AMEB Page 1 07/05/2016
RELATION D'APPROBATION
De nos jours, du fait de l'essor informatique, les réseaux d'entreprises ont une certaine tendance à s'a...
3 downloads
6 Views
AMEB Page 1 07/05/2016
RELATION D'APPROBATION
De nos jours, du fait de l'essor informatique, les réseaux d'entreprises ont une certaine tendance à s'agrandir
très rapidement. Ainsi au sein d'une même firme on arrive régulièrement à avoir plusieurs domaines avec
différents sites éparpillés dans le monde entier afin d'organiser les ressources le mieux possible...
Une question se pose alors : comment permettre à des utilisateurs authentifiés dans leur domaine d'accéder à
des ressources d'un autre domaine ?
La solution s'appelle : "les relations d'approbation" et c'est ce que nous allons étudier en détail dans cette
article.
Nous allons voir quels sont les types de relations qui existent entre les domaines comme par exemple les
relations d'approbations de base c'est à dire créées directement sans intervention d'un administrateur. Nous
retrouverons dans ce cas les relations de type "Parents/Enfants" ainsi que les relations entre chaque racine
d'arborescence. Ensuite nous verrons qu'il est possible, dans le cas d'une forte communication entre deux
domaines de créer une relation d'approbation raccourci afin de limiter le trafic dans les domaines
intermédiaires. De plus, nous prendrons le cas où deux entreprises souhaitent partager ses ressources et nous
utiliserons des approbations externes. Une nouveauté d'Active Directory 2003, incorporée dans Windows
Server .NET (2003), est la possibilité de définir un nouveau type de relation intitulé "inter forêt", ainsi
lorsqu'une entreprise approuvera la forêt d'une autre société, elle pourra ainsi directement accéder à tous ces
domaines sans créer de relation d'approbation externe vers chacun des domaines de l'autre forêt. Enfin nous
étudierons comment mettre en relation différents services d'annuaire Non-Microsoft à l'aide de relations
d'approbations Kerberos V5 . Nous détaillerons plus particulièrement l'interconnexion d'Active Directory et
Open Directory (Mac Os X Server).
Avant de rentrer dans le détail de chacune de ces relations, nous allons redéfinir un certain nombre de termes
indispensables à la bonne compréhension de cet article. Nous allons étudier les notions de domaines, de forêt
ainsi que d'arborescence sans quoi, il sera difficile d'assimiler les relations d'approbations...
Bien évidemment nous expliquerons également dans la première partie qu'elles sont les caractéristiques d'une
relation d'approbation, c'est à dire son sens (unidirectionnel ou bidirectionnelle) ainsi que sa transitivité (oui
ou non)...
1. Définition des termes utilisés :
1.1 Domaines
La notion de domaine est très importante puisqu'elle constitue la base de l'architecture de notre entreprise.
Lorsque vous installez votre premier contrôleur de domaine celui ci créé automatiquement un domaine. Chaque
domaine possède, bien évidemment un nom DNS permettant ainsi d'avoir une structure de nom contiguë. Il
existe plusieurs outils présents dans Windows Server 2003 nous permettant de gérer le ou les domaines
existants. Au cours de cette étude nous utiliserons principalement la console MMC (Microsoft Management
Console) intitulée :
"Domaines et approbations Active Directory".
La création de domaines permet une meilleur gestion du réseau et des ressources mais également
d'autres points comme :
La Sécurité : En effet Active Directory 2003 permet d'effectuer des limites de sécurité propre à
chaque domaine. Il faut savoir que lorsque vous définissez une stratégie de sécurité regroupant un
certain nombre de paramètres (droits d'administration, les listes de contrôle d'accès, les restrictions...)
pour un domaine celle-ci reste au niveau du domaine et n'est pas transmis aux autres. Ainsi grâce à
ce processus vous allez pouvoir définir plusieurs stratégies de sécurité différentes pour chaque
domaine.
