MQ9 : Authentification entre serveurs

Introduction :

Administrer un réseau exprime dans un sens, contrôler les accès entrants et sortant (depuis ou vers)
des différents objets d’active directory.

Ces accès concernent un les domaines d’une forêt au parfois de deux forêts différentes.

Comment peut on assurer l’accès des objets de la forêt A à la forêt B ?

Quelle mesure de sécurité à appliquer ?

I. Authentification entre forêts :

1. Rappel sur la forêt :

Relation approbation
Stratégie

groupe
de

Une forêt est un regroupement d’une ou plusieurs arborescences de domaine, autrement dit d’un ou
plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes (pas de nom
continus, ni de même stratégies, bien qu’elles soient dans la même forêt.

Une forêt se compose d'un ou de plusieurs domaines ayant en commun un schéma et un catalogue
global (le conteneur active directory est commun). Une organisation peut disposer de plusieurs
forêts (cas d’une entreprise avec ses filiales).

- Une forêt est une hiérarchie de domaines ;

- Le premier domaine est appelé ’’domaine racine de la forêt’’ ou se localise le conteneur active
directory ;
- Chaque domaine applique ses propres stratégies d’approbation et de sécurité ;
- Le processus d’identification des membres du domaine s’effectue à l’échelle de la forêt.

2. Approbation entre forêt :

Une approbation est un lien de confiance, un secret entre deux forêts. I.e. les utilisateurs d’un
domaine de la forêt A authentifiés peuvent accéder aux ressources d’un autre domaine de la même
ou une autre forêt B (cas d’une entreprise et ses filiales).

Mme A. Hasbellaoui
MQ9 : Authentification entre serveurs
Une approbation forêt permet à tous les domaines dans une forêt d’approuver de manière
transitive tous les domaines d’une autre forêt par le biais d’une liaison d’approbation unique
entre les deux domaines racines de forêt.

Forêt A Forêt B
Approbation

Domaine A1.lan Domaine B1.org

Domaine A 2.Lan D2 B.org D3 B.org

Domaine A 3.lan Domaine A 4.lan D4 B.org D5 B.org

Une approbation se caractérise par :

- Une direction (sens : unidirectionnelle, bidirectionnelle,..) entre un domaine approuvé et un

domaine d’approbation
- Un type d’approbation (parent/ enfant ; forêt/ forêt ; …)

3. Principe de l’authentification:
Une authentification est une certification d’identité. Il s’agit de comparer les informations
utilisateurs autorisés, stockés dans la base de données en local ou sous un serveur d’authentification.
L’authentification se traduit grâce à un service d’authentification (IAS : Internet Authentification
Service) permettant aux utilisateurs du domaine autorisés à partager les ressources de la forêt.
Ce mécanisme est assuré soit par des serveurs proxy qui localise une base de données comportant
l’identité de chaque utilisateur (nom et mot de passe) paramétrer par des ACL. Soit en utilisant des
protocoles d’authentification que nous présentons ci-dessous :

II. Authentification sélective entre des forêts :

Une authentification sélective entre forêt dépend du type d’approbation entre celle-ci, i.e. en
appliquant ce type d’approbation, l’authentification permet aux utilisateurs externes à la forêt de
disposer d’un même niveau d’accès aux ressources de celle- ci
III. Utilisation du filtrage SID :
Lorsqu’une authentification sélective est activée un SID (identifiant de sécurité) est ajouté dans les
autorisations d’un utilisateur.
Un SID (Security IDentifier) est une représentation numérique d’une entité principale de sécurité,
donc d’un compte utilisateur, d’un compte d’ordinateur, d’un groupe, etc.
Lorsque vous accordez à un utilisateur, un groupe ou un service le droit d’accéder à des ressources,
le système d’exploitation met à jour le SID représentant l’objet Active Directory et ses permissions
définies dans l’ACL (Access Control List).

Exemple de SID :

Mme A. Hasbellaoui
MQ9 : Authentification entre serveurs

Le filtrage SID a pour but de vérifier que les demandes d’authentification entrantes effectuées par
des entités de sécurité dans le domaine approuvé ne contient que le SID de celui-ci.
Le filtrage SID compare le SID du domaine approuvé au SID de domaine autre que celui-ci, grâce à
l’attribut SID History.

III. Authentification NTLM :

NTLM est un protocole d’authentification sur les réseaux active directory Windows. Il
utilise le mécanisme question/ réponse pour authentifier les utilisateurs, les ordinateurs appartenant
à un contrôleur de domaine via un mot d passe connu par le client (user, pc) lors de l’ouverture
d’une session locale.
Cette authentification est générée par la stratégie de sécurité ou de groupe. Elle pour principe de
vérifier l’identité d’un compte utilisateur via un serveur d’authentification du domaine AD sans
envoyer le mot de passe de l’utilisateur sur le réseau

Serveur Serveur
authentification
Client (1) de (2) AD
(4) service (3)

(1) : Demande de service (impression)

(2) : Demande de vérification de compte (local/ domaine)
(3) : réponse (authentification)
(4) : Accord de la ressource.

Mme A. Hasbellaoui
MQ9 : Authentification entre serveurs
IV. Authentification Kerberos :
Kerberos est un protocole d'authentification réseau sécurisé qui emploie un système clés
secrètes partagées pour authentifier un utilisateur dans un environnement réseau non sécurisé.
Kerberos est destiné aux organisations académiques et aux entreprises dans lesquelles il existe une
seule source unique de données de référence pour l'identification, l'authentification et l'autorisation.

