Rapport de controle

LDAP et Active Directory :

Gestion des Annuaires
Groupe 1
 SOMMAIRE

02. Introduction

03. Active Directory

14. LDAP: Lightweight Directory

Access Protocol

23. Active Directory VS LDAP

24. Conclusion

1
Introduction

La gestion des annuaires est un élément essentiel pour toute entreprise ou

organisation qui cherche à organiser et à sécuriser efficacement ses
ressources informatiques. Deux technologies clés dans ce domaine sont
Active Directory (AD) et le protocole LDAP (Lightweight Directory Access
Protocol). Dans ce rapport, nous allons explorer en détail ces deux solutions
et les confronterons pour comprendre leur fonctionnement, leur architecture,
leurs avantages respectifs et nous comparerons leurs différences et
similitudes

2
Active Directory

Active Directory (AD) est un service d'annuaire conçu spécifiquement pour

les environnements Windows Server. Il s'agit d'une base de données
distribuée et hiérarchique qui permet de mettre en relation les utilisateurs
avec les ressources réseau nécessaires à l'exécution de leurs tâches.
Active Directory partage des informations sur l'infrastructure, ce qui facilite la
localisation, la sécurisation, la gestion et l'organisation des ressources
informatiques et réseau telles que les fichiers, les utilisateurs, les groupes, les
périphériques et les appareils réseau. Développé par Microsoft, Active
Directory offre également des fonctionnalités d'authentification et
d'autorisation, ainsi qu'un cadre pour d'autres services similaires. L'annuaire
est en réalité une base de données LDAP (Lightweight Directory Access
Protocol) qui contient des objets interconnectés.

1 .Définition de quelques termes

Dans une forêt Active Directory, un contrôleur de domaine est un serveur

contenant une copie inscriptible de la base de données Active Directory
et contrôlant l'accès aux ressources réseau.

un domaine est toute arborescence ou sous-arborescence au sein d'un

espace de nom.

contrôleur de domaine supplémentaire: Il s’agit d’un contrôleur de

domaine qui reçoit une copie en lecture seule de la base de données de
l'annuaire pour le domaine.

3
1 .Définition de quelques termes

un domaine enfant est un domaine de l'arborescence de l'espace de noms

situé immédiatement sous un autre nom de domaine (le domaine parent).

l'arborescence de domaine est la structure de l'arborescence

hiérarchique inversée qui est utilisée pour indéxer les noms de domaines.

Une foret correspond à un ou plusieurs domaines Active Directory

partagant les mêmes définitions de schéma, les mêmes informations
relatives à la configuration, et les mêmes fonctionnalités de recherche
dans le catalogue global.

2.Le rôle de l’Active Directory ?

L’objectif d’un annuaire comme Active Directory est de centraliser

l’authentification et l’accès à un réseau de ressources. Les administrateurs
réalisent la configuration des autorisations selon les paramètres choisis. Ils
permettent ainsi aux utilisateurs d’accéder aux éléments dont ils ont besoin
pour leur activité.
Le but d’un outil comme Active Directory est de simplifier la vie des
utilisateurs et des administrateurs.

4
3. Le Fonctionnement

Le service principal d'Active Directory est le service de domaine Active

Directory (Active Directory Domain Services, AD DS), qui fait partie du
système d'exploitation Windows Server. Les serveurs qui exécutent AD DS
sont appelés des contrôleurs de domaine. Habituellement, les organisations
ont plusieurs contrôleurs de domaine, et chacun d'entre eux contient une
copie complète de l'annuaire pour l'ensemble du domaine. Les modifications
apportées à l'annuaire sur l'un des contrôleurs de domaine, telles que la mise à
jour d'un mot de passe ou la suppression d'un compte utilisateur, sont
répliquées sur les autres contrôleurs de domaine pour que tous restent à jour.

Un serveur de catalogue global est un contrôleur de domaine qui stocke une

copie complète de tous les objets de l'annuaire de son domaine, ainsi qu'une
copie partielle des objets des autres domaines de la forêt. Cela permet aux
utilisateurs et aux applications de trouver des objets dans n'importe quel
domaine de la forêt.

