Approbations et relations entre contrôleurs de domaines dans un réseau étendu.

NOTE DE SYNTHESE : Approbations et relations entre contrôleurs de domaines dans un réseau étendu. Page 1 sur 21

Sommaire Présentation de l entreprise :... 3 Son histoire:... 3 Infrastructure technique de la DSIT :... 3 Organigramme de la DSIT :... 4 Scénario pour le projet :... 5 Contexte actuel :... 5 Objectif du projet :... 5 Scénario envisagé :... 6 Mise en place :... 7 Création des domaines :... 8 Configuration IP des serveurs :... 9 Ajout d une machine au domaine «ecoles.activd» :... 11 Création d une relation d approbation (trust relationship) :... 14 Phase de tests :... 18 Conclusion... 21 Page 2 sur 21

Présentation de l entreprise : Son histoire: Créée le 21 novembre 2005, Reims métropole est composé de 16 communes, l agglomération rémoise regroupe plus de 218000 habitants, 85% d entre eux résidant à Reims, Adeline Hazan, Maire de Reims est la Présidente de Reims Métropole. Reims Métropole est responsable du développement économique, de la gestion de l aménagement du territoire, du transport, de l environnement, mais aussi de l habitat et de la cohésion sociale. La Direction des Systèmes d Information et des Télécommunications (DSIT) fait partie du groupe Reims Métropole, elle est spécialisée dans le développement et le réseau comportant 52 employés. Elle est donc chargée de permettre aux utilisateurs de mener à bien leurs projets. Il faut le souligner, il y a plus de 200 métiers différents dans la collectivité. Infrastructure technique de la DSIT : Les moyens informatiques des services publics sont répartis sur plus de 70 sites, des moyens auxquels il convient d ajouter 1200 ordinateurs répartis dans 120 écoles puis 2000 postes pour les agents. Pour répondre aux besoins en informatique et gérer l infrastructure réseau, pour l ensemble des directions métiers et des collectivités, l infrastructure est répartie entre deux sites, distants de cinq kilomètres, reliés par fibre optique : Celui de la communauté Reims Métropole, et celui de la DSIT. La salle serveur de la DSIT comporte 3 serveurs physiques ESX VmWare Quad-Core avec 256 Go de RAM par serveurs, ces 3 serveurs permettent d avoir 120 machines virtuelles en production et 60 en tests. Page 3 sur 21

Organigramme de la DSIT : M. EHRLE Philippe : Tuteur de stage. Page 4 sur 21

Présentation du projet : Contexte actuel : Côté Ville de Reims et Reims Métropole : Pour authentifier ses agents sur son réseau informatique (gestion des droits d accès aux fichiers, accès à la messagerie, accès internet), la collectivité (Ville de Reims et Reims Métropole) utilise un annuaire de type Active Directory dont le nom le domaine est REIMS.LOC Tous les postes des agents qui sont connectés au réseau doivent pouvoir joindre les deux contrôleurs de domaine SRVPW-DC1 et/ou SRVPW-DC2 pour ouvrir entre autres la session sur leur poste, avoir accès à leur messagerie, aux partages de fichiers aux applications et à l accès internet (passerelle internet CISCO IRONPORT). Côté écoles La ville de Reims a souhaité gérer de façon centralisée les accès internet des écoles. Pour cela un nouveau domaine a été créé : ECOLES.ACTIVD L ouverture de session sur ce domaine permettra aux enseignants de pouvoir se connecter sur la passerelle Internet de la collectivité pour aller sur internet. Un compte générique par école a été créé, il permettra la navigation par liste blanche. Certains agents de la collectivité (personnels affectés à l entretient des locaux, coordinateurs périscolaires) sont parfois amenés à travailler depuis les écoles dans le domaine REIMS.LOC (pour joindre l intranet de la collectivité, aller sur internet et accéder à l extranet). Objectif du projet : L objectif du projet est de modéliser sous forme de maquette le fonctionnement suivant : tout en conservant deux noms de domaines AD différents : REIMS.LOC et ECOLES.ACTIVD, on souhaiterait restreindre au minimum les communications qui sortent des écoles à destination du Système d Information de la collectivité pour des raisons de sécurité. Actuellement, tous les PC des écoles peuvent joindre les contrôleurs de domaines de REIMS.LOC et ECOLES.ACTIVD Dans la solution cible, les pc ne pourront voir que les contrôleurs de domaines ECOLES.AD, et ce sont ces derniers qui iraient valider les ouvertures de session auprès des contrôleurs de domaines de la collectivité REIMS.LOCAL. Cela restreindrait fortement les communications des écoles vers la collectivité dans la mesure où seuls les contrôleurs de domaines d ECOLES.ACTIVD seraient susceptibles de joindre les contrôleurs de domaines de REIMS.LOCAL. Page 5 sur 21

