Académique Documents
Professionnel Documents
Culture Documents
Objectifs du chapitre
Authentification-7-2
1
Authenfication réseau
NTLM
Kerberos
Authentification-7-3
NTLM
Authentification-7-4
2
Comment fonctionne NTLM ?
Base de
Paul comptes
pwd Paul
pwd
Authentification-7-5
Authentification-7-6
3
NTLM et SMB
• NTLM sur un transport Server Message Block (SMB) est utilisé comme
méthode d’authentification et du chiffrement NTLM sur un PC ne faisant
pas partie d’un domaine Windows
Authentification-7-7
Sécurité NTLM
Authentification-7-8
4
Authenfication réseau
NTLM
Kerberos
Authentification-7-9
Kerberos
5
Key distribution Center (KDC)
Authentification-7-11
Schéma simplifié
Authentification-7-12
6
Jeu de clés Kerberos
Authentification-7-13
Stratégies Kerberos
• Les tickets délivrés par le serveur KDC ont une durée de vie limitée
• Paramétrable depuis la stratégie
— Default Domain Policy | Ordinateur | Paramètres Windows
– Paramètres de sécurité
En réalité 10 heures
En réalité 7 jours
Authentification-7-14
7
Appliquer les restrictions pour l’ouverture de
session
Authentification-7-15
Authentification-7-16
8
Durée de vie maximale pour le ticket utilisateur TGT
Authentification-7-17
Authentification-7-18
9
Tolérance maximale pour la synchronisation de
l’horloge de l’ordinateur
Authentification-7-19
Chiffrement Kerberos
Authentification-7-20
10
Chiffrement Kerberos
(suite)
Authentification-7-21
Authentification-7-22
11
Délégation Kerberos
• Au sein d’un Active Directory, des services peuvent être utilisés par des
utilisateurs
— Il arrive parfois que ces services doivent en contacter d’autres, au nom de
l’utilisateur, comme un service web pourrait avoir besoin de contacter un
serveur de fichier ou une base de données SQL
• Afin d’autoriser un service à accéder à un autre service au nom de
l’utilisateur on peut utiliser la délégation Kerberos
Authentification-7-23
Délégation Kerberos
(suite)
• Exemple
- Une machine héberge un service Web qui, via une interface, permet à un
utilisateur d’accéder à son dossier personnel, hébergé sur un serveur de
fichiers
- Le serveur Web est en frontal, et c’est lui qui va chercher les informations à
la place de l’utilisateur sur le serveur de fichiers afin d’afficher le contenu
d’un dossier
Authentification-7-24
12
Délégation Kerberos
(suite)
Authentification-7-25
Délégation Kerberos
(suite)
• Kerberos Constrained
Delegation
— Si une machine ou un compte
de service possède le flag
Constrained Delegation,
alors une liste de services
autorisés sera associée à ce
droit
– Par exemple, dans le cas
du serveur web, la
machine hébergeant le
serveur web aura le
drapeau Constrained Serveur01
13
Authenfication réseau
NTLM
Kerberos
Authentification-7-27
Fédération d’identité
Authentification-7-28
14
Revendications
Authentification-7-29
Authentification-7-30
15
Principes ADFS
6 Serveur
de fédération
Serveur de de ressources
7 fédération
de compte
10
4
Ordinateur 8
client 5 9 Serveur
interne 3 Web
1 11
Authentification-7-31
AD DS
Approbation de fédération
Serveur
de fédération
des services
Serveur de Microsoft Online
6 fédération
de comptes
7 9
4
10
5 Serveur
3
Microsoft
8 Outlook
2 Web App
Ordinateur
client interne
1 11
Authentification-7-32
16
AD FS pour Microsoft 365
(suite)
Authentification-7-33
17
AD FS pour Microsoft 365
(suite)
Authentification-7-35
18