AMEB Page 2 07/05/2016
La Réplication : Il y a au minimum un contrôleur de domaine pour chaque domaine qui contient
l'ensemble des objets du domaine correspondant. Il est possible d'avoir plusieurs contrôleurs de
domaine pour un même domaine afin de mettre en place une tolérance de panne ainsi qu'une
répartition de charge. Afin que tous les DC d'un domaine possède une base de donnée (Active
Directory) à jour, une réplications des informations est effectués entre chacun de ces serveurs.
Appliquer des GPO : La grande utilité de mettre en place des domaines, est la gestion centralisée à
partir du serveur des comptes d'utilisateurs et des comptes d'ordinateurs de tous les membres de
l'entreprise. Ainsi au lieu de passer sur les 10000 machines par exemple pour installer le SP2 de
Windows XP et bien vous allez pouvoir le déployer à l'aide d'une stratégie de groupe (GPO : Group
Policy Object). De la même manière vous allez pouvoir définir toutes les stratégies de sécurité,
l'environnement de l'utilisateur (Fond d'écran, menu, etc...). Windows Server 2003 offre une nouvelle
console de gestion des stratégies de groupe intitulé GPMC (Cf cet article sur : La gestion des GPO
à l'aide de GPMC)
Structurer : En effet comme indiqué un peu plus haut, grâce au domaine, vous allez pouvoir
structurer votre réseau en créant plusieurs domaines, regroupant chacun plusieurs sites afin de
classer vos objets. Il faut savoir qu'un domaine peut prendre en charge plusieurs millions d'objets...
Délégation : En effet dans le cas de l'implémentation de plusieurs domaines, il est possible de
déléguer l'administration d'un domaine à une personne. Vu que la sécurité est limité au domaine, ceci
permet de répartir les droits au sein même d'un domaine. De plus si vous avez des unités
d'organisations dans votre domaine vous allez pouvoir déléguer la gestion d'une ou plusieurs de ces
OU à un administrateur .
Un domaine est toujours représenté de la sorte, sous la forme d'un
triangle en indiquant son nom en dessous comme nous pouvons le
voir sur le schéma ci dessus. C'est comme ça que vous le
retrouverez dans nos futurs schémas.
Maintenant que nous avons introduit la notion de domaine, nous
allons voir qu'il est possible de créé des domaines enfants à
plusieurs niveau, ce qui nous donnera ensuite une arborescence.
C'est cette notion que nous allons aborder par la suite...
AMEB Page 3 07/05/2016
1.2 Arborescences
Une arborescence est un ensemble de plusieurs domaines partageant un espace de noms contigus. Si vous
avez plusieurs domaines dans votre réseau, vous pouvez les relier entre eux afin d'effectuer une arborescence.
Le premier domaine que vous allez créé est appelé domaine racine de la première arborescence, les domaines
suivants appartenant au même espace de noms contigus sont appelés domaines enfants. De même un
domaine situé directement au dessus d'un autre domaine d'une même arborescence est appelé domaine
parent. Les domaines formant un espace de noms contigus respectent la règle suivant d'appellation de nom :
Nom du domaine le plus petit suivit d'un point (.) puis du nom de son domaine parent et ainsi de suite.
Comme nous pouvons le voir dans le schéma, chacun des domaines d'une arborescence est relié par une
relation d'approbation, c'est ce que nous étudierons en détail dans la partie suivante sur les relations
d'approbation de base !
AMEB Page 4 07/05/2016
1.3 Forêts
Une forêt est composée d'un ou plusieurs domaines appartenant à une même entreprise. Pour chaque forêt
Active Directory, il existe une base de donnée distribuée, elle même composée de plusieurs base de données
partielles enregistrées sur des contrôleurs de domaines multiples. Le fait de distribuer les bases de données
améliore l'efficacité du réseau en permettant d'organiser les données là où elles sont les plus utilisées.
Chaque contrôleur de domaine de la forêt possède une copie du schéma de la forêt. Généralement il est
déconseillé de créer plusieurs forêts pour une même firme, cela augmenterai le travail de gestion des
administrateurs. Il peut donc y avoir plusieurs arborescences au sein même d'une forêt ne formant pas un
espace de noms contigus. Malgré cela, une forêt possède quand même un domaine racine unique appelé
domaine racine de la forêt, c'est par définition le premier domaine que vous créé qui est racine.
