View
7
Download
0
Category
Preview:
Citation preview
La gestion centralisée des utilisateurs Slide 1
G.VALET – Version 1.11
Systèmes et réseaux
Gestion centralisée des utilisateurs
Formation aux réseaux
G. Valet – genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 2
Sommaire
n Dans ce chapitre, nous aborderons :· Définition d’un utilisateur et d’un groupe d’utilisateurs
· Authentification centralisée
· Protocole LDAP
· Infrastructures d’annuaire
· Open Ldap
· Active Directory
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 3
Qu’est-ce qu’un utilisateur ?
n Définition : Un utilisateur est un individu travaillant sur un ordinateur Par extension, un utilisateur se définit par une identité
numérique dans un système d’information· Un nom d’utilisateur / mot de passe
· Une empreinte biométrique· ...
■ La notion de compte utilisateur permet d’associer à la personne :· Un environnement de travail particulier (Logiciels,
paramétrages)
· Des droits d’accès aux ressources du système d’information
La gestion centralisée des utilisateurs Slide 4
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
Les types d’utilisateurs
n Personne physique :· Cas d’un individu associé au système d’information
n Administrateur:· C’est un utilisateur ayant des droits lui permettant de modifier le
paramétrage du système et d’accéder à des tâches d’administration
n Utilisateur système :· Associé à une fonction plus qu’à une personne physique.
· Exemple : Compte utilisateur autorisé à démarrer un programme en tâche de fond
La gestion centralisée des utilisateurs Slide 5
Et les groupes d’utilisateurs
n Il est parfois plus simple de regrouper les utilisateurs pour :· Définir des droits à tout un ensemble logique d’utilisateurs
· Exemple : Tous les utilisateurs du service comptabilité ont les droits permettant d’imprimer les fiches de paie
La gestion est plus efficace et évite un travail répétitif d’affectation d’un droit à un utilisateur
n Tout membre du groupe bénéficie des droits accordés au groupen Permet de distribuer les rôles au sein du système
· Opérateurs d’impression pour les imprimantes
· Administrateurs pour la maintenance ...
Systèmes et réseaux
Formation aux réseaux
G. Valet – genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 6
Permissions accordées à un utilisateur
n Exemple du système de fichier NTFS
Systèmes et réseaux
Formation aux réseaux
Répertoire ou fichier
Utilisateursou
groupes concernés
Permissions accordées
genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 7
Authentification d’un utilisateur
nL’authentification permet à l’utilisateur de fournir les informations nécessaires au système pour l’identifier· Nom d’utilisateur ou login
· Mot de passe
n Le mot de passe n’est pas stocké tel quel :
Systèmes et réseaux
Formation aux réseaux
clair »Mot de passe « en
Saisi par l’utilisateur
Cryptage ou Hachage· Par un algorithme
de cryptographie
Mot de passe cryptéou haché·Stocké dans un annuaire
ou une base de donnée
genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 8
Processus d’authentification
n Au niveau du système d’exploitation, le processus est le suivant :
Authentification réussie si les « credentials » sont égaux
Systèmes et réseaux
Saisi par l’utilisateur
Base de donnéesOu Annuaire
« Credentials » en clair
Cryptage/ Hachage
« Credentials »cryptés/haché
« Credentials »cryptés/haché
Formation aux réseaux
genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 9
Les systèmes multi-utilisateurs
nDans un système, plusieurs utilisateurs peuvent profiter des mêmes ressources simultanément
nUn système d’exploitation moderne permet un accès simultané à plusieurs utilisateurs· Aux ressources physiques : Imprimantes, Disque externe, ...
· A un même système de fichier local ou distant
n L’identification d’un utilisateur est alors centralisée· La gestion des données d’authentification est centralisée sur un ou
plusieurs serveurs/annuaires
· Organisation des utilisateurs et des machines en « forêt »
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 10
Pourquoi centraliser ?
