Yonel Grusson 1

Les gestionnaires de réseau(L'offre Microsoft).

Mise en place d'un domaine(Aspects théoriques).

Server

Yonel Grusson 2

Les différents modes de fonctionnement d’un réseau

Le réseau

Système Multiposte

Système Client-Serveur

Système Poste à Poste

Yonel Grusson 3

Le réseau

Interconnexion

Yonel Grusson 4

Le réseau

Un réseau est plus qu'une simple interconnexion de machines sans rôle prédéfini. L’interconnexion matérielle est assurée par un réseau local (Ethernet par exemple) ou étendu. Cet aspect matériel ne prend un sens qu'avec l'installation et l'utilisation d'un gestionnaire de réseau (logiciel) qui va donner à chaque machine un comportement vis à vis des autres machines.

Yonel Grusson 5

L'un des problèmes central de l'utilisation des ressources proposées par un réseau est l'authentification.

Cette authentification, c'est à dire le droit d'utiliser la ressource, se fait le plus souvent par l'intermédiaire d'un login et d'un mot de passe.

Le réseau

Yonel Grusson 6

Historiquement le plus ancien, il est composé :

De terminaux passifs ou plus généralement de micro-ordinateurs émulant un terminal (VT200, etc.). Ces terminaux n’ont aucune puissance de calcul. Cette dernière est mise en oeuvre par…

Le système multiposte

Yonel Grusson 7

«L’unité centrale», ordinateur puissant qui effectue tous les traitements.

Le système Terminal/Server (TSE par exemple) qui paraît correspondre à ce principe de fonctionnement (traitement assuré par le serveur), ce rapproche plus du modèle client/serveur ; le client possède dans ce cas une certaine puissance de traitement.

Le système multiposte

Yonel Grusson 8

Le système multiposte

Terminal

“Unité centrale”

Réseau

Terminal

Terminal

TerminalTerminal

Terminal

TerminalTerminal

Terminal

Yonel Grusson 9

Dans ce système, chaque utilisateur s'authentifie auprès de "l'unité centrale" qu'il désire utiliser.

Le système multiposte

Yonel Grusson 10

Système Client/ServeurLe "comportement" actuellement le plus répandu est le

modèle Client/Serveur.

RéseauClient Serveur

• Le client envoie une requête – Le serveur répond à la requête.

• Ce sont avant tout des notions logiques ("soft"). On parlera d'applications clientes et d'applications serveurs. Ces 2 applications peuvent être sur la même machine mais généralement les machines sont spécialisées. Les applications serveurs sont sur des machines appelées serveurs

Yonel Grusson 11

Système Client/Serveur

De Baeriswyl Philippe

ClientClient

Communications server

Serveur de Base de Données Serveur de

FichiersServeur de messagerie

Serveur d'impression

vers WAN, autres LANs et serveurs

Client ClientClient

Réseau

Yonel Grusson 12

Dans ce système, chaque utilisateur s'authentifie auprès de l'application serveur (Oracle, IIS, SQL-Server, etc.).

Dans le cas de Microsoft, cette authentification est parfois précédée d'une authentification auprès d'un domaine.

Système Client/Serveur

Yonel Grusson 13

Système Poste à PosteDans un réseau poste à poste les machines du réseau sont à la fois client et serveur (généralement serveur de fichiers et d’imprimantes)

Client etServeur

Client etServeur

Client etServeur

Client etServeur

Yonel Grusson 14

Système Poste à Poste

Dans ce système, chaque poste doit être configuré pour être en mesure d'authentifier toutes les demandes d'utilisateurs pouvant provenir de n'importe quel poste.Des postes Microsoft non rattachés à un domaine forment un réseau de cette catégorie. Que ce soit avec Windows 200x ou XP une machine peut partager son disque, ses fichiers, ses imprimantes, ses applications (notion de WorkGroup).

Yonel Grusson 15

Notion de Domaine

Un domaine sera l'organisation d'un réseau avec une gestion centralisée de l'authentification. Au lieu d'avoir une base de comptes identique répliquée sur tous les postes, le domaine propose une seule base de comptes. Les postes s'authentifient alors auprès du serveur détenant cette base de comptes.

Yonel Grusson 16

L'offre S.E Réseau (NOS)

Unix, la plus ancienne.Windows NT et 200x de Microsoft, avec plus

de la moitié du marché. Linux (Red Hat, Suse,Mandriva, Debian…),

avec une part du marché en progression sur les serveurs (robustesse d'Unix, produits Apache et Samba).

