Les gestionnaires de réseau (L'offre Microsoft). Mise en place d'un domaine (Aspects théoriques)

Les gestionnaires de réseau(L'offre Microsoft).

Mise en place d'un domaine(Aspects théoriques).

1

Server

LES DIFFÉRENTS MODES DE FONCTIONNEMENT D’UN

RÉSEAU

Le réseauSystème MultiposteSystème Client-ServeurSystème Poste à Poste

2

LE RÉSEAU

3

Interconnexion

LE RÉSEAUY

onel Grusson

4

Un réseau est plus qu'une simple interconnexion de machines sans rôle prédéfini. L’interconnexion matérielle est assurée par un réseau local (Ethernet par exemple) ou étendu. Cet aspect matériel ne prend un sens qu'avec l'installation et l'utilisation d'un gestionnaire de réseau (logiciel) qui va donner à chaque machine un comportement vis à vis des autres machines.

LE RÉSEAU

L'un des problèmes central de l'utilisation des ressources proposées par un réseau est l'authentification.

Cette authentification, c'est à dire le droit d'utiliser la ressource, se fait le plus souvent par l'intermédiaire d'un login et d'un mot de passe.

5

LE SYSTÈME MULTIPOSTE

Historiquement le plus ancien, il est composé : De terminaux passifs ou plus généralement de micro-

ordinateurs émulant un terminal (VT200, etc.). Ces terminaux n’ont aucune puissance de calcul. Cette dernière est mise en oeuvre par…

6


«L’unité centrale», ordinateur puissant qui effectue tous les traitements.

Le système Terminal/Server (TSE par exemple) qui paraît correspondre à ce principe de fonctionnement (traitement assuré par le serveur), ce rapproche plus du modèle client/serveur ; le client possède dans ce cas une certaine puissance de traitement.

7


8

Terminal

“Unité centrale”

Réseau

Terminal

Terminal

TerminalTerminal

Terminal

TerminalTerminal

Terminal


Dans ce système, chaque utilisateur s'authentifie auprès de "l'unité centrale" qu'il désire utiliser.

9

SYSTÈME CLIENT/SERVEUR

10

Le "comportement" actuellement le plus répandu est le

modèle Client/Serveur.

RéseauClient Serveur

• Le client envoie une requête – Le serveur répond à la requête.

• Ce sont avant tout des notions logiques ("soft"). On parlera d'applications clientes et d'applications serveurs. Ces 2 applications peuvent être sur la même machine mais généralement les machines sont spécialisées. Les applications serveurs sont sur des machines appelées serveurs


11

De Baeriswyl Philippe

ClientClient

Communications server

Serveur de Base de Données Serveur de

FichiersServeur de messagerie

Serveur d'impression

vers WAN, autres LANs et serveurs

Client ClientClient

Réseau


Dans ce système, chaque utilisateur s'authentifie auprès de l'application serveur (Oracle, IIS, SQL-Server, etc.).

Dans le cas de Microsoft, cette authentification est parfois précédée d'une authentification auprès d'un domaine.

12

SYSTÈME POSTE À POSTE

13

Dans un réseau poste à poste les machines du réseau sont à la fois client et serveur (généralement serveur de fichiers et d’imprimantes)

Client etServeur

Client etServeur

Client etServeur

Client etServeur

SYSTÈME POSTE À POSTE

14

Dans ce système, chaque poste doit être configuré pour être en mesure d'authentifier toutes les demandes d'utilisateurs pouvant provenir de n'importe quel poste.Des postes Microsoft non rattachés à un domaine forment un réseau de cette catégorie. Que ce soit avec Windows 200x ou XP une machine peut partager son disque, ses fichiers, ses imprimantes, ses applications (notion de WorkGroup).

NOTION DE DOMAINE

15

Un domaine sera l'organisation d'un réseau avec une gestion centralisée de l'authentification. Au lieu d'avoir une base de comptes identique répliquée sur tous les postes, le domaine propose une seule base de comptes. Les postes s'authentifient alors auprès du serveur détenant cette base de comptes.