Les ordinateurs de bureau, les ordinateurs portables et autres appareils

fonctionnant sous Windows (autre que Windows Server) peuvent être
intégrés à un environnement Active Directory, mais ils n'exécutent pas AD DS.
AD DS utilise plusieurs protocoles et normes établis, notamment LDAP
(Lightweight Directory Access Protocol), Kerberos et DNS (Domain Name
System).

Il est important de noter qu'Active Directory est conçu exclusivement pour

les environnements Microsoft sur site. Les environnements Microsoft situés
dans le cloud utilisent Azure Active Directory, qui remplit les mêmes
fonctions qu'Active Directory local. Bien qu'AD et Azure AD soient des outils
distincts, ils peuvent fonctionner ensemble dans une certaine mesure si votre
organisation dispose d'environnements informatiques sur site et dans le
cloud (un déploiement hybride).

5
3. Avantages et fonctionnalités clés :

Les avantages et les fonctionnalités clés d'Active Directory sont les suivants :

- Centralisation : Active Directory permet de centraliser la gestion des

utilisateurs, des groupes et des ressources d'un réseau, ce qui facilite
l'administration et la maintenance.

- Authentification unique : Les utilisateurs peuvent se connecter à plusieurs

services et systèmes avec un seul identifiant et un seul mot de passe, ce qui
simplifie l'expérience utilisateur et renforce la sécurité.

- Gestion des stratégies de groupe : Active Directory permet de définir des

stratégies de sécurité et des paramètres de configuration qui s'appliquent à
différents groupes d'utilisateurs ou d'ordinateurs.

- Réplication des données : Les données d'Active Directory sont répliquées

entre les contrôleurs de domaine, ce qui permet d'assurer la disponibilité des
informations même en cas de panne d'un serveur.

- Intégration avec d'autres services Microsoft : Active Directory s'intègre

étroitement avec d'autres services Microsoft tels que DNS (Domain Name
System), DHCP (Dynamic Host Configuration Protocol) et Exchange Server,
ce qui facilite la gestion globale de l'environnement informatique.

6
4. Installation de l’Active
Directory (AD)

Pour installer un "Active Directory", il faut d'abord cliquer sur "Rôles" dans la
colonne de gauche puis sur "Ajouter des rôles" dans la colonne de droite.

Cliquez sur "Suivant"/ “Next”

7
4. Installation de l’Active
Directory (AD)

L'assistant vous affiche une description du rôle sélectionné. Cliquez sur "Next"

Cliquez ensuite sur "Installer"./ “Install”

8
4. Installation de l’Active
Directory (AD)

Cochez la case "Services de domaine Active Directory"

L'assistant vous affiche une description du rôle sélectionné. Cliquez sur "Next"

9
4. Installation de l’Active
Directory (AD)

Cliquez ensuite sur "Installer"./ “Install”

Une fois l'installation terminée, il faut maintenant cliquer sur le lien en bleu
pour lancez l'assistant installation des services de domaine Active Directory
(dcpromo.exe).

10
4. Installation de l’Active
Directory (AD)

L'assistant installation des services de domaine Active Directory

(dcpromo.exe) s'affiche. Cochez la case "Utiliser l'installation en mode avancé".
Puis “Next” et cocher sur “Create new domain in a new forest.

11
4. Installation de l’Active
Directory (AD)

Indiquez un nom de domaine qui n'existe pas et cliquez sur suivant. Ensuite, il
faut choisir si vous voulez être compatible avec les anciennes versions de
Windows, mais si vous sélectionnez une ancienne version, certaines
fonctionnalités de "Windows Server 2008" seront désactivées donc ne
sélectionnez pas une version trop vieille si vous n'avez pas de pc avec
d'anciennes versions de Windows. Dans le cas de notre "Windows Vista" on
sélectionne "Windows Server 2003" mais Windosw server 2008 aurait suffi.
En sélectionnant "Windows Server 2003" vous supportez aussi "Windows
XP". S’il vous demande de choisir, c'est simplement parce que les droits ne
fonctionnent pas de la même manière sur les anciennes et les nouvelles
versions de "Windows"

12
4. Installation de l’Active
Directory (AD)

Après avoir défini de manière statique les adresse ip. Tapez sur next jusqu’a la
fin de l’installation

13
LDAP (Lightweight Directory
Access Protocol)
Le protocole LDAP, ou Lightweight Directory Access Protocol, est un
protocole de communication utilisé pour accéder aux services de répertoire.
Les services de répertoire sont des systèmes de gestion d'informations
organisées hiérarchiquement, tels que les annuaires d'utilisateurs et les bases
de données pour les ressources réseau.

