Brevet de Technicien Supérieur Informatique de gestion. Benoît HAMET Session 2001 2002 Présentation de Active Directory.........
Présentation d Active Directory Préambule...4 Introduction...5 Définitions...5 Qu'est-ce qu'un service d'annuaire...5 Quel est l'intérêt de disposer d'un service d'annuaire?...5 Qu'est- ce que Active Directory?...6 Concepts importants...7 Portée...7 Espace de noms...7 Objet...7 Conteneur...7 Arbre...7 Nom...8 Domaine...8 Forêt...9 Schéma...9 Modèle de données...9 Fonctionnalités techniques de Active Directory...10 Service de localisation...10 Nommage d'objet...10 Accès à AD...10 Protocoles supportés :...10 2
Catalogue global...11 Propagation des mises à jour...11 Sécurité Délégation...11 Présentation technique de la sécurité de Windows 2000...11 Résumé...13 Bibliographie...14 3
Préambule Aujourd'hui, les systèmes informatiques sont devenus le cœur de toutes les entreprises. Par conséquents, ils doivent être fiables, sécurisés et disponibles tout en nécessitant de moins en moins de maintenance. Dans ce contexte, la mise en œuvre d'un service d'annuaire permet de répondre à un maximum de besoin tout en libérant les personnels nécessaire à la gestion des ressources informatiques pour les assigner à des tâches plus??? tout en permettant les utilisateurs d'être plus indépendants dans l'utilisation quotidienne des outils mis à leur disposition. L'utilisation du système d'exploitation Windows 2000 permet de bénéficier d'outils permettant de répondre à ces contraintes tout en conservant une interface connue par les utilisateurs. L'un de ces outils est le service d'annuaire Active Directory. Cependant, l'utilisation du service d'annuaire de Microsoft nécessite sur l'ensemble des postes clients et serveurs du système d'exploitation Windows 2000 afin de profiter des fonctionnalités offertes. Egalement, l'utilisation de service d'annuaire, quel qu'il soit, n'est envisageable que pour certaines structures ayant un parc informatique moyen à important (à partir d'une cinquantaine de poste) ou éclaté sur plusieurs sites. Ainsi l'utilisation de service d'annuaire permet de centraliser l'administration des l'ensemble des ressources, libérant de tâches rébarbatives les administrateurs, tout en améliorant leur utilisation par les utilisateurs mais cet outils n'est utilisable que pour des structures disposant d'un parc relativement important ou pour des utilisations spécifiques, telles que l'accès aux données internes à partir de réseau public. 4
Introduction Définitions Le terme Active Directory (AD) est apparu avec le système d'exploitation Microsoft Windows 2000. Ce terme recouvre les technologies mises en œuvre par Microsoft dans le développement d'outils visant à simplifier l'administration de réseaux informatiques basés sur le système d'exploitation Windows 2000 (Professionnel pour les stations et Serveur pour les serveurs). Dans la pratique, il s'agit d'un service d'annuaire inclut dans l'os Windows 2000, famille serveur uniquement. Qu'est-ce qu'un service d'annuaire Un annuaire est une source d'informations utilisée pour stocker des données propres à certains objets, par exemple l'annuaire téléphonique est un service d'annuaire contenant l'ensemble des abonnées au téléphone et comprenant diverses informations. Dans un système d'informatique distribué ou un réseau informatique public comme internet, il existe de nombreux objets intéressants, comme des imprimantes, des serveurs de base de données, des applications que les utilisateurs veulent pouvoir utiliser et retrouver facilement tandis que les administrateurs veulent contrôler leur utilisation. La mise en œuvre d'un service d'annuaire, tel que AD permet de répondre à ces besoins. AD joue le rôle d'annuaire téléphonique mais pour des enregistrements concernant des ressources (matérielles et logicielles) connectés en réseau. Quel est l'intérêt de disposer d'un service d'annuaire? On peut se poser la question de l'intérêt d'un tel service puisqu'il existe des logiciels pouvant aisément répondre aux besoins exprimés à savoir la localisation simple des ressources par l'utilisateur, le contrôle de l'utilisation par les administrateurs. L'intérêt réside d'une part dans l'intégration à l'os ; il ne s'agit donc pas d'une surcouche logicielle appliquée pour tel besoin spécifique, cela entraîne une plus grande stabilité. De plus, cette intégration permet d'effectuer des économies d'argent puisque cette surcouche aurait été achetée en plus du système d'exploitation, économies de temps de maintenance et de d'indisponibilité des serveurs pour l'installation Enfin, ce service permet la centralisation de l'administration de l ensemble des ressources réseau, ce qui était difficile avec l'utilisation de logiciels tiers. Un service d'annuaire peut : Appliquer les consignes de sécurité définies par les administrateurs Distribuer un annuaire à de nombreux ordinateurs sur le réseau Dupliquer un annuaire pour le rendre accessible à un nombre accru d'utilisateurs tout en augmentant le temps de disponibilité Partitionner un annuaire pour permettre l'enregistrement d'un très grand nombre d'objets. Un service d'annuaire est à la fois un outils d'administration et un outils destiné à l'utilisateur final des ressources informatiques. Il constitue la plaque tournante de tout système distribué important. 5