L'OFFRE S.E RÉSEAU (NOS)Unix, la plus ancienne.Windows NT et 200x de Microsoft,

avec plus de la moitié du marché. Linux (Red Hat, Suse,Mandriva,

Debian…), avec une part du marché en progression sur les serveurs (robustesse d'Unix, produits Apache et Samba).

BSD (Berkeley Software Distribution)Netware de Novell, part de marché

en baisse (reprise possible avec le passage sous Linux). 16

D'AUTRES OFFRES…

Apple Share d'Apple. IBM LAN Server

Basé sur OS/2 (suite de LanManager). Banyan VINES - Basé sur UNIX. Artisoft LANtastic. Netscape server products. etc.

17

NOS, PROTOCOLES ET MODÈLE OSI

18

NetWare applicationNetWare

applicationWindows NT application

Windows NT application

Oth

er

app

licat

ion

s

TC

P/IP

Ap

plic

atio

ns

Ap

ple

Tal

k st

ack

Ap

ple

Tal

k st

ack

Ap

ple

Tal

k st

ack

Ap

ple

Tal

k st

ack

UNIX application

UNIX application

NFS, TCP/IP, proprietary applications

NFS, TCP/IP, proprietary applications

AppleShare applicationAppleShare application

AppleShare file service

AppleShare file service

ATFPATFP

ATSPATSP

TPTP

DDPDDP

OSI

77

66

55

44

33

22

11

TCP or

UDP

IP

NetBIOS

SPX

IPX

TCP or

UDP

IP

SPX

IPX

TCP or

UDP

IP

TCP or

UDP

IPNet

BE

UI

Ap

ple

Tal

k st

ack

NCP

SMB

UNIX NetWare Windows NT Server AppleShare

De Baeriswyl Philippe

L'OFFRE MICROSOFT

Préhistoire : Collaboration Microsoft/IBM pour LanManager sous OS2.

1993 Windows NT 3.51 (reprise d'OS/2)

Interface type Windows 3 1996 Windows NT 4.0 (système encore utilisé)

Interface type Windows 95

19

L'OFFRE MICROSOFT 1999 - Windows 2000 (Professionnel –

Serveur)Interface type Windows 98Apparition de l'Active Directory

2002 - XP (Professionnel - Familial) 2003 - Windows 2003 Serveur

Interface type Windows XPAmélioration de Windows 2000.

2006 – Vista 2008 – Serveur 2008

20

L'OFFRE MICROSOFT

D'autres part, les produits Microsoft peuvent être "packagés" pour être spécialisés. Par exemple la gamme 2000 se décompose de la façon suivante :Windows 2000 professionnelWindows 2000 ServerWindows Advanced Server (version server

pouvant gérer 8 processeurs et une Mémoire de 8 Go + le Clustering)

Windows Datacenter Server (version server pouvant gérer 32 processeurs et une Mémoire de 64 Go)

21

L'OFFRE MICROSOFT

Parallèlement à ses systèmes d'exploitation serveurs, Microsoft propose de nombreuses "applications serveurs" :

SQL ServerExchange IISUpdate ServerEtc.

22

MISE EN PLACE D'UN DOMAINE

Un domaine Windows 2000 ou 2003 est avant tout une entité de sécurité. Les membres du domaine s'authentifient auprès d'un contrôleur de domaine.

Les membres authentifiés pourront utilisés, dans la limite des droits qui leur sont accordés, les ressources proposées par les serveurs de ce domaine.

23


La création d'un domaine Windows 2000 ou 2003 passe par l'installation : D'un annuaire appelé par Microsoft "Active Directory" D'un serveur DNS(Le serveur DHCP n'est pas nécessaire dans un premier

temps)

24


L'authentification des utilisateurs par un domaine est faite grâce au protocole de sécurité Kerberos.

25

SERVICE D'ANNUAIRE

Un annuaire est une source d'informations utilisée pour stocker des informations sur des objets. Par exemple : Un annuaire téléphonique permet d'obtenir des

informations sur des abonnés. Dans un système de fichiers, le répertoire (l'annuaire)

contient des informations sur les fichiers.

26

SERVICE D'ANNUAIRE

L'interconnexion des machines à l'aide d'un réseau et l'interconnexion des réseaux eux-mêmes amène l'apparition de nombreux objets : utilisateurs, ordinateurs, imprimantes, partages, serveurs, etc.