LDAP est conçu pour être une version simplifiée du protocole X.500, qui est
un standard pour les services de répertoire dans les réseaux d'entreprise.
LDAP est plus léger et plus simple à mettre en œuvre, d'où le terme
"Lightweight" dans son nom.

LDAP est largement utilisé dans les environnements d'entreprise pour

centraliser et gérer les informations d'identification des utilisateurs, les
autorisations d'accès aux ressources et d'autres informations de
configuration. Il est également utilisé dans des applications telles que
l'authentification unique (SSO) et la gestion des identités et des accès (IAM).

1. Principe et fonctionnement de LDAP

Le protocole LDAP fonctionne en permettant la communication entre les

clients LDAP et les serveurs LDAP pour effectuer des opérations de
recherche, de modification et d'authentification dans les services d'annuaires
LDAP. Voici les points clés de son fonctionnement :

14
1. Principe et fonctionnement de LDAP

1. Structure hiérarchique : Les informations et attributs des objets

(utilisateurs, matériel, applications, etc.) sont organisés de manière
hiérarchique dans une arborescence appelée "DIT" (Directory Information
Tree).
2. Communication client-serveur : Les clients LDAP interagissent avec les
serveurs LDAP pour accéder aux annuaires LDAP. Les clients peuvent
effectuer des requêtes de recherche, de modification ou d'authentification
sur les attributs des objets.
3. Serveur LDAP : Un serveur LDAP est un serveur d'annuaire qui répond aux
requêtes des clients LDAP. Il dispose d'une structure de données conforme
aux spécifications LDAP et est capable de transférer des données en utilisant
le protocole LDAP.
4. Version du protocole : La version actuelle du protocole LDAP est la version
3 (en février 2022). Cette version offre des améliorations par rapport aux
versions précédentes en termes de fonctionnalités et de performances.
5. Opérations LDAP : Les clients LDAP peuvent effectuer différentes
opérations, telles que la recherche (recherche d'objets ou d'attributs
spécifiques), la modification (ajout, suppression ou mise à jour d'attributs) et
l'authentification (vérification des identifiants d'accès).
6. Utilisation de TCP/IP : LDAP utilise la pile de protocoles TCP/IP pour la
communication entre les clients et les serveurs. Il utilise les ports TCP et UDP
pour transférer les données.
En résumé, le protocole LDAP facilite la communication entre les clients LDAP
et les serveurs LDAP pour accéder et gérer les services d'annuaires LDAP de
manière efficace, en utilisant une structure hiérarchique et des opérations
spécifiques.

15
2. Cas d’utilisation de LDAP

Voici une liste des principales tâches et utilisations courantes du protocole

LDAP :

1. Stockage, authentification et autorisation centralisés : LDAP est souvent

utilisé pour stocker et gérer de manière centralisée les données utilisateur,
telles que les informations d'identification (noms d'utilisateur, mots de passe)
et les autorisations d'accès aux ressources.

2. Ajout d'entrées dans la base de données de l'annuaire : LDAP permet

d'ajouter de nouvelles entrées, telles que des utilisateurs, des groupes ou des
objets, dans la base de données de l'annuaire.

3. Authentification et liaison entre les sessions : LDAP facilite l'authentification

des utilisateurs en vérifiant leurs informations d'identification par le biais de
requêtes auprès du serveur LDAP. Il peut également être utilisé pour établir
et maintenir des sessions sécurisées entre les clients et les serveurs.

4. Modification, recherche, comparaison, extension ou suppression d'entrées

de l'annuaire : LDAP permet d'effectuer des opérations de modification, de
recherche, de comparaison, d'extension ou de suppression d'entrées
spécifiques dans la base de données de l'annuaire. Cela inclut la mise à jour
des attributs des objets et la recherche d'informations spécifiques.

