DUT Vacataire : Alain Vidal - avidal_vac@outlook.fr
Chapitre 1 Introduction sur les annuaires o Les défis et les avantages métier Chapitre 2 Gestion des identités et des accès TP1 - Installation d'un annuaire OpenLDAP TP 2 - Installation d'un annuaire Active Directory Chapitre 3 Services d'annuaires TP 3 : Synchronisation LDAP Chapitre 4 LDAP Chapitre 5 Conception annuaires Chapitre 6 Active Directory Exemple 2
Objectif du cours : o Sensibilisation à la notion d annuaire o Présentation des différents annuaires o Description du standard LDAP o Gestion des identités. o Exemple de création d annuaire d entreprise o Exemple d administration avec deux annuaires différents o Présentation d un outil d interrogation d annuaire o Présentation des notions d échanges de données entre annuaire 3
Les annuaires électronique versus annuaires au format papier o Un aspect dynamique : tout changement de données est immédiatement effectif. Délégation de responsabilité améliorée o Flexibilité : La structure des données est maintenant modifiable (en rajoutant un nouveau attribut) o La sécurité : Une authentification est nécessaire avant de voir ou modifier une donnée. Un filtrage des données est possible. o La personnalisation : Possibilité de voir ou d accéder aux données de façon granulaire par rapport à un profil donné. 4
Notion d annuaire Nous disposons dans notre environnement de plus en plus de moyen de communication qui nous permettent de joindre des personnes; téléphone fixe, téléphone portable, e-mail, etc. Les services informatiques doivent disposer d informations concernant : o Les adresses IP; o Les serveurs; o Les postes Bureautique, les imprimantes ; o Sur les utilisateurs; o Etc Les annuaires ont été conçus pour résoudre ces cas là 5
Exemple d un annuaire d application Annuaire téléphonique PBX Exemples d annuaires d applications : La base de registre et son outil de recherche, annuaire téléphonique Le moteur de recherche doit prendre en compte les mots voisins et génériques (Driver et Drivers Elyse ou Elise) 6
Exemple d annuaires d entreprise Annuaire téléphonique Applica tion Web 3 PBX Annuaire Open LDAP Personn e Annuaire Acitve Directory Messagerie 7
Les accès aux données o Les transactions doivent être simple, pourquoi? o Les accès aux données sont-ils plus fréquent en lecture? Écriture? o La localisation des données est-elles importantes? o Les annuaires doivent communiquer entre eux 8
Topologie des annuaires o De type hiérarchique ou relationnel? Table des personnes Table des services ID Src 1 Kelvin 1 1 S.General 2 Eric 1 2 DG 3 Elisa 2 3 Informatique 4 Corinne 3 9
Les espaces de noms et la gestion des identités o Les annuaires proposent un espace de noms homogènes En général tout service d annuaire est un espace de nom il s agit d une zone délimité au sein de laquelle un nom donné peut être résolu. o Les données (objets) de l annuaire doivent posséder des droits et être accessibles par certain profils Applications Finance CRM Serveurs Monitoring Société ANCV Srv.Client Personnel DSI DG Les annuaires s appuient sur des bases de données. Ils offrent une interface à l accès aux données. 10
Les annuaires, les bases de données et les applications Extranet Intranet Applications Intranet,portail,,... 1 1 Interface LDAP Outils et services d annuaire Localisation Gestion droits 2 1. Les applications font appel aux service d annuaires 2. Application permettant l accès à la recherche de données 3. Consultation et modification des données. (bd différents modèles) 3 Base de données 11
Les référentiels Référentiel organisation Org1 Org 2 Consultation Service Identification Et authentification RH Référentiels application Paie CRM Référentiel utilisateurs Les rôles des annuaires dans la gestion des identités? Gèrent les mots de passe (chiffrement,..) Offrent un portail d identification et d authentification Permettent la modification et la mise à jour Acceptent le contrôle par des applications tierces Cours Windows année 2013-2014 Université de Villetaneuse 12
La fédération des identités o Pour s identifier au système d information, aux sites extranet de son entreprise les utilisateurs utilisent différentes identités. o L entreprise souhaite améliorer sa réactivité et sa productivité o Rendre accessible et sécuriser les applications par la gestion de multiples profils o Partager les habilitations entre des sociétés n ayant pas le même SI et une politique de la sécurité différente. Cours Windows année 2013-2014 Université de Villetaneuse 13
Centralisé ou fédéré? Modèle centralisé Fournisseur d identité Annuaire LDAP, BD, etc... Modèle fédéré Quels avantages / inconvénients pour le modèle centralisé? Quels avantages / inconvénients pour le modèle fédéré? Donner un exemple concret d un model fédéré. 14