Qu'est- ce que Active Directory? Active Directory est le service d'annuaire fourni par Windows 2000 Server. Il étend les fonctionnalités des services d'annuaire précédemment fournis par Microsoft et offre en outre des fonctionnalités entièrement nouvelles, rendant aisée la navigation parmi d'importants volumes d'informations et facilite leur gestion et leur intégration grâce à l'utilisation de standard (LDAP, Kerberos, X500, TCP/IP ) 6
Concepts importants Certains termes (ou concepts) utilisés pour décrire AD sont nouveaux, d'autres non et dans ce cas, il peut exister différentes définitions ; il est donc important de les remettre dans le contexte Active Directory. Portée La portée d'ad est vaste ; il peut inclure tout objet isolé (imprimante, poste de travail, fichier ), tout serveur ou tout domaine d'un réseau étendu (WAN) il peut aussi inclure plusieurs réseaux étendus associés. La portée d'ad peut donc aller d'un ordinateur isolé à de multiples réseaux informatiques associés. Espace de noms Active Directory est essentiellement un espace de noms, comme c'est le cas de tout service d'annuaire. N'importe quelle zone délimitée au sein de laquelle un nom donné peut être résolu constitue un espace de noms. La résolution de nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Objet Un objet est un ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un utilisateur, une imprimante ou une application. Les attributs comportent des données (comme par exemple, le nom, le prénom d'un utilisateur ou l'emplacement d'une imprimante) qui décrivent le sujet identifié par l'objet. Figure 1 - Un objet utilisateur et ses attributs Conteneur Un conteneur est semblable à un objet dans la mesure où il possède des attributs et fait partie de l'espace de noms de l'ad. Toutefois, il ne représente rien de concret ; ce n'est qu'un réceptacle pour un ensemble d'objets ou pour d'autres conteneurs. Arbre L'arbre est employé, dans le contexte d'ad, pour décrire une hiérarchie d'objets et de conteneurs ; les feuilles de l'arbre sont en général des objets. Les nœuds de l'arbre (endroits d'où partent les branches) sont des conteneurs. Un arbre montre comment des objets sont reliés entre eux, c'est-à-dire le chemin d'accès d'un objet à un autre. 7
Figure 2 - Représentation d'un arbre Nom Chaque objet dans AD est identifié par un nom ; il existe deux sortes de noms différentes : Nom unique Chaque objet dans Active Directory possède un nom unique (Distinguished Name). Le nom unique identifie le domaine qui contient l'objet, ainsi que le chemin d'accès complet permettant d'y accéder à travers la hiérarchie des conteneurs (exemple de nom unique : /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith, ce DN correspond à l'utilisateur James Smith dans le domaine microsoft.com) Nom relatif distinct Figure 3 - Représentation graphique d'un nom unique Le nom relatif distinct (Relative Distinguished Name) d'un objet est la partie du nom qui constitue un attribut de l'objet à proprement parler. Dans l'exemple précédent, le nom relatif distinct de l'objet utilisateur est James Smith. Domaine Un domaine est défini par une limite de sécurité unique dans le cadre d'un réseau informatique tournant sous Windows NT (NT 4.0 ou 2000). Active Directory est constitué d'un ou plusieurs domaines ; un domaine peut recouvrir plusieurs sites physiques. Chaque domaine ayant sa propre politique de sécurité et ses propres relations d'approbation avec les autres domaines. Lorsque plusieurs domaines sont connectés par des relations d'approbation et partagent un même schéma, une même configuration et un même catalogue global, on obtient un arbre de domaine. Active Directory est un arbre ou un ensemble de plusieurs arbres ; il y a deux façons de visualiser un arbre : Représentation par le biais des relations d'approbation On peut dessiner un arbre en représentant les domaines individuellement et leurs relations d'approbation mutuelles. Windows 2000 établit des relations 8