Scénario envisagé : Tous les tests pour le déroulement du projet seront effectués sur des machines virtuelles VMware consacrés aux phases de tests à l aide d un contrôle à distance de celles-ci avec VMware vsphere Client 4.1. - La création de 2 domaines différents : REIMS.LOC et ECOLES.ACTIVD seront effectués sous Windows 2008 R2. - Faire une relation d approbation entre ces 2 domaines pour restreindre les communications des postes appartenant au domaine «ecoles.activd» vers les serveurs du système d information de la collectivité du domaine «reims.loc». - Créer des Postes utilisateurs avec comme système d exploitation windows7 et Windows XP ajoutés aux domaines «ecoles.activd» et «reims.loc». - Pour finir, tester l authentification des utilisateurs sur les différents domaines. Le schéma ci-dessous représente deux contrôleurs de domaines situés dans deux VLANS différents (Un VLAN, Virtual Local Area Network, en français Réseau Local Virtuel est un réseau local regroupant un ensemble de machines de façon logique et non physique). Mais aussi deux postes clients appartenant à chaque domaine. Le SERVEUR-ECOLES aura deux cartes réseaux afin qu il puisse communiquer avec le contrôleur de domaine «reims.loc» et le poste client Seven qui est situé dans un réseau différent. Page 6 sur 21

Mise en place : Nous allons utiliser l interface VMware pour la création des machines virtuelles. Pour mener à bien notre projet, nous avons donc créé 2 serveurs virtuels sous Win2008 R2 (SRVTW- DC1-REIMS et SRVTW-DC1-ECOLES) sur VMware : Puis la création d une machine virtuelle PCTW-SEVEN-ECOLES sous Windows7 professionnel ajoutée au domaine «ecoles.activd». Mais aussi la création de la machine virtuelle PCTW-XP sous Windows Xp professionnel ajoutée au domaine «reims.loc». Page 7 sur 21

Création des domaines : Nous avons créé le domaine «reims.loc» en installant active directory (exécuter la commande : «dcpromo») sur le serveur virtuel SRVTW-DC1-REIMS en se connectant en tant qu administrateur. On a donc fait de même pour le domaine «ecoles.activd» en installant Active Directory sur le serveur virtuel SRVTW-DC1-ECOLES, le serveur devra comporter 2 cartes réseaux. L'infrastructure DNS doit être mise en place afin que nos deux contrôleurs de domaine puissent se trouver donc communiquer entre eux, on obtient ceci après les configurations IP pour le domaine «ecoles.activd» en allant dans le gestionnaire DNS comme ceci : Un serveur de noms DNS (permet d'établir la correspondance entre le nom de domaine et l'adresse IP des machines d'un réseau) définit une zone, c'est-à-dire un ensemble de domaines sur lequel le serveur a autorité. Le système de noms de domaine est transparent pour l'utilisateur, néanmoins il ne faut pas oublier le point suivant : Chaque ordinateur doit être configuré avec l'adresse IP d'une machine capable de transformer n'importe quel nom en une adresse IP ici : 10.80.1.29 /27. Cette machine est appelée Domain Name Server dans notre cas le SERVEUR-ECOLES. Page 8 sur 21

