Upload
eliot
View
38
Download
0
Embed Size (px)
DESCRIPTION
Server. Les gestionnaires de réseau (L'offre Microsoft). Mise en place d'un domaine (Aspects théoriques). Les différents modes de fonctionnement d’un réseau. Le réseau Système Multiposte Système Client-Serveur Système Poste à Poste. Interconnexion. Le réseau. Le réseau. - PowerPoint PPT Presentation
Citation preview
Yonel Grusson 1
Les gestionnaires de réseau(L'offre Microsoft).
Mise en place d'un domaine(Aspects théoriques).
Server
Yonel Grusson 2
Les différents modes de fonctionnement d’un réseau
Le réseau
Système Multiposte
Système Client-Serveur
Système Poste à Poste
Yonel Grusson 3
Le réseau
Interconnexion
Yonel Grusson 4
Le réseau
Un réseau est plus qu'une simple interconnexion de machines sans rôle prédéfini. L’interconnexion matérielle est assurée par un réseau local (Ethernet par exemple) ou étendu. Cet aspect matériel ne prend un sens qu'avec l'installation et l'utilisation d'un gestionnaire de réseau (logiciel) qui va donner à chaque machine un comportement vis à vis des autres machines.
Yonel Grusson 5
L'un des problèmes central de l'utilisation des ressources proposées par un réseau est l'authentification.
Cette authentification, c'est à dire le droit d'utiliser la ressource, se fait le plus souvent par l'intermédiaire d'un login et d'un mot de passe.
Le réseau
Yonel Grusson 6
Historiquement le plus ancien, il est composé :
De terminaux passifs ou plus généralement de micro-ordinateurs émulant un terminal (VT200, etc.). Ces terminaux n’ont aucune puissance de calcul. Cette dernière est mise en oeuvre par…
Le système multiposte
Yonel Grusson 7
«L’unité centrale», ordinateur puissant qui effectue tous les traitements.
Le système Terminal/Server (TSE par exemple) qui paraît correspondre à ce principe de fonctionnement (traitement assuré par le serveur), ce rapproche plus du modèle client/serveur ; le client possède dans ce cas une certaine puissance de traitement.
Le système multiposte
Yonel Grusson 8
Le système multiposte
Terminal
“Unité centrale”
Réseau
Terminal
Terminal
TerminalTerminal
Terminal
TerminalTerminal
Terminal
Yonel Grusson 9
Dans ce système, chaque utilisateur s'authentifie auprès de "l'unité centrale" qu'il désire utiliser.
Le système multiposte
Yonel Grusson 10
Système Client/ServeurLe "comportement" actuellement le plus répandu est le
modèle Client/Serveur.
RéseauClient Serveur
• Le client envoie une requête – Le serveur répond à la requête.
• Ce sont avant tout des notions logiques ("soft"). On parlera d'applications clientes et d'applications serveurs. Ces 2 applications peuvent être sur la même machine mais généralement les machines sont spécialisées. Les applications serveurs sont sur des machines appelées serveurs
Yonel Grusson 11
Système Client/Serveur
De Baeriswyl Philippe
ClientClient
Communications server
Serveur de Base de Données Serveur de
FichiersServeur de messagerie
Serveur d'impression
vers WAN, autres LANs et serveurs
Client ClientClient
Réseau
Yonel Grusson 12
Dans ce système, chaque utilisateur s'authentifie auprès de l'application serveur (Oracle, IIS, SQL-Server, etc.).
Dans le cas de Microsoft, cette authentification est parfois précédée d'une authentification auprès d'un domaine.
Système Client/Serveur
Yonel Grusson 13
Système Poste à PosteDans un réseau poste à poste les machines du réseau sont à la fois client et serveur (généralement serveur de fichiers et d’imprimantes)
Client etServeur
Client etServeur
Client etServeur
Client etServeur
Yonel Grusson 14
Système Poste à Poste
Dans ce système, chaque poste doit être configuré pour être en mesure d'authentifier toutes les demandes d'utilisateurs pouvant provenir de n'importe quel poste.Des postes Microsoft non rattachés à un domaine forment un réseau de cette catégorie. Que ce soit avec Windows 200x ou XP une machine peut partager son disque, ses fichiers, ses imprimantes, ses applications (notion de WorkGroup).
Yonel Grusson 15
Notion de Domaine
Un domaine sera l'organisation d'un réseau avec une gestion centralisée de l'authentification. Au lieu d'avoir une base de comptes identique répliquée sur tous les postes, le domaine propose une seule base de comptes. Les postes s'authentifient alors auprès du serveur détenant cette base de comptes.