d'approbation entre domaines en se basant sur le protocole de sécurité Kerberos. L'approbation Kerberos est transitive et hiérarchique, c'est à dire que si le domaine A approuve le domaine B et que B approuve C alors A approuve également C. Figure 4 - Représentation d'un arbre en terme de relation d'approbation Représentation par le biais de l'espace de noms On peut aussi dessiner les arbres en fonction de leur espace de nom. On peut déterminer le nom relatif distinct d'un objet en suivant son chemin d'accès jusqu'à l'espace de noms de son arbre. Cette représentation est utile pour la représentation hiérarchique des objets de manière logique. Figure 5 - Représentation d'un arbre sous la forme d'un espace de nom Forêt Une forêt est constituée d'un ou plusieurs arbre(s) ne constituant pas un espace de nom contigu. Tous les arbres d'une forêt partagent le même schéma, une même configuration et un même catalogue global. Ils s'accordent une confiance mutuelle par l'intermédiaire des relations Kerberos. Une forêt existe en tant qu'ensemble d'objets de références croisées et de relation d'approbation, et ne nécessite pas de nommage distinctif. Schéma Le schéma AD est implémenté comme un ensemble d'éléments de classes d'objets stockés dans l'annuaire. Le schéma peut être mis à jour dynamiquement, c'est à dire qu'une application peut étendre le schéma en lui ajoutant de nouveaux attributs et de nouvelles classes et les utiliser immédiatement. Ces modifications sont protégées par des listes de contrôle d'accès (ACL) comme toute les ressources réseaux gérées. Modèle de données Le modèle de données de Active Directory est dérivé du modèle de données de la norme X.500. L'annuaire contient des objets représentant des éléments de différents types décrits par des attributs. Le schéma définit l'univers des objets pouvant être stockés dans l'annuaire ; pour chaque classe d'objet, le schéma définit les attributs qu'un élément de la classe doit posséder ainsi que ses attributs facultatifs. 9
Fonctionnalités techniques de Active Directory AD est étroitement intégré au système de nom de domaine (DNS). Le DNS est l'espace de nom distribué utilisé sur Internet pour résoudre les noms d'ordinateurs et de services en adresse TCP/IP. La plupart des réseau intranet des entreprises utilisent DNS comme service de résolution de noms. Active Directory utilise le DNS comme service de localisation. Ceci permet à AD de trouver naturellement sa place dans des environnements inter- intranet. Les clients trouvent rapidement et facilement les serveurs d'annuaire. Service de localisation Les serveurs AD publient leurs adresses de telle sorte que les clients puissent les trouver à partir de leur seul nom de domaine ; ils sont publiés dans le DNS via des enregistrements de ressources de service il s'agit d'un mappage entre le nom d'un service et le serveur le proposant. Son nom a la forme suivante: service.protocole.domaine Active Directory utilise le protocole Lightweight Directory Access Protocol (LDAP) pour publier les ressources, via TCP. Comme les adresses IP sont sujettes à modification, les serveurs AD vérifient périodiquement leurs données. Nommage d'objet Chaque objet possède un nom unique (DN). Ce DN contient assez d'informations pour que le client puisse récupérer l'objet dans l'annuaire et peut parfois être long, et est sujet à modification ; à des fins de simplification des recherches, AD définit 2 propriétés pratiques : Un Globally Unique Identifer, nombre codé sur 128 bits, qui ne change pas et est attribué à la création de l'objet. Il ne change pas même si l'objet change de DN ou est déplacé. Un User Principal Name, plus court et plus convivial que le DN ; il s'agit d'un DN "abrégé". Par exemple, pour l'utilisateur James Smith de l'arbre microsoft.com, son DN est /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith tandis que son UPN peut être j.smith@microsoft.com. Active Directory ne permet pas que 2 objets distincts possèdent le même nom relatif distinct, et comme le DN est composé à partir de ce nom relatif il y a unicité des GUID. Accès à AD L'accès à l'annuaire s'effectue à partir de protocoles câblés ; ces protocoles définissent les formats des messages et des interactions client/serveur. Protocoles supportés : LDAP : est le protocole central de AD. Il s'agit d'un standard de protocole réseau conçu pour fournir un accès à des services d'annuaire. L'utilisation de ce standard permet une interopérabilité entre AD et les annuaires concurrents ou applications tierces utilisant également LDAP (NDS de Novell par exemple). 10