Ce protocole d’authentification est utilisé dans les systèmes de serveur 2000 et 2003 ayant pour
fonctionnement :

Principe :

Kc : clé secrète du client

Ks : clé secrète du serveur
KDC : clé ou secrète partagé c’est le service qui connaît la clé du client et du serveur Kc et Ks.

Le client partage tous ses secrets avec le KDC . la clé est à l’origine un mot de passe ou une
combinaison de caractèrs chiffrés selon un algorithme (MD5 ;DES ; SHA-1 ; AES…) . cette clé a
une durée de vie(qui dure quelques semaines : mot de passe n’expire jamais, ou queleques heures)
Fonctionnement :
Kerberos définit deux 2 types de tickets :

TGT : Ticket Granting Tiket

TS : Tiket service
Ces tickets sont conservés au niveau du client afin de les présenter au KDC. l’authentification du
client se fait au niveau des 3 services suivants :

Services authentification Kerberos

AS TGS Client/ serveur authentification

- Le client récupère un ticket TGT

- Donner au client la clé de session - Identifier le client au près
Avec le KDC partagé du KDC en lui transmettant un TGT
Entre (le Sc,k) + la clé de session (Sc, K) partagée avec le KDC
- récupérer le ticket du service donné (le sce qu’on Sollicite
saisi le Ts présenté par le client
Authentifie le client

Mme A. Hasbellaoui
MQ9 : Authentification entre serveurs
Principe de fonctionnement de Kerberos :
Exemple de ticket
Comparaison entre NTLM et KERBEROS :
NTLM
- Méthode d'authentification utilisée dans un réseau
Microsoft Active Directory propriétaire Microsoft.
- NTLM utilise un mécanisme de challenge-response.
Le client envoie une requête, le proxy lui demande de
s'authentifier, le client lui envoie la même requête
avec ses identifiants de connexion
- Principe d’authentification de mot de passes
localisés dans la BD du serveur d’authentification.
Mme A. Hasbellaoui
KERBEROS
-KERBEROS est un service sûr qui assure la
confidentialité, l'intégrité des données ainsi que la
non-répudiation (les participants sont identifiés, y
compris le serveur
- Assure l'identification unique du client et lui
procure un ticket de session qu'il pourra utiliser
pour demander des tickets d'utilisation des
services kerbérisés.
- Utilise un système de chiffrement symétrique
pour assurer un dialogue sécurisé entre deux
protagonistes. Utilisant une clé secrète et
partagée. Les algorithmes de chiffrement sont
publics (AES, DES, 3DES...), toute la sécurité du
système repose sur la confidentialité de la clef de
chiffrement
MQ9 : Authentification entre serveurs

V. Authentification RADIUS :

RADUIS (AAA : Authentification Authorization Accounting) qui exprime :

Identifier l’utilisateur à partir de son mot de passé
Autoriser/ refuser l’accès aux ressources
Faire référence au suivi de consommation des ressources allouées à l’utilisateur

Ce protocole d’authentification manipulé sur des architectures client/ serveur sur des accès distant
(exp : VPN ou utilisateur distant désire se connecté à des ressources d’un domaine ou forêt distants)
a pour principe :

Serveur

(a) Raduis
Client (b)

-(a) : Les clients RADIUS envoient à un serveur RADIUS les demandes d'authentification et les
requêtes de gestion de comptes.

b) Le serveur RADIUS vérifie les informations d'identification sur les comptes d'utilisateurs et
enregistre les événements de gestion des comptes d'accès distant.

On peut configurer un serveur exécutant Routage et accès distant comme un client RADIUS et
un serveur RADIUS : IAS (Internet Authentification Service).

Si vous voulez configurer un serveur exécutant Routage et accès distant comme un client
RADIUS, exécutez les étapes suivantes :
1) Configurez le serveur d'accès distant.
2) Configurez le serveur d'accès distant pour l'authentification RADIUS.
3) Configurez le serveur d'accès distant pour la gestion de comptes RADIUS.

Lorsque vous ajoutez un serveur RADIUS, vous devez configurer les paramètres
suivants :
Sélectionnez Gestion de comptes RADIUS
1) Nom du serveur
2) Nom de l'hôte ou adresse IP de l'ordinateur exécutant le processus du serveur RADIUS.
3) Secret : Le client RADIUS (serveur exécutant Routage et accès distant) et le serveur
RADIUS partagent un secret qui est utilisé pour crypter les messages échangés entre eux. Vous
devez configurer le client et le serveur RADIUS pour qu'ils utilisent le même secret partagé.
4) Port : Le client RADIUS doit envoyer ses demandes d'authentification au port UDP sur
lequel le serveur RADIUS est en écoute.

Mme A. Hasbellaoui
MQ9 : Authentification entre serveurs

Remarque :
Pour utiliser l'authentification RADIUS
1. Ouvrez Routage et accès distant.
2. Cliquez avec le bouton droit sur le nom du serveur dont vous souhaitez configurer
l'authentification RADIUS, puis cliquez sur Propriétés.
3. Sous l'onglet Sécurité, dans la zone Fournisseur d'authentifications, cliquez sur
Authentification RADIUS puis sur Configurer.
4. Dans la boîte de dialogue Authentification RADIUS, cliquez sur Ajouter.
5. Dans la boîte de dialogue Ajouter un serveur RADIUS, configurez les paramètres du
serveur d'authentification RADIUS, puis cliquez sur OK.

Mme A. Hasbellaoui