BSD (Berkeley Software Distribution)Netware de Novell, part de marché en baisse

(reprise possible avec le passage sous Linux).

Yonel Grusson 17

D'autres offres…

Apple Share d'Apple.IBM LAN Server

Basé sur OS/2 (suite de LanManager).Banyan VINES - Basé sur UNIX.Artisoft LANtastic.Netscape server products.etc.

Yonel Grusson 18

NOS, Protocoles et Modèle OSI

NetWare applicationNetWare

applicationWindows NT application

Windows NT application

Oth

er

app

licat

ion

s

TC

P/IP

Ap

plic

atio

ns

Ap

ple

Tal

k st

ack

Ap

ple

Tal

k st

ack

Ap

ple

Tal

k st

ack

Ap

ple

Tal

k st

ack

UNIX application

UNIX application

NFS, TCP/IP, proprietary applications

NFS, TCP/IP, proprietary applications

AppleShare applicationAppleShare application

AppleShare file service

AppleShare file service

ATFPATFP

ATSPATSP

TPTP

DDPDDP

OSI

77

66

55

44

33

22

11

TCP or

UDP

IP

NetBIOS

SPX

IPX

TCP or

UDP

IP

SPX

IPX

TCP or

UDP

IP

TCP or

UDP

IPNet

BE

UI

Ap

ple

Tal

k st

ack

NCP

SMB

UNIX NetWare Windows NT Server AppleShare

De Baeriswyl Philippe

Yonel Grusson 19

L'offre Microsoft

Préhistoire : Collaboration Microsoft/IBM pour LanManager sous OS2.

1993 Windows NT 3.51 (reprise d'OS/2)

Interface type Windows 31996 Windows NT 4.0 (système encore utilisé)

Interface type Windows 95

Yonel Grusson 20

L'offre Microsoft1999 - Windows 2000 (Professionnel – Serveur)

Interface type Windows 98Apparition de l'Active Directory

2002 - XP (Professionnel - Familial)2003 - Windows 2003 Serveur

Interface type Windows XPAmélioration de Windows 2000.

2006 – Vista 2008 – Serveur 2008

Yonel Grusson 21

L'offre Microsoft

D'autres part, les produits Microsoft peuvent être "packagés" pour être spécialisés. Par exemple la gamme 2000 se décompose de la façon suivante : Windows 2000 professionnel Windows 2000 Server Windows Advanced Server (version server

pouvant gérer 8 processeurs et une Mémoire de 8 Go + le Clustering)

Windows Datacenter Server (version server pouvant gérer 32 processeurs et une Mémoire de 64 Go)

Yonel Grusson 22

Parallèlement à ses systèmes d'exploitation serveurs, Microsoft propose de nombreuses "applications serveurs" :

• SQL Server

• Exchange

• IIS

• Update Server

• Etc.

L'offre Microsoft

Yonel Grusson 23

Un domaine Windows 2000 ou 2003 est avant tout une entité de sécurité. Les membres du domaine s'authentifient auprès d'un contrôleur de domaine.

Les membres authentifiés pourront utilisés, dans la limite des droits qui leur sont accordés, les ressources proposées par les serveurs de ce domaine.

Mise en place d'un Domaine

Yonel Grusson 24

La création d'un domaine Windows 2000 ou 2003 passe par l'installation : D'un annuaire appelé par Microsoft

"Active Directory" D'un serveur DNS

(Le serveur DHCP n'est pas nécessaire dans un premier temps)

Mise en place d'un Domaine

Yonel Grusson 25

Mise en place d'un Domaine

L'authentification des utilisateurs par un domaine est faite grâce au protocole de sécurité Kerberos.

Yonel Grusson 26

Service d'Annuaire

Un annuaire est une source d'informations utilisée pour stocker des informations sur des objets. Par exemple : Un annuaire téléphonique permet

d'obtenir des informations sur des abonnés.

Dans un système de fichiers, le répertoire (l'annuaire) contient des informations sur les fichiers.

Yonel Grusson 27

L'interconnexion des machines à l'aide d'un réseau et l'interconnexion des réseaux eux-mêmes amène l'apparition de nombreux objets : utilisateurs, ordinateurs, imprimantes, partages, serveurs, etc.