Un exemple utilisant le mécanisme de jointure 1- Identitfication 2- Vérification identité Ldap Utilisateur A 3- Demande d accès à B 4- Création d un ticket pour B 5- Envoi du ticket à B Client 8- Accès à la ressource demandée 7- Vérification de l accès à la ressource 6- Vérification du ticket et inscription d une ressource dans B Ldap B 1. L utilisateur s authentifie 2. L identifiant et le mot de passe sont vérifiés 3. L utilisateur demande un accès à B 4. Mécanisme de création d un ticket pour B 5. Processus d envoi de ticket à B 6. Vérification de la validité du demandeur 7. Vérification de la présence de la ressource demandée 8. Accès pour le client à la ressource B 15
Fédération d identité et les standards SAML v2 (Security Assertions Markup Langage) basé sur XML, issu des travaux de OASIS (Organization for the Advancement of Strutured Information Standards) o SAML normalise les échanges implémentant 3 items : Assertions relatives à l authentification : valide l authentification Assertions relatives aux attributs de l utilisateur : échange sécurisé Assertion relatives aux décisions d authentification : validation des droits de l utilisateur. Ces assertions sont émises par une autorité «autorité SAML» 16
Les annuaires à l échelle des entreprises Les différentes populations d utilisateurs d annuaires o Les utilisateurs internes de l entreprise o Les clients de l entreprise o Les prestataires de l entreprise Les méthodes liées à la qualité des données o Les niveaux de sécurité pour la protection des données o Sécuriser son SI o La performance et la sécurité des habilitations 17
Discussion sur les coûts des identités et annuaires o Coût de mise en œuvre d un annuaire o Coût gestion des annuaires clients 18
L historique DNS o Permet d associer une adresse IP à un nom o Ils sont gérés par des serveurs nommé serveur DNS o Ils communiquent entre eux et permettent d échanger des informations o Les noms gérés par le DNS sont organisé de façon hiérarchique. Afin de répondre au manque de DNS un autre standard à vu le jour WHOIS Les organisations internationales ISO Ont normé ces annuaires : X500, X400,... 19
Les composants d un annuaire X500 o DUA : Directory User Agent (application (client) qui dialogue avec le serveur) o DAP : Directory Access Protocol (Protocole utilisé entre le client (DUA) et le serveur) o DSA : Directory System Agent, comprend la base de données (DIB). o DSP : Directory System Protocol, protocole de communication entre deux serveurs (DSA) o DISP : Directory Information Shadowing Protocol, permet de répliquer un serveur DSA. X500 peut chainer les requêtes entres serveurs DSA 20
Les éléments d un annuaire X500 DSA 1 DSA 2 DISP DUA DUA DSA 2 Miroir Directory User Agent Directory Access Protocol Directory System Agent Directory System Protocol Directory Information Shadowing Protocol 21
Le chaînage de requêtes (1) entre serveurs DSA DSA 1 DSA 2 Directory User Agent Directory Access Protocol Directory System Agent Directory System Protocol DUA DSP 4- Résultat c DSA3 22
La méthode de renvoi de référence (2) Directory User Agent Directory Access Protocol Directory System Agent Directory System Protocol 23
La méthode de renvoi de référence (2) entre serveurs Directory User Agent Directory Access Protocol Directory System Agent Directory System Protocol 24
Les modèles X500 o Directory User Information Model (DIM), décrit les données de l annuaire, à partir d une méthode objet composé de classes constituées d attributs. o Directory Operational and Administrative Information Model o DSA Information Model o Administrative Authority Model Seul le premier a été retenu pour le standard LDAP. 25
Modélisation de l utilisation d un annuaire Utilisateur Windows Serveur Windows Clients Windows Un annuaire possède un ensemble d informations telles que : Autres répertoires Autres systèmes d exploitation réseau Annuaires Organisation Eléments réseau Services pare-feu Applications Une optimisation pour la consultation Modèle de stockage distribué Extensibilité des informations stockées Recherche avancées Serveurs messagerie 26
Tour d horizon des annuaires coté éditeurs o ORACLE o APACHE o CISCO o NetIQ (Novell) o MICROSOFT o Oracle Unified Directory o Apache Directory Server o Cisco Unifed Communications Manager o edirectory o Active Directory o APPLE o Apple Open Directory 27
Qu est ce LDAP? LDAP veut dire Lightweight Directory Access Protocol. C est un standard s appuyant sur la norme x500 et permet l accès aux annuaires. Ce standard issu de la technologies de l Internet et X500 a été normalisé par l IETF (Internet Engineering Task Force). D autres acteurs industriels participent à l évolution de cette norme. http://www.ietf.org/rfc/rfc2251.txt LDAP, simplifie la gestion des profiles des personnes et ressources, Il offre une interopérabilité entres les systèmes d information en partageant les profiles. LDAP apporte une sécurité dans l accès aux applications Utilise une approche client /Serveur, en mode connecté avec le protocole TCP sur le port 389 (636 / SSL) Le codage contrairement aux protocoles Internet (ASCII) utilise BER (Basic Encoding Rule). 28