Configuration IP des serveurs : SERVEUR-REIMS ci-dessous: SERVEUR-ECOLES carte 1 ci-dessous: Page 9 sur 21

SERVEUR-ECOLES carte 2 ci-dessous: Remarque : Les configurations IP des serveurs et des machines sont obligatoires afin qu ils communiquent entre eux. Page 10 sur 21

Ajout d une machine au domaine «ecoles.activd» : Nous avons créé un compte «utilisateur du domaine» à partir d active directory, nous l avons appelé «user1» et nous l avons ajouté au domaine «ecoles.activd» pour cela il a fallu : Se connecter en tant qu administrateur du poste, puis configurer les paramètres IP de celle-ci pour que la machine communique avec la deuxième carte réseau SERVEUR-ECOLES : Dans le menu démarrer faites un clic droit sur «ordinateur» puis aller dans «Propriétés» puis «modifier les paramètres» ensuite se rendre dans l onglet «Nom de l'ordinateur». Cliquez alors sur «Modifier» et cocher Membre d'un «Domaine» puis entrer le nom de domaine «ecoles.activd» comme le montre l image ci-dessous : Page 11 sur 21

L identifiant et le mot de passe de l administrateur du domaine spécifié sera demandé. La machine va redémarrer et sera dans le domaine «ecoles.activd», maintenant s authentifier en tant que «user1» (utilisateur du domaine «ecoles.activd»). Après authentification on peut constater que le client «user1» sur la machine Windows7 fait bien partie du domaine «ecoles.activd». On peut créer une GPO (Group Policy Object), c est une commande qui sera exécutée a l ouverture de session de l utilisateur en allant dans la gestion des stratégies de groupe située dans les outils d administration du contrôleur de domaine, elle bloquera l accès à certaines ressources de l ordinateur pour l utilisateur. Page 12 sur 21

Maintenant il faudra aussi ajouter l utilisateur «test» au domaine «reims.loc», pour cela il faut procéder avec la même méthode, et configurer l adresse IP du poste PCTW-XP : Il faut donc renseigner l adresse IP du serveur DNS de notre contrôleur de domaine «reims.loc» pour qu il puisse communiquer avec celui-ci. Page 13 sur 21

Création d une relation d approbation (trust relationship) : Maintenant que les deux clients ont été ajoutés aux domaines respectifs, nous allons créer une relation d approbation spécifique aux deux domaines pour mettre en place une politique d authentification des utilisateurs aux différents domaines. Une relation d approbation externe : Cette procédure décrit comment l administrateur d un domaine peut créer une relation d approbation entre deux domaines différents. Cette opération a pour but de pouvoir authentifier des utilisateurs issus d un domaine local au domaine spécifié. Une approbation non transitive est limitée par les deux domaines de la relation d approbation et ne se déplace pas vers d autres domaines de la forêt. Elle peut être une approbation bidirectionnelle ou une approbation unidirectionnelle, dans notre cas elle sera unidirectionnelle. Pour la créer, il faut se rendre dans les «outils d administration» du serveur souhaité puis «Domaine et approbations Active Directory». Après la création de l approbation sur le domaine «reims.loc», on obtient ceci en allant dans les propriétés du domaine : Page 14 sur 21

Une approbation unidirectionnelle entrante : le domaine peut accéder aux ressource de l'autre domaine cible mais le contraire n'est pas possible. Ici, les utilisateurs du domaine local «ecoles.activd» peuvent accéder aux ressources du domaine spécifié «reims.loc». Pour valider l approbation du coté du domaine «ecoles.activd», il faut aller dans les «propriétés» de l approbation sortante, puis «valider». Page 15 sur 21