Voyons tout de suite un exemple :
On retrouve les relations d'approbations entre chaque domaine parent/enfant. Mais on remarque également
que les domaines racines de chaque arborescence effectuent une relation d'approbation avec le domaine
racine de la forêt (ici : waryx.lan). Nous reviendrons en détails sur ce type de relation dans la partie suivante !
1.4 Relations d'approbation
Comme nous l'avons annoncé dans l'introduction de ce chapitre, les relations d'approbation permettent à
un utilisateur d'un domaine d'accéder aux ressources d'un autre domaine, et à un administrateur de
pouvoir gérer les utilisateurs de l'autre domaine. Il y a deux propriétés principales pour une relation
d'approbation qu'il faut connaître afin de mieux comprendre le fonctionnement :
La direction : il y a deux possibilité pour une relation d'approbation, soit elle est unidirectionnelle
c'est à dire dans un seul sens ou alors bidirectionnelle c'est à dire dans les deux sens. Une relation
unidirectionnelle permet d'approuver un domaine à partir d'un autre domaine sans que l'inverse soit
appliqué. C'est à dire que si un domaine A approuve un domaine B, alors un utilisateur du domaine A
pourra accéder aux ressources du domaine B mais l'inverse ne serra pas possible ! L'autre possibilité
est une relation bidirectionnelle ! C'est à dire que les deux domaines s'approuvent mutuellement et
qu'à partir de ce moment n'importe quel utilisateur d'un domaine peut accéder aux ressources de
l'autre domaine.
AMEB Page 5 07/05/2016
La transitivité : ce terme fait référence à la notion mathématique au sens propre du terme, c'est à
dire que si un domaine A approuve un domaine B et que le domaine B approuve lui même un
domaine C et bien alors implicitement le domaine A approuvera le domaine C ! Toutes les relations
d'approbations ne sont pas forcément transitives. C'est ce que nous allons voir.
Représentation : il est important de savoir identifier sur un schéma une relation d'approbation. Tout
d'abord elle relie forcément deux domaines (représenté sous forme d'un triangle) ou alors deux forêts
comme nous le verrons dans certains cas. En effet une relation est représentée par une flèche reliant
les entités qui s'approuvent ! Le sens de la flèche nous informe si cette relation est unidirectionnelle
(dans un seul sens) ou bidirectionnelle (dans les deux sens).
De plus il faut savoir que nous allons gérer toutes ces relations grâce à une console des outils d'administration
intitulée : Domaines et Approbations Active Directory, mais qu'à chaque nouvelle relation (prédéfinies ou
non), un objet TDO pour Trust Domain Object est créé dans le container Système de la console Utilisateur et
Ordinateur Active Directory. ( Exemple ci dessous avec l'objet : Waryx.lan qui représente une relation
d'approbation de type Racine d'arborescence avec le domaine Anhinga.lan). A noter que pour faire apparaître
le container System dans la console Utilisateurs et Ordinateurs Active Directory il faut afficher les
paramètres avancés.
Il est important de noter que les relations d'approbation utilisent le protocole Kerberos V5 pour l'authentification
par défaut sur les machines sous Windows 2000 - Windows XP et Windows 2003. Si jamais le protocole n'est
pas supporté alors c'est le protocole NTLM qui sera utilisé.
Nous ne rentrerons pas en détail sur le principe de ces protocoles dans cet article par contre nous allons voir
quelles sont toutes les relations d'approbations qui existent ainsi que leurs propriétés c'est à dire à savoir si
elles sont unidirectionnelles ou bidirectionnelles et/ou transitives ou non...
AMEB Page 6 07/05/2016
2. Relations d'approbation prédéfinies
Maintenant que nous avons vu en détail les notions de domaines, arborescences et forêts, nous allons pouvoir
rentrer dans le vif du sujet, c'est à dire : les relations d'approbation !
Il faut savoir que lorsque vous gérez vos domaines dans votre forêt il y a certains cas (que nous allons citer
juste après) où des relations d'approbation entre les domaines se créent automatiquement sans que vous ayez
besoin de les configurer manuellement. Ces relations sont ce que l'on appelle des relations prédéfinies. Elle
sont bidirectionnelles et transitives.