Ce protocole se conforme à quatre modèles de base : un modèle d'information : définissant le type d'information stocké dans l'annuaire un modèle de nommage (désignation): Il définit la façon dont les informations sont organisées dans l'annuaire et leur désignation un modèle fonctionnel (service) : Définit l accès aux informations et aux modifications. un modèle de sécurité : Il définit les mécanismes d'authentification et de droits d'accès des utilisateurs à l'annuaire. o Rappel, le principe de BER (vu précédemment) est de transformer les entités décrites dans la norme en notation ASN.1 (Abstract Syntax Notation One). 29
NIS vs LDAP o NIS (Network Information Service ) Créé dans les années 80 (Sun Microsystem), méthode utilisée pour la distribution de la base de données des utilisateurs, de fichier de configuration, d authentification et d autre données dans un réseau local et mono domaine. Ce service fonctionne sur le mode client/serveur (bade de données à «plat») Avec un service NIS il est impossible de constituer des groupes logiques ayant des attributs propres. o NIS+ Développé pour palier aux manque de NIS. Notion de hiérarchie Sécurisation de son protocole RPC, les permissions sur les tables, etc 30
LDAP et la sécurité o Le standard LDAP permet une identification et authentification au travers le réseau IP. C est l annuaire même qui gère ce mécanisme d identification il n est pas sous-traité à une application tierce. Certificat X509 et les infrastructures à clés publiques o Permet de sécuriser les authentifications et les services des utilisateurs dans un environnement interne et/ou externe. o A pour but d établir la confiance dans les échanges entre plusieurs personnes. o Authentification des partenaires, la confidentialité, l intégrité et la non-répudiation des messages. o Chiffrement asymétrique versus chiffrement symétrique 31
Exemple de gestion de certificat LDAP Authentifier un utilisateur consiste à s assurer que sa clé publique lui appartient, grâce à son certificat validé par un tiers (CA) 32
Périmètre du standard LDAP L information des données échangé est définit dans quatre modèles : Le modèle d information -> nature des données Le modèle de désignation-> organisation Le modèle des services -> l accès et les MAJ Le modèle de sécurité -> la protection en fonction des droits des utilisateurs. LDIF : LDap Interchange Format, le protocole LDAP a définit un format de fichier. Un fichier LDIF permet de : Décrire les entrées d annuaire, des valeurs d attribut, des instructions de traitements pour le serveurs 33
Le modèle de nommage rootdse: décrit la struture de l arborescence (DIT) ainsi que son contenu Serveur Ordinateurs Dc (domain component) : DUT.local C (country) France O (organization) : ANCV Couche administrative OU s Utilisateurs Chaque entrée dans l annuaire est nommée et doit être unique : Cn=utilisateur1, cn(common name) ou=utilisateurs, ou(organizational unit) o=paris, c=france, dc=licencepro.local VM-ad1 VM-ad2 VM-cl8 Objects Cn =Utilisateur1 Utilisateur2 Utilisateur VM-cl8 Groupe Tous les nœuds (objets) de l arbre ont une DES: (Directory service entry) qui correspond à une entrée de l annuaire On peut utiliser également des compléments d attribut : Sn : nom de famille, dérivé de l attribut name Le numéro de Téléphone 34
Moyen d accès à LDAP: LDIF Exemple de fichier LDIF (LDAP Data Interchange Format) Dn: ou=personnes, o=ancv,c=france,dc= dut.local Objectclass: top Objectclass: organizationalunit Ou: personnes Description: OU fictive dédiée aux objets Personnes Dn: cn=personne1, ou=personnes, o=ancv,c=france,dc=dut.local Objectclass: top Objectclass: person Objectclass: organizationalperson cn: personne1 35
Utilisation d un éditeur LDAP : JXplorer o Le fichier LDIF a été créé avec un éditeur de texte, puis il a été importé dans l annuaire (fictif) en utilisant le menu d importation de l outil JXplorer Chaque attribut est défini par : Une description (desc); Son nom; Les règles d égalité; Une valeur numérique, appelé OID (Object identifier) Le contenu de l attribut (syntax) Les règles d égalité de sous-chaînes (substr) L ensemble des attributs et classes d un annuaire porte le nom de schéma. 36
Les OID o Les OID utilisés par LDAP peuvent être comparés à ceux du protocole SNMP; o un OID est un identifiant unique associé à chaque classe d'objets et à chaque type d'attributs; o Un OID est constitué de plusieurs numéros séparés par un point. Chaque point représente une branche dans un arbre hiérarchique. ex : un OID comme 2.5.21.6 désigne une classe d'objet. L OID 2.5.4.6 représente le code pays sur deux lettres (fr) 37