Dés 1988, l'ISO s'intéresse à ce concept au travers de la norme X500 (étendue en 1993)

Service d'Annuaire

Yonel Grusson 28

Les services d'annuaires repose sur certains protocoles : LDAP (Lightweight Directory Access

protocol) version allégée (lightweight) de DAP X500. Ce protocole permet à un utilisateur d'accéder à un annuaire.

DSP (Directory System Protocol) Ce protocole permet aux annuaires de "dialoguer" (annuaire réparti)

Service d'Annuaire

Yonel Grusson 29

Les services d'annuaires repose sur certains protocoles : DISP (Directory Information

Shadowing Protocol) permet la réplication des annuaires

Service d'Annuaire

Yonel Grusson 30

Service d'Annuaire

Client de l'annuaire

ServeurAnnuaire

A

ServeurAnnuaire

C

ServeurAnnuaire

B

LDAP

DISP

DSP DISP

DSP

DISP

DSP

Yonel Grusson 31

L'annuaire est la source d'information

(en général une base de données objets).

Le service (serveur) d'annuaire quant à

lui permet de gérer et d'accéder à ces

informations.

Service d'Annuaire

Yonel Grusson 32

Le Serveur DNS

Le serveur DNS (Domain Name System) permettra de mettre en relation un nom symbolique ( par exemple : infosrv.tsinfo.ab) et une adresse IP

(Voir cours pour plus de détail)

Yonel Grusson 33

Depuis Windows 2000, l'authentification et les sécurités d'accès à un serveur Microsoft sont gérés par un protocole d’authentification réseau à clé secrète développé par le MIT : Kerberos.

Le système d'authentification NT nommé "stimulation/réponse NTLM (NT Lan Manager)" est toujours actif sur les serveurs 2000 afin d'authentifier les stations (NT, 95 et 98) et les serveurs NT.

Le Protocole Kerberos

Yonel Grusson 34

Kerberos est un protocole d'authentification qui fonctionne sur le principe du tiers de confiance. Il permet à une entité nommée principal de sécurité (utilisateur, ordinateur, groupe, programme) d'obtenir un moyen sûr de s'identifier auprès des autres principaux du réseau.Kerberos n'autorise pas, il authentifie uniquement.

Le Protocole Kerberos

Yonel Grusson 35

Kerberos : Repose sur l'utilisation d'une clé privée

(dérivée du mot de passe pour un utilisateur) et utilise l'algorithme de cryptage DES (Data Encryption Standard).

Possède une base de données pour maintenir la correspondance Client/Clé_privée. Cette clé est connue seulement du client et de Kerberos (=tiers de confiance). L'usage de la clé est limité dans le temps.

Le Protocole Kerberos

Yonel Grusson 36

Le système met en jeu 3 acteurs :

Le serveur Kerberos ou Key Distribution Center (KDC). Gère la base de donnée des principaux de sécurité et les clés associées.

Les serveurs qui fournissent des services (telnet, ftp, etc…)

Le Protocole Kerberos

Yonel Grusson 37

Les clients (utilisateurs ou programmes). Entités pouvant obtenir un ticket pour utiliser ces services.Un client pour accéder aux services d'un serveur X devra utiliser le serveur Kerberos (tiers de confiance) pour s'identifier auprès du serveur X.

Le Protocole Kerberos

Yonel Grusson 38

Étape 1 : Obtention d'un TGT (Ticket

Granting Ticket – ou – Ticket d'octroi de Ticket).

Client Kerberos

Serveur Kerberos

KDC

1 - Le client Kerberos (par l'intermédiaire de l'utilitaire Kinit) se connecte au serveur Kerberos au moyen de sa clé

1

Le Protocole Kerberos

Yonel Grusson 39

Client Kerberos

Serveur Kerberos

KDC

1

2

2 - Le client Kerberos reçoit un TGT comme confirmation de son authentification. Le TGT permettra au client d'obtenir des tickets pour les services.

Le Protocole Kerberos

Yonel Grusson 40

Étape 2 : Obtention et utilisation d'un ST (Service Ticket – ou – Ticket de service).

Client Kerberos

Serveur Kerberos

KDC

3

3 – Avec son TGT, le client Kerberos demande un ticket pour s'authentifier auprès d'un service.

Le Protocole Kerberos

Yonel Grusson 41

Client Kerberos

Serveur Kerberos

KDC

3

5 – Le client utilise son ticket pour utiliser le service visé.

Serveur5

4

4 – Le client obtient son ticket

Le Protocole Kerberos