Yonel Grusson 16
L'offre S.E Réseau (NOS)
Unix, la plus ancienne.Windows NT et 200x de Microsoft, avec plus
de la moitié du marché. Linux (Red Hat, Suse,Mandriva, Debian…),
avec une part du marché en progression sur les serveurs (robustesse d'Unix, produits Apache et Samba).
BSD (Berkeley Software Distribution)Netware de Novell, part de marché en baisse
(reprise possible avec le passage sous Linux).
Yonel Grusson 17
D'autres offres…
Apple Share d'Apple.IBM LAN Server
Basé sur OS/2 (suite de LanManager).Banyan VINES - Basé sur UNIX.Artisoft LANtastic.Netscape server products.etc.
Yonel Grusson 18
NOS, Protocoles et Modèle OSI
NetWare applicationNetWare
applicationWindows NT application
Windows NT application
Oth
er
app
licat
ion
s
TC
P/IP
Ap
plic
atio
ns
Ap
ple
Tal
k st
ack
Ap
ple
Tal
k st
ack
Ap
ple
Tal
k st
ack
Ap
ple
Tal
k st
ack
UNIX application
UNIX application
NFS, TCP/IP, proprietary applications
NFS, TCP/IP, proprietary applications
AppleShare applicationAppleShare application
AppleShare file service
AppleShare file service
ATFPATFP
ATSPATSP
TPTP
DDPDDP
OSI
77
66
55
44
33
22
11
TCP or
UDP
IP
NetBIOS
SPX
IPX
TCP or
UDP
IP
SPX
IPX
TCP or
UDP
IP
TCP or
UDP
IPNet
BE
UI
Ap
ple
Tal
k st
ack
NCP
SMB
UNIX NetWare Windows NT Server AppleShare
De Baeriswyl Philippe
Yonel Grusson 19
L'offre Microsoft
Préhistoire : Collaboration Microsoft/IBM pour LanManager sous OS2.
1993 Windows NT 3.51 (reprise d'OS/2)
Interface type Windows 31996 Windows NT 4.0 (système encore utilisé)
Interface type Windows 95
Yonel Grusson 20
L'offre Microsoft1999 - Windows 2000 (Professionnel – Serveur)
Interface type Windows 98Apparition de l'Active Directory
2002 - XP (Professionnel - Familial)2003 - Windows 2003 Serveur
Interface type Windows XPAmélioration de Windows 2000.
2006 – Vista 2008 – Serveur 2008
Yonel Grusson 21
L'offre Microsoft
D'autres part, les produits Microsoft peuvent être "packagés" pour être spécialisés. Par exemple la gamme 2000 se décompose de la façon suivante : Windows 2000 professionnel Windows 2000 Server Windows Advanced Server (version server
pouvant gérer 8 processeurs et une Mémoire de 8 Go + le Clustering)
Windows Datacenter Server (version server pouvant gérer 32 processeurs et une Mémoire de 64 Go)
Yonel Grusson 22
Parallèlement à ses systèmes d'exploitation serveurs, Microsoft propose de nombreuses "applications serveurs" :
• SQL Server
• Exchange
• IIS
• Update Server
• Etc.
L'offre Microsoft
Yonel Grusson 23
Un domaine Windows 2000 ou 2003 est avant tout une entité de sécurité. Les membres du domaine s'authentifient auprès d'un contrôleur de domaine.
Les membres authentifiés pourront utilisés, dans la limite des droits qui leur sont accordés, les ressources proposées par les serveurs de ce domaine.
Mise en place d'un Domaine
Yonel Grusson 24
La création d'un domaine Windows 2000 ou 2003 passe par l'installation : D'un annuaire appelé par Microsoft
"Active Directory" D'un serveur DNS
(Le serveur DHCP n'est pas nécessaire dans un premier temps)
Mise en place d'un Domaine
Yonel Grusson 25
Mise en place d'un Domaine
L'authentification des utilisateurs par un domaine est faite grâce au protocole de sécurité Kerberos.
Yonel Grusson 26
Service d'Annuaire
Un annuaire est une source d'informations utilisée pour stocker des informations sur des objets. Par exemple : Un annuaire téléphonique permet
d'obtenir des informations sur des abonnés.
Dans un système de fichiers, le répertoire (l'annuaire) contient des informations sur les fichiers.
Yonel Grusson 27
L'interconnexion des machines à l'aide d'un réseau et l'interconnexion des réseaux eux-mêmes amène l'apparition de nombreux objets : utilisateurs, ordinateurs, imprimantes, partages, serveurs, etc.