Les échanges d un annuaire LDAP avec une application o Des outils de synchronisation de données permettent cette cohabitation Echanges de fichiers o L utilisation de méta-annuaire Grâce à des connecteurs spécifiques il est possible de synchroniser en mode synchro ou semi-synchro. o L utilisation de méta-annuaire virtuel Comme un proxy, LDAP offre une vue sur des données présentent dans plusieurs applications ou base de données. Cette utilisation est réalisée sans annuaire central. 38
Séquence d appels Modèle client serveur deux modes Mode synchrone : le client soumet une réponse Et attend une réponse Mode asynchrone : Le client fait une demande au serveur, après l acquittement du serveur, le client va régulièrement interroger le serveur. 39
Les Interfaces d accès aux annuaires LDAP o Les interfaces de programmation En standard le langage C LDAP C API de Microsoft LDAP C API de OpenLDAP LDAP C SDK de différents éditeurs Autres langages PHP.Net, ADSI Java PERL, Python 40
Descriptif du modèle DIM o Il définit les données de l annuaire X500 à l aide de classe d objets chacune d elles sont composées d un ensemble d attributs. o Les objets occurrence d une classe sont organisés de façon hiérarchique nommé DIT (Directory Information Tree) exemple : Une personne est décrit par une classe comprenant des attributs (Nom, prénom et entreprise). 41
Exemple de DIT Exemple de désignation d objet : root Niveau racine Dn : cn= alain, o=ancv, c=fr ANCV Alain fr ERAM USA IBM Niveau pays Niveau société Niveau personne Le DN représente le chemin absolu d'accès à l'entrée. Il existe un RDN «Relative Distinguished Names» Par exemple en partant de fr: O=ANCV O=ERAM Cn=alain,O=ANCV O=ERAM 42
Les points importants à définir avant de se lancer o Les actions possibles avec un annuaire: Créer un objet Supprimer un objet Modifier un objet Lire un objet Rechercher un objet 43
Voici la liste des principales opérations que LDAP peut effectuer : Opération Abandon Add Bind Compare Delete Extended Rename Search Description Abandonne l'opération précédemment envoyées au serveur Ajoute une entrée au répertoire Initie une nouvelle session sur le serveur LDAP Compare les entrées d'un répertoire selon des critères Supprime une entrée d'un répertoire Effectue des opérations étendues Modifie le nom d'une entrée Recherche des entrées d'un répertoire Unbind Termine une session sur le serveur LDAP 44
La conception par deux phases o Phase fonctionnelle : Définissant les données, les acteurs, les habilitations et les processus de gestion des annuaires. o Phase technique : Décrivant la topologie du réseau, des serveurs, les réplications, les outils de stockage et de gestion de l annuaire. 45
Les étapes de la phase de conception Identification des contraintes Elaboration Conception DIT Cadrage Identification des acteurs Habilitations Description processus 46
Les points importants à définir avant de se lancer (suite) o Identifier les applications ayant besoin d un annuaire et pour cellesci, définir : Nom de l application Responsable de l application Nombre d utilisateur actuel et l évolution Fréquence d accès faible, régulière, aléatoire Sa disponibilité (RTO, RPO) Les temps de réponses acceptables o Les cas d utilisation : Nom de l action attendue Description de l action Règles de gestion 47
Les points importants à définir avant de se lancer (suite) o Faire un ou des diagrammes de cas d utilisation 48
Active directory o o L annuaire Active directory est un composant indispensable dans un système IT Microsoft. Il est géré par un contrôleur de domaine L active directory utilise une base données ou sont stockées toutes les informations concernant l identification des objets (Ordinateur, Utilisateurs, groupes ). Cette base de données est gérées et stockées par un serveur Appelé contrôleur de domaine. Il a la fonction d authentifier les utilisateurs et ordinateurs du domaine. Leur permettant l accès aux ressources du domaine (ADDS). 49
50
Les composants logiques o Les contenues de la base de données utilisée par l AD est composée de plusieurs partitions : Configuration (est composée de la topologie de la forêt, comprenant les informations des domaines, sites et connexion entre les domaines) DNS (doit être installé sur un DC et comprend les différentes zones du serveur) Schéma (comprend tous les objets pouvant être créés avec leurs attributs) Domaine ( contient les différents objets et leurs attributs qui ont été créés dans le domaine) Forêt AD (suite de domaines reliés entre eux par une relation d approbation [BDT] ) 51
Forêt et ses domaines 52
Question? 53