/SSPREK_9.0.2/com.ibm.isam.doc/base_admin/concept/con_lda
pfailoverconf.html

https://www.fr.paessler.com/it-explained/active-directory

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/troubleshoot/troubleshooting-active-
directory-replication-problems

https://blog.varonis.fr/services-de-domaine-active-directory-ad-ds-presentation-et-fonctions/

http://www.bidouilleit.com/2015/10/23/administration-avancee-de-samba4-ad/