5. Recherche de schémas : LDAP permet de rechercher et de récupérer les

schémas des objets stockés dans l'annuaire. Les schémas définissent la
structure et les attributs des objets dans l'annuaire.

16
 2. Cas d’utilisation de LDAP

6. Envoi de demandes : Les clients LDAP peuvent envoyer des demandes au

serveur LDAP pour effectuer des opérations spécifiques, telles que la
recherche d'informations, la modification des attributs d'une entrée, etc.

7. Élimination des opérations : LDAP permet de supprimer des entrées

spécifiques de la base de données de l'annuaire.

En résumé, le protocole LDAP est utilisé pour des tâches telles que le
stockage centralisé des données utilisateur, l'authentification, la gestion des
autorisations, l'ajout, la modification, la recherche et la suppression d'entrées
dans l'annuaire, ainsi que l'envoi de demandes et la recherche de schémas.

3. La structures des annuaires LDAP

Les annuaires LDAP suivent le modèle X.500 et son architecture nativement

multi-tenant :

Un annuaire est un arbre d'entrées.

Une entrée est constituée d'un ensemble d'attributs.
Un attribut possède un nom, un type et une ou plusieurs valeurs.
Les attributs sont définis dans des schémas.
Le fait que les attributs puissent être multi-valués est une différence majeure
entre les annuaires LDAP et les SGBDR. De plus, si un attribut n'a pas de valeur,
il est purement et simplement absent de l'entrée.

17
3. La structures des annuaires LDAPAP

Chaque entrée a un identifiant unique, le Distinguished Name (DN). Il est

constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de
son parent. C'est une définition récursive. On peut faire l'analogie avec une
autre structure arborescente, les systèmes de fichiers ; le DN étant le chemin
absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN
d'une entrée représentant une personne est l'attribut uid

4. Avantages et Limites du protocole

LDAP

Avantages du protocole LDAP :

• Consolidation des informations : LDAP permet de regrouper différents
types d'informations au sein d'une organisation, comme les listes
d'utilisateurs, dans un annuaire LDAP.
• Interrogation flexible : Les applications compatibles LDAP et les utilisateurs
peuvent interroger l'annuaire LDAP pour obtenir les informations nécessaires.
• Facilité d'implémentation : LDAP est plus facile à mettre en œuvre par
rapport à X.500, grâce à sa conception simplifiée.
• API bien définie : LDAP dispose d'une API claire, ce qui favorise le
développement d'applications et de passerelles LDAP compatibles.

18
4. Avantages et Limites du protocole
LDAP

Limitations du protocole LDAP :

• Nécessité d'applications compatibles : Pour utiliser LDAP, il faut disposer
d'applications compatibles ou de passerelles LDAP pour convertir les
requêtes.
• Adoption limitée pour Linux : Les applications compatibles LDAP pour Linux
sont moins répandues que pour d'autres systèmes d'exploitation.
• Fonctionnalités de sécurité limitées : LDAP ne prend pas en charge certains
contrôles d'accès avancés, ce qui réduit ses fonctionnalités de sécurité par
rapport à X.500. Des mesures supplémentaires peuvent être mises en place
pour renforcer la sécurité des annuaires LDAP, comme l'utilisation de
protocoles sécurisés (SSL/TLS) et des contrôles d'accès spécifiques.
En résumé, LDAP offre une consolidation des informations, une facilité
d'implémentation et une API bien définie, mais nécessite des applications
compatibles et présente des limitations en termes d'adoption pour Linux et
de fonctionnalités de sécurité avancées.