Les relations d'approbation prédéfinies sont :
Parents/Enfants
Racine d'arborescence
2.1 Relations d'approbation : Parents/Enfants
Pour rappel, une relation d'approbation est un mécanisme permettant aux utilisateurs authentifiés dans leur
domaine de pouvoir accéder aux ressources d'un autre domaine.
Lorsque nous ajoutons un nouveau domaine enfant à un domaine déjà existant (dans notre exemple nous
ajoutons le domaine enfant "europe" au domaine "waryx.lan"), et bien il se configure automatiquement une
relation d'approbation transitive bidirectionnelle entre les deux domaines.
Pour pouvoir visualiser cette relation d'approbation nous avons plusieurs outils à notre disposition. Comme à
chaque fois ou presque, il existe sous Windows Server 2003 une console dans les outils d'administration nous
permettant d'effectuer notre travail. Dans notre cas cette console s'appelle : Domaines et Approbations
Active Directory.
Vous pouvez lancer cette console soit en allant dans le menu Démarrer / Outils d'administration / Domaines et
Approbations Active Directory ou alors en tapant dans le menu Exécuter : "domain.msc" (sans les guillemets).
AMEB Page 7 07/05/2016
Une fois ouverte, cette console nous présente l'architecture de notre réseau avec son arborescence, qui dans
notre cas est seulement constituée de deux domaines, ce qui est très simple!
Faisons un clique droit sur le domaine "waryx.lan" puis dans le menu cliquons sur "Propriétés", puis allons
dans l'onglet "Approbations" :
Nous voyons qu'une relation d'approbation de type "Enfant" existe et qu'elle est bidirectionnelle (puisqu'elle
apparaît dans le cadre "Approbations Sortantes" ainsi que dans le cadre "Approbations Entrantes" et de
plus elle est transitive !
AMEB Page 8 07/05/2016
Si nous sélectionnons l'une des deux relations et que nous cliquons sur "Propriétés", l'écran suivant s'affiche
nous résumant ainsi les caractéristiques de cette relation :
AMEB Page 9 07/05/2016
Si nous cliquons dans l'onglet Approbations des propriétés du domaine "europe.waryx.lan" au lieu du domaine
"waryx.lan" nous verrons que la même relation existe mais est simplement définie avec le type "Parent" au lieu
du type "Enfant" comme vu précédemment ! Les caractéristiques restant exactement les même bien
évidemment !
Pour pouvoir créer cette nouvelle relation d'approbation Parent/Enfant vous devez être membre du groupe
"Admins du domaine" (du domaine parent bien évidemment) ou alors membre du groupe "Enterprise
Admins".
2.2 Relations d'approbation : Racine d'arborescence
Voyons maintenant, le deuxième type de relation d'approbation prédéfinie c'est à dire les relations entre les
racines de chaque arborescence avec la racine de la forêt !
La racine de la forêt correspond au premier domaine que vous créez dans une nouvelle forêt. Chaque domaine
racine d'arborescence rajouté à la forêt, créé automatiquement une relation d'approbation entre cette racine et
celle de la forêt. Nous allons donc pour notre exemple créer une nouvelle arborescence dans la même forêt
intitulée : "Anhinga.lan".
AMEB Page 10 07/05/2016
Comme expliqué plus haut, cette relation n'est pas créée manuellement, mais rajoutée automatiquement une
fois que l'installation du nouveau contrôleur de domaine est finie. Regardons maintenant les propriétés des
domaines "Waryx.lan" et "Anhinga.lan". Nous voyons que le type de l'approbation est intitulé : "Racine
d'arborescence".
Cette relation étant transitif comme la relation Parent/Enfant, si l'on rajoute une nouvelle arborescence (par
exemple "Cassican.lan") dans la même forêt, nous aurons donc une relation Racine avec "Waryx.lan" (Racine
de la forêt) et donc les domaines "Anhinga.lan" et "Cassican.lan" s'approuveront mutuellement. De plus
comme toutes les relations prédéfinies elle est bidirectionnelle.