LDAP est décrit selon 4 modèles de base : Information Nommage Fonctionnalités Sécurité La combinaison de ces modèles introduit une nomenclature décrivant toutes les entrées et leurs attributs, et fournit des méthodes d'interrogation et de manipulation des valeurs. MAPI RPC : interfaces d'appels de procédure distante (Remote Procedure Call) gérant les interfaces MAPI (Message Application Programming Interface). X.500 : protocole définissant plusieurs protocoles non implémentés dans AD (d après des recommandation du Comité Consultatif International Téléphonique et Télégraphique pour les services d annuaire distribué) (Directory Access Protocol accès aux annuaires ; Directory System Protocol système d'annuaire ; Dircetory Information Shadowing Protocol réplication d'annuaire ; DOP gestion de liaison opérationnelle). Ils ne sont pas implémentés parce que présentant peu d'intérêt, peu implémentés, requiert le modèle réseau ISO/OSI (alternative à TCP/IP) peu implémenté ou LDAP offre les fonctionnalités de DAP et DSP. Catalogue global Le catalogue global permet aux utilisateurs et aux applications de trouver des objets dans l'arbre de domaine AD, pour peu qu'ils connaissent un ou plusieurs attributs de l'objet recherché. Le système de duplication de AD génère automatiquement ce catalogue et la topologie de duplication. Propagation des mises à jour Le système de duplication de l'annuaire n'utilise pas l'horodatage c'est à dire une synchronisation temporelle des serveurs pour propager les modifications à l'ensemble des serveurs d'annuaire de l'arbre de domaine ; il utilise des numéros de séquence de mise à jour (USN) qui sont incrémentés à chaque modification. Lors de la réplication chaque serveur reçoit l'ensemble des USN, qui est supérieur à la dernière valeur reçue, de ses partenaires de duplication. Dans la mesure où l'usn de la table est mis à jour au cours d'une opération groupée lors de la duplication, la reprise après échec est simple il suffit de réitérer la demande pour les USN supérieurs à la dernière entrée valide. Sécurité Délégation Le modèle de sécurité de Active Directory est celui de Windows 2000, utilisant une authentification par contrôleur de domaine approuvé, la délégation d approbation entre les services et le contrôle d accès par objet. Les fonctionnalités centrales de sécurité incluent l intégration avec Active Directory, la prise en charge du protocole Kerberos pour l authentification des utilisateurs, les certificats de clés publiques (PKI) pour les utilisateurs externes, le système Encrypting File System pour la protection des données locales et l utilisation du protocole IPSec pour la mise en œuvre de communications sécurisées en utilisant des réseaux publics (VPN). Présentation technique de la sécurité de Windows 2000 Les services de sécurité distribués de Windows 2000 prennent en charge les conditions nécessaires essentielles. La sécurité est basée sur l authentification des utilisateurs à l ouverture des sessions et l autorisation qui s effectue suivant les listes de contrôle d accès (ACL) des objets et les entrées de l annuaire AD. Ceci permet aux utilisateurs d accéder de n importe quel poste du réseau aux ressources auxquelles ils sont autorisés d accéder et d utiliser. 11
Active Directory joue un rôle majeur dans la sécurité des réseaux en offrant un emplacement central pour enregistrer les utilisateurs, matériels, applications et données réseaux ; il enregistre également les informations nécessaires à l authentification et l autorisation des utilisateurs pour garantir l accès aux ressources. Egalement, il est intégré aux services de sécurisation de Windows, tels que Kerberos, EFS ou IPSec. Le protocole Kerberos fournit une authentification mutuelle plus rapide et une approbation transitive pour l authentification à partir de n importe quel point d accès du réseau. Tous les objets de l'annuaire sont protégés par des Access Control List (ACL) qui déterminent qui a droit à quoi. Elle est stockée avec l'objet qu'elle protège. Active Directory permet une fonctionnalité importante au niveau sécuritaire ; il s'agit de la délégation. La délégation permet aux administrateurs d'accorder des droits spécifiques sur des conteneurs et des sous-arbres à des utilisateurs ou groupes. Cela permet la délégation de tâches d'administrations. 12
Résumé L introduction d Active Directory est une amélioration majeure de l OS Windows 2000. Il permet de centraliser et de simplifier l administration réseau en enregistrant en un point unique l ensemble des informations nécessaires aux administrateurs des systèmes informatiques ainsi qu en intégrant les fonctions de sécurité nécessaire à la bonne marche des réseaux. Egalement, la délégation permet de soulager les administrateurs dans leurs tâches quotidiennes, ils peuvent ainsi se concentrer sur les points importants du réseau (sécurisation, disponibilité ). Enfin, l utilisation des standards permet une intégration de l annuaire AD avec les autres services d annuaire et applications tierces déjà mis en œuvre au sein de l entreprise. 13
Bibliographie Sites web de Microsoft www.microsoft.com/france/technet/produits/win2000s www.microsoft.com/france/windows/2000/server www.microsoft.com/france/technet/themes/secur www.microsoft.com/france/technet ainsi que les sites anglais correspondants Site web du magazine Systems Journal www.mysystemsjournal.com TechProGuild "Windows NT / 2000 Administrator Report" (11/2000) 14