5. Applications du protocole LDAP

Le protocole LDAP est utilisé dans divers cas d'application, tels que :

- Gestion des utilisateurs et des systèmes

- Attribution de protocoles et de RFC (Requests for Comments)
- Informations sur la directive NIS / le démarrage
- Gestion des données des zones DNS et des points de montage
- Organisation des alias (e-mails) et des serveurs DHCP

19
5. Applications du protocole LDAP

Le protocole LDAP est particulièrement utile dans les domaines nécessitant

des requêtes d'adresse et d'authentification complètes, par exemple :

- Carnets d'adresses : logiciels de gestion des listes de contacts et des

carnets d'adresses numériques (Mozilla Thunderbird, Microsoft Outlook,
Apple Contacts, etc.)
- Gestion des utilisateurs : services d'annuaires pour la gestion des
utilisateurs (Apple Open Directory, Microsoft Active Directory, NetIQ
eDirectory, etc.)
- Authentification : interfaces de programmation pour l'authentification des
utilisateurs (PAM, etc.)
- Gestion des données utilisateur : organisation et gestion des données
utilisateur dans des serveurs POP/IMAP/SMTP, des systèmes de base de
données et des serveurs de messagerie (qmail, sendmail, exim, etc.)
- Systèmes de gestion des documents : reconnaissance des demandes des
utilisateurs ou génération d'annuaires téléphoniques (imprimantes
multifonctions, solutions anti-spam, VoIP, WebProxy, NetScaler, etc.)

2à
6. Installation de LDAP
Après avoir entré la commande suivante, vous aurez le choix entre quelques
options d’installation.

(1) Sélectionnez Non dans l'écran suivant.

(2) Configurez le domain name

21
6. Installation de LDAP
(3) Configurer le nom de l’organisation

(4) Après avoir configuré le nom de domaine DNS et le mot de passe

administrateur, choisissez de déplacer l'ancienne base de données.

22
LDAP VS Active Directory
LDAP, en tant que protocole, joue un rôle essentiel dans la structure Active
Directory de Microsoft, en collaboration avec d'autres protocoles tels que
Kerberos, SMB et DNS. Ces quatre protocoles standard assurent la
communication et le transfert de données de manière transparente au sein
de l'architecture d'Active Directory.
Active Directory a été spécifiquement conçu pour être utilisé comme service
d'annuaire pour les serveurs Exchange, avec une prise en charge de LDAP.
Cela permet une interrogation uniforme des annuaires Active Directory et
l'intégration de services basés sur LDAP dans l'environnement AD.
Active Directory est un service d'annuaire puissant et relativement évolutif,
adapté aux grandes entreprises comptant plusieurs milliers d'employés. Il se
concentre principalement sur les structures Windows et offre des
fonctionnalités avancées pour la gestion des utilisateurs, des groupes et des
ressources dans cet écosystème.
D'un autre côté, le protocole LDAP offre une flexibilité et une extensibilité
supérieures, notamment pour des implémentations à grande échelle avec
une communauté d'utilisateurs distribuée. LDAP est compatible avec les
environnements Linux/Unix et bénéficie du support de la communauté open
source. Il est couramment utilisé dans des secteurs industriels tels que la
téléphonie mobile et l'aviation, où il est nécessaire de traiter les demandes
d'authentification provenant de plusieurs millions d'utilisateurs.
En résumé, LDAP est l'un des principaux protocoles utilisés dans la structure
Active Directory de Microsoft. Active Directory est adapté aux grandes
entreprises basées sur Windows, tandis que LDAP offre une plus grande
flexibilité et extensibilité, en particulier pour les implémentations à grande
échelle dans des environnements distribués. Les deux jouent des rôles
importants dans des domaines et des scénarios spécifiques, en fonction des
besoins et des exigences des organisations.

23
Conclusion

En conclusion, Active Directory et LDAP sont deux technologies essentielles

pour la gestion des annuaires. Active Directory se distingue par sa
compatibilité étroite avec les environnements Windows et ses
fonctionnalités avancées, ce qui en fait un choix privilégié pour les grandes
entreprises. LDAP, quant à lui, est plus flexible, indépendant de la plateforme
et plus facile à déployer, ce qui le rend adapté aux petites et moyennes
entreprises. Le choix entre ces deux solutions dépendra des besoins
spécifiques de chaque organisation en matière de gestion des annuaires.

maine de recherche dynamique et en constante évolution, qui joue un rôle

essentiel dans le développement de solutions informatiques efficaces et
performantes. En comprenant et en maîtrisant les concepts liés à la
complexité des algorithmes, nous pourrons créer des logiciels et des
systèmes plus performants, capables de répondre aux exigences croissantes
de notre monde numérique en constante évolution.

24