Dés 1988, l'ISO s'intéresse à ce concept au travers de la norme X500 (étendue en 1993)

27

SERVICE D'ANNUAIRE

Les services d'annuaires repose sur certains protocoles : LDAP (Lightweight Directory Access protocol) version

allégée (lightweight) de DAP X500. Ce protocole permet à un utilisateur d'accéder à un annuaire.

DSP (Directory System Protocol) Ce protocole permet aux annuaires de "dialoguer" (annuaire réparti)

28

SERVICE D'ANNUAIRE

Les services d'annuaires repose sur certains protocoles : DISP (Directory Information Shadowing Protocol)

permet la réplication des annuaires

29

SERVICE D'ANNUAIRE

30

Client de l'annuaire

ServeurAnnuaire

A

ServeurAnnuaire

C

ServeurAnnuaire

B

LDAP

DISP

DSP DISP

DSP

DISP

DSP

SERVICE D'ANNUAIRE

L'annuaire est la source d'information (en

général une base de données objets).

Le service (serveur) d'annuaire quant à lui

permet de gérer et d'accéder à ces

informations.

31

LE SERVEUR DNS

Le serveur DNS (Domain Name System) permettra de mettre en relation un nom symbolique ( par exemple : infosrv.tsinfo.ab) et une adresse IP

(Voir cours pour plus de détail)

32

LE PROTOCOLE KERBEROS

Depuis Windows 2000, l'authentification et les sécurités d'accès à un serveur Microsoft sont gérés par un protocole d’authentification réseau à clé secrète développé par le MIT : Kerberos.

Le système d'authentification NT nommé "stimulation/réponse NTLM (NT Lan Manager)" est toujours actif sur les serveurs 2000 afin d'authentifier les stations (NT, 95 et 98) et les serveurs NT.

33


Kerberos est un protocole d'authentification qui fonctionne sur le principe du tiers de confiance. Il permet à une entité nommée principal de sécurité (utilisateur, ordinateur, groupe, programme) d'obtenir un moyen sûr de s'identifier auprès des autres principaux du réseau.Kerberos n'autorise pas, il authentifie uniquement.

34

LE PROTOCOLE KERBEROSKerberos :

Repose sur l'utilisation d'une clé privée (dérivée du mot de passe pour un utilisateur) et utilise l'algorithme de cryptage DES (Data Encryption Standard).

Possède une base de données pour maintenir la correspondance Client/Clé_privée. Cette clé est connue seulement du client et de Kerberos (=tiers de confiance). L'usage de la clé est limité dans le temps. 35


Le système met en jeu 3 acteurs : Le serveur Kerberos ou Key Distribution Center (KDC).

Gère la base de donnée des principaux de sécurité et les clés associées.

Les serveurs qui fournissent des services (telnet, ftp, etc…)

36


Les clients (utilisateurs ou programmes). Entités pouvant obtenir un ticket pour utiliser ces services.Un client pour accéder aux services d'un serveur X devra utiliser le serveur Kerberos (tiers de confiance) pour

s'identifier auprès du serveur X.

37


Étape 1 : Obtention d'un TGT (Ticket Granting Ticket – ou – Ticket d'octroi de Ticket).

38

Client Kerberos

Serveur Kerberos

KDC

1 - Le client Kerberos (par l'intermédiaire de l'utilitaire Kinit) se connecte au serveur Kerberos au moyen de sa clé

1


39

Client Kerberos

Serveur Kerberos

KDC

1

2

2 - Le client Kerberos reçoit un TGT comme confirmation de son authentification. Le TGT permettra au client d'obtenir des tickets pour les services.


Étape 2 : Obtention et utilisation d'un ST (Service Ticket – ou – Ticket de service).

40

Client Kerberos

Serveur Kerberos

KDC

3

3 – Avec son TGT, le client Kerberos demande un ticket pour s'authentifier auprès d'un service.


41

Client Kerberos

Serveur Kerberos

KDC

3

5 – Le client utilise son ticket pour utiliser le service visé.

Serveur5

4

4 – Le client obtient son ticket

Documents

Les gestionnaires de réseau (L'offre Microsoft). Mise en place d'un domaine (Aspects théoriques)