Dés 1988, l'ISO s'intéresse à ce concept au travers de la norme X500 (étendue en 1993)
Service d'Annuaire
Yonel Grusson 28
Les services d'annuaires repose sur certains protocoles : LDAP (Lightweight Directory Access
protocol) version allégée (lightweight) de DAP X500. Ce protocole permet à un utilisateur d'accéder à un annuaire.
DSP (Directory System Protocol) Ce protocole permet aux annuaires de "dialoguer" (annuaire réparti)
Service d'Annuaire
Yonel Grusson 29
Les services d'annuaires repose sur certains protocoles : DISP (Directory Information
Shadowing Protocol) permet la réplication des annuaires
Service d'Annuaire
Yonel Grusson 30
Service d'Annuaire
Client de l'annuaire
ServeurAnnuaire
A
ServeurAnnuaire
C
ServeurAnnuaire
B
LDAP
DISP
DSP DISP
DSP
DISP
DSP
Yonel Grusson 31
L'annuaire est la source d'information
(en général une base de données objets).
Le service (serveur) d'annuaire quant à
lui permet de gérer et d'accéder à ces
informations.
Service d'Annuaire
Yonel Grusson 32
Le Serveur DNS
Le serveur DNS (Domain Name System) permettra de mettre en relation un nom symbolique ( par exemple : infosrv.tsinfo.ab) et une adresse IP
(Voir cours pour plus de détail)
Yonel Grusson 33
Depuis Windows 2000, l'authentification et les sécurités d'accès à un serveur Microsoft sont gérés par un protocole d’authentification réseau à clé secrète développé par le MIT : Kerberos.
Le système d'authentification NT nommé "stimulation/réponse NTLM (NT Lan Manager)" est toujours actif sur les serveurs 2000 afin d'authentifier les stations (NT, 95 et 98) et les serveurs NT.
Le Protocole Kerberos
Yonel Grusson 34
Kerberos est un protocole d'authentification qui fonctionne sur le principe du tiers de confiance. Il permet à une entité nommée principal de sécurité (utilisateur, ordinateur, groupe, programme) d'obtenir un moyen sûr de s'identifier auprès des autres principaux du réseau.Kerberos n'autorise pas, il authentifie uniquement.
Le Protocole Kerberos
Yonel Grusson 35
Kerberos : Repose sur l'utilisation d'une clé privée
(dérivée du mot de passe pour un utilisateur) et utilise l'algorithme de cryptage DES (Data Encryption Standard).
Possède une base de données pour maintenir la correspondance Client/Clé_privée. Cette clé est connue seulement du client et de Kerberos (=tiers de confiance). L'usage de la clé est limité dans le temps.
Le Protocole Kerberos
Yonel Grusson 36
Le système met en jeu 3 acteurs :
Le serveur Kerberos ou Key Distribution Center (KDC). Gère la base de donnée des principaux de sécurité et les clés associées.
Les serveurs qui fournissent des services (telnet, ftp, etc…)
Le Protocole Kerberos
Yonel Grusson 37
Les clients (utilisateurs ou programmes). Entités pouvant obtenir un ticket pour utiliser ces services.Un client pour accéder aux services d'un serveur X devra utiliser le serveur Kerberos (tiers de confiance) pour s'identifier auprès du serveur X.
Le Protocole Kerberos
Yonel Grusson 38
Étape 1 : Obtention d'un TGT (Ticket
Granting Ticket – ou – Ticket d'octroi de Ticket).
Client Kerberos
Serveur Kerberos
KDC
1 - Le client Kerberos (par l'intermédiaire de l'utilitaire Kinit) se connecte au serveur Kerberos au moyen de sa clé
1
Le Protocole Kerberos
Yonel Grusson 39
Client Kerberos
Serveur Kerberos
KDC
1
2
2 - Le client Kerberos reçoit un TGT comme confirmation de son authentification. Le TGT permettra au client d'obtenir des tickets pour les services.
Le Protocole Kerberos
Yonel Grusson 40
Étape 2 : Obtention et utilisation d'un ST (Service Ticket – ou – Ticket de service).
Client Kerberos
Serveur Kerberos
KDC
3
3 – Avec son TGT, le client Kerberos demande un ticket pour s'authentifier auprès d'un service.
Le Protocole Kerberos
Yonel Grusson 41
Client Kerberos
Serveur Kerberos
KDC
3
5 – Le client utilise son ticket pour utiliser le service visé.
Serveur5
4
4 – Le client obtient son ticket
Le Protocole Kerberos