n Sans une centralisation : 1 annuaire/bd par application
Bases de données d’authentification différentes
Systèmes et réseaux
Formation aux réseaux
G. Valet – genael.valet@diderot.org
Web·Serveurs
web intranet
Mail·Serveurs mail
de l’entreprise
Compta·Logiciels
de compta
Ordinateurs·PC du parc
informatique
La gestion centralisée des utilisateurs Slide 11
Système d’information avec authentification centralisée
n La centralisation permet de partager une base commune
Bases de données/Annuaire d’authentification unique
Systèmes et réseaux
Formation aux réseaux
G. Valet – genael.valet@diderot.org
ServicesWeb
· Mail· Web / Ftp
Organisation
· Compta· Ventes
Parcinformatique· Ordinateurs· Imprimantes/
Photocopieurs
La gestion centralisée des utilisateurs Slide 12
Authentification depuis un annuaire
n Chaque entreprise ou entité bénéficie d’un annuaire centralisén Toutes les requêtes d’authentification passent par l’annuaire
Systèmes et réseaux
Formation aux réseaux
G. Valet – genael.valet@diderot.org
La gestion centralisée des utilisateurs Slide 13
Le serveur d’annuaire LDAP
n LDAP : Lightweight Directory Access Protocol· Protocole réseau permettant l’accès à un annuaire
· Repose sur TCP/IP
nPar extension, LDAP est devenu une norme pour les systèmes d’annuaire· Structure hiérarchique en arbre permettant d’organiser tout le
système d’information
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
Branche Branche
dc=localrg
dc=coliniere
Unité d’organisation Objet
ou=Computers
ou=Groupes
ou=UtilisateursPeople
uid=toto
cn=DA01
cn=Profs
La gestion centralisée des utilisateurs Slide 14
Le « Distinguished Name »
n Chaque entrée possède un identifiant unique· Distinguished Name (DN)
· Exemple : « uid=toto, ou=Utilisateurs, dc=colinière, dc=local »
· Il permet de situer l’entrée au sein du modèle d’organisation
nCette entrée est unique et ne peut être dupliquée au sein du mêmeannuaire
nExemple :
DN
Systèmes et réseaux
Formation aux réseaux
ttribut « cn » Common Name
cn=DA01 ou=Computers dc=coliniere dc=local
Organisational Unit
Attribut « ou » Domain
Componet
Attribut « dc »
genael.valet@diderot.org
Domain Componet
Attribut « dc »
La gestion centralisée des utilisateurs Slide 15
Structure d’un annuaire LDAP
Systèmes et réseaux
Formation aux réseaux
nChaque entrée de l’annuaire est composée d’un ensemble d’attributs· Chaque attribut possède un nom, un type et une ou plusieurs
valeurs· Exemple
:
Attribut
Attribut
G. Valet – genael.valet@diderot.org
Valeur
Plusieurvaleurs
Caractéristiques d’un annuaire
n Caractérisé par un ou plusieurs schémas LDAP· Un schéma définit la structure hiérarchique et les attributs disponibles
n Contient des index· Ils permettent d’effectuer des recherches plus rapides
n L’organisation d’un annuaire est hiérarchique· Il contient des entités ou des objets sous la forme de
· Personnes (Les utilisateurs)· Ressources (Ordinateurs, imprimantes, ...)· Unités d’organisations (Compta, Marketing, ...)
n L’accès à distance est possible pour toute recherche· Possibilité de sécuriser l’accès à l’annuaire
L’annuaire peut être répliqué pour éviter toute perte de données
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
Systèmes et réseauxLa gestion centralisée des utilisateurs Slide 17
Open LDAP
Formation aux réseaux
genael.valet@diderot.org
n n Implémentation libre du protocole LDAP
· Pour tout système d’exploitation : Linux, Windows, Max Osx, ...· Très utilisé dans le monde de l’Unix/Linux
n Le serveur OpenLdap est accessible depuis le réseau· Le serveur se nomme « slapd » (d comme démon)· En écoute sur le port 389
n Il peut servir à de multiples applications :· Authentification Unix/Linux ou authentification Windows (via
SAMBA)· Authentification depuis toute application qui gère le protocole LDAP
· Serveur Mail (Pour authentifier les adresses emails)· Serveur web (Pour authentifier les utilisateurs du web)
n http://www.openldap.org
Formation aux réseaux
genael.valet@diderot.org
Systèmes et réseauxLa gestion centralisée des utilisateurs Slide 18
n Microsoft a développé son propre modèle d’annuairenActive directory est un service d’annuaire utilisé pour stocker
des informations relatives aux ressources réseaux d’un domaine
n AD est utilisé pour l’infrastructure serveur de Microsoft· Windows 2003/2008 serveur
n Organisé en «forêts »· Chaque forêt possède un ou plusieurs domaines
Active Directory (AD)
La gestion centralisée des utilisateurs Slide 19
Structure AD (suite)
n Les forêts AD sont organisées autour des éléments suivants :
Systèmes et réseaux
Formation aux réseaux
G. Valet – genael.valet@diderot.org
Wan
Serveur membre ou contrôleur de domaine
Objet conteneur utilisé pour organiser les
Ensemble d’ordinateurs/d’utilisateurs qui
objets au sein d’un domaine (Exemple :
Possibilité d’organiser différents sous-
partagent la même base de donnée
Utilisateurs ou groupe d’utilisateurs
Service _ compta, direction, ...)
d’annuaire
La gestion centralisée des utilisateurs Slide 20
Conclusion
n La gestion centralisée des utilisateurs permet :· Une gestion cohérente des utilisateurs sur un ensemble
d’applications, de domaines, de parc informatique
n Cette gestion est réalisée avec un annuaire· L’annuaire centralise toutes les informations sur
· Les utilisateurs et les groupes d’utilisateurs· Les machines
· Tout autre ressource
n Le protocole standard est LDAPn Les 2 approches de la notion d’annuaire sur la marché sont :
· OpenLdap (+Samba ou autre) sous Unix/Linux
· Active Directory de Microsoft
Systèmes et réseaux
Formation aux réseaux
genael.valet@diderot.org
Recommended