Cliquons sur l'une des relation et affichons ses propriétés :
AMEB Page 11 07/05/2016
Une dernière chose importante à retenir c'est qu'il est impossible de révoquer une relation d'approbation
prédéfinie contrairement aux autres relations que nous allons étudier !
Maintenant que nous avons fait le tour des relations prédéfinies, nous allons pousser un peu plus loin le sujet
afin de créer et configurer nos propres relations d'approbation...
3. Approbations raccourcis
Nous rentrons dans une nouvelle partie puisqu'il ne s'agît plus de relation prédéfinies créées automatiquement
mais de relations créées manuellement afin d'améliorer la qualité du réseau et surtout de faire gagner du temps
aux utilisateurs. C'est le cas de la relation d'approbation raccourcis.
Il faut savoir qu'avant de pouvoir accéder à un domaine distant sur lequel nous souhaitons profiter des
ressources, Windows calcule "le chemin d'approbation" entre le DC (Contrôleur de Domaine) source (celui
auquel appartient le compte) et le domaine cible (celui avec les ressources auxquelles on veut accéder). Le
chemin d'approbation représente tout simplement la liste de toutes les relations d'approbation que la sécurité de
Windows doit traverser afin de permettre à un utilisateur de s'authentifier. Il arrive souvent, dans le cas de
structure Active Directory complexe, c'est à dire une forêt composé de nombreuses arborescences avec
plusieurs domaines, que le calcul du chemin d'approbation puisse prendre un certain temps (plusieurs minutes).
Dans un soucis d'amélioration des qualités du réseau, il est possible de créer explicitement une relation
d'approbation raccourci entre deux domaines éloignés d'une même forêt.
Ces relations raccourcis sont par défaut des relations unidirectionnelles et transitives qui permettent de
diminuer la longueur du chemin d'approbation. Voyons le schéma de notre implémentation :
AMEB Page 12 07/05/2016
En noir sont représentées les relations d'approbations prédéfinies (vu précédemment). C'est à dire
d'une part la relation de type "Racine d'arborescence" entre les domaines Waryx.lan et Anhinga.lan,
et d'autre part des relations du type "Parents/Enfants" entre le domaine Waryx.lan et Sud.Waryx.lan
ainsi qu'entre les domaines Anhinga.lan et Sud.Anhinga.lan
En rouge est représenté la relation d'approbation de type "Raccourci" que nous avons créé entre les
deux domaines enfants Sud.Waryx.lan et Sud.Anhinga.lan.
Voyons maintenant la procédure à suivre pour créer cette relation :
1. Sur l'un des deux domaines enfants (soit Sud.Waryx.lan soit
Sud.Anhinga.lan) ouvrez la console "Domaine et
approbations Active Directory" dans les outils
d'administration. Nous avons donc la structure suivante :
2. Dans les propriétés Sud.Anhinga.lan,
cliquez sur l'onglet "Approbations". Nous
avons déjà étudié cet fenêtre dans le chapitre
précèdent, donc nous ne rentrerons pas dans
tous les détails.
Cependant nous allons cliquer sur le bouton
"Nouvelle approbation..." en bas de la
fenêtre !
3. Un assistant de lance alors. Celui vous indique que vous pourrez créer trois type de relation d'approbation :
De ce domaine vers un autre domaine Windows de cette forêt (c'est notre cas ici) ou d'une autre
forêt (c'est ce que nous verrons dans la prochaine partie avec les relations inter forêts)
De ce domaine vers un domaine Windows NT 4.0 (nous n'étudierons pas ce cas d'étude)
AMEB Page 13 07/05/2016
Une approbation de domaine Kerberos V5 (Cf dernière partie de l'article)
Nous n'avons pas d'autre choix que de cliquer sur "Suivant" pour le moment...
4. Maintenant l'écran suivant nous demande de rentrer le nom d'un domaine, d'une forêt ou d'un domaine
Kerberos. Si nous souhaitons créer une relation inter forêt il faudra obligatoirement entrer un nom DNS. Nous
complèterons quand même le champs par le nom DNS de Sud.Waryx.lan. C'est le nom que nous rentro...