Une approbation unidirectionnelle sortante : ici, les utilisateurs du domaine local «reims.loc» ne peuvent pas accéder aux ressources et s authentifier au domaine spécifié «ecoles.activd». Sélectionner l authentification pour toutes les ressources du domaine. Page 16 sur 21

Voici un schéma représentant le fonctionnement et la direction de l approbation qui ont été créés sur les deux domaines : Domaine REIMS.LOC Domaine ECOLES.ACTIVD La relation d approbation est maintenant créée, les utilisateurs du domaine «reims.loc» pourront maintenant ouvrir une session à partir du domaine «ecoles.activd» grâce à l étendue de l authentification pour les utilisateurs et à la direction de l approbation. Page 17 sur 21

Phase de tests : Nous allons maintenant ouvrir une session sur le poste Windows7 appartenant au domaine «ecoles.activd», qui aura pour identifiant «reims.loc\test» (utilisateur que l on a créé dans l active directory du domaine «reims.loc»). L ouverture de session est réussie grâce à nos relations d approbations entre les deux domaines. Mais dans le sens contraire, si l on ouvre une session à partir du domaine «reims.loc» vers le domaine «ecoles.activd» l authentification échouera car l approbation est unidirectionnelle. Page 18 sur 21

Sur notre SERVEUR-ECOLES nous avons effectué une capture de trames à laide du logiciel WIRESHARK, nous allons voir le chemin emprunté quand l utilisateur du domaine «reims.loc» ouvre sa session à partir d un ordinateur du domaine «ecoles.activd» : Ligne 1à28 : L utilisateur (192.168.2.10) interroge le domaine «ecoles.activd» (192.168.2.1) en envoyant une requête DNS pour localiser le domaine «reims.loc», Ligne 33à58 : Le domaine «ecoles.activd» (10.80.1.29) va maintenant interroger le domaine «reims.loc» (10.80.1.28) celui-ci lui répond qu il est bien le domaine recherché par l utilisateur. Le Protocole DNS (Domain Name Service) C'est un protocole (des règles d'échange) qui permettent aux différents ordinateurs d'échanger des informations concernant les domaines. Il utilise un format de messages commun pour tous les échanges entre serveurs ou entre client et serveur. Le mécanisme consistant à trouver l'adresse IP correspondant au nom d'un hôte est appelé «résolution de nom de domaine». Page 19 sur 21

Un Problème à été rencontré : Le temps d ouverture de session pour les utilisateurs vers le domaine «reims.loc» était anormalement long à cause d un problème de résolution de nom. Le SERVEUR- ECOLES envoi beaucoup de requêtes de broadcast pour trouver le domaine spécifié «reims.loc» ce qui perturbe l ouverture de session. Solution : il est nécessaire de garantir que chaque domaine puisse résoudre les noms DNS de l autre domaine. Nous commençons par gérer les problèmes de résolution de nom. Pour résoudre cela, il faut définir au niveau du gestionnaire Dns du SERVEUR-ECOLES, le nom du serveur de nom «reims.loc». Comme expliqué ci-dessous avec l ajout d une nouvelle zone de recherches directes. Nouvelle zone de recherches directes : En ajoutant la nouvelle zone «reims.loc», avec comme adresse IP : 10.80.1.28, sur le gestionnaire DNS du SERVEUR-ECOLES, cela va permettre à l utilisateur voulant se connecter au domaine «reims.loc» d accéder plus rapidement à l ouverture de sa session, comme ci-dessous : Page 20 sur 21

Conclusion La création d une relation d approbation permet de lier deux forêts, ainsi les utilisateurs d un domaine pourront accéder aux ressources de l autre domaine. De plus l Active Directory permet de gérer les utilisateurs présents sur le domaine, permet aussi de gérer les informations les concernant et aussi de leurs attribuer l accès à un domaine partagé. L Active Directory est donc utilisé pour gérer les utilisateurs du réseau en leur offrant différents services et droits, et l accès aux autres domaines seront possibles grâce à la création d une relation d approbation entre les forêts. Page 21 sur 21