Upload
kenna
View
22
Download
0
Embed Size (px)
DESCRIPTION
Server. Les gestionnaires de réseau (L'offre Microsoft). Mise en place d'un domaine (Aspects théoriques). Les différents modes de fonctionnement d’un réseau. Le réseau Système Multiposte Système Client-Serveur Système Poste à Poste. Interconnexion. Le réseau. Le réseau. - PowerPoint PPT Presentation
Citation preview
Les gestionnaires de réseau(L'offre Microsoft).
Mise en place d'un domaine(Aspects théoriques).
1
Server
LES DIFFÉRENTS MODES DE FONCTIONNEMENT D’UN
RÉSEAU
Le réseauSystème MultiposteSystème Client-ServeurSystème Poste à Poste
2
LE RÉSEAU
3
Interconnexion
LE RÉSEAUY
onel Grusson
4
Un réseau est plus qu'une simple interconnexion de machines sans rôle prédéfini. L’interconnexion matérielle est assurée par un réseau local (Ethernet par exemple) ou étendu. Cet aspect matériel ne prend un sens qu'avec l'installation et l'utilisation d'un gestionnaire de réseau (logiciel) qui va donner à chaque machine un comportement vis à vis des autres machines.
LE RÉSEAU
L'un des problèmes central de l'utilisation des ressources proposées par un réseau est l'authentification.
Cette authentification, c'est à dire le droit d'utiliser la ressource, se fait le plus souvent par l'intermédiaire d'un login et d'un mot de passe.
5
LE SYSTÈME MULTIPOSTE
Historiquement le plus ancien, il est composé : De terminaux passifs ou plus généralement de micro-
ordinateurs émulant un terminal (VT200, etc.). Ces terminaux n’ont aucune puissance de calcul. Cette dernière est mise en oeuvre par…
6
LE SYSTÈME MULTIPOSTE
«L’unité centrale», ordinateur puissant qui effectue tous les traitements.
Le système Terminal/Server (TSE par exemple) qui paraît correspondre à ce principe de fonctionnement (traitement assuré par le serveur), ce rapproche plus du modèle client/serveur ; le client possède dans ce cas une certaine puissance de traitement.
7
LE SYSTÈME MULTIPOSTE
8
Terminal
“Unité centrale”
Réseau
Terminal
Terminal
TerminalTerminal
Terminal
TerminalTerminal
Terminal
LE SYSTÈME MULTIPOSTE
Dans ce système, chaque utilisateur s'authentifie auprès de "l'unité centrale" qu'il désire utiliser.
9
SYSTÈME CLIENT/SERVEUR
10
Le "comportement" actuellement le plus répandu est le
modèle Client/Serveur.
RéseauClient Serveur
• Le client envoie une requête – Le serveur répond à la requête.
• Ce sont avant tout des notions logiques ("soft"). On parlera d'applications clientes et d'applications serveurs. Ces 2 applications peuvent être sur la même machine mais généralement les machines sont spécialisées. Les applications serveurs sont sur des machines appelées serveurs
SYSTÈME CLIENT/SERVEUR
11
De Baeriswyl Philippe
ClientClient
Communications server
Serveur de Base de Données Serveur de
FichiersServeur de messagerie
Serveur d'impression
vers WAN, autres LANs et serveurs
Client ClientClient
Réseau
SYSTÈME CLIENT/SERVEUR
Dans ce système, chaque utilisateur s'authentifie auprès de l'application serveur (Oracle, IIS, SQL-Server, etc.).
Dans le cas de Microsoft, cette authentification est parfois précédée d'une authentification auprès d'un domaine.
12
SYSTÈME POSTE À POSTE
13
Dans un réseau poste à poste les machines du réseau sont à la fois client et serveur (généralement serveur de fichiers et d’imprimantes)
Client etServeur
Client etServeur
Client etServeur
Client etServeur
SYSTÈME POSTE À POSTE
14
Dans ce système, chaque poste doit être configuré pour être en mesure d'authentifier toutes les demandes d'utilisateurs pouvant provenir de n'importe quel poste.Des postes Microsoft non rattachés à un domaine forment un réseau de cette catégorie. Que ce soit avec Windows 200x ou XP une machine peut partager son disque, ses fichiers, ses imprimantes, ses applications (notion de WorkGroup).
NOTION DE DOMAINE
15
Un domaine sera l'organisation d'un réseau avec une gestion centralisée de l'authentification. Au lieu d'avoir une base de comptes identique répliquée sur tous les postes, le domaine propose une seule base de comptes. Les postes s'authentifient alors auprès du serveur détenant cette base de comptes.
L'OFFRE S.E RÉSEAU (NOS)Unix, la plus ancienne.Windows NT et 200x de Microsoft,
avec plus de la moitié du marché. Linux (Red Hat, Suse,Mandriva,
Debian…), avec une part du marché en progression sur les serveurs (robustesse d'Unix, produits Apache et Samba).
BSD (Berkeley Software Distribution)Netware de Novell, part de marché
en baisse (reprise possible avec le passage sous Linux). 16
D'AUTRES OFFRES…
Apple Share d'Apple. IBM LAN Server
Basé sur OS/2 (suite de LanManager). Banyan VINES - Basé sur UNIX. Artisoft LANtastic. Netscape server products. etc.
17
NOS, PROTOCOLES ET MODÈLE OSI
18
NetWare applicationNetWare
applicationWindows NT application
Windows NT application
Oth
er
app
licat
ion
s
TC
P/IP
Ap
plic
atio
ns
Ap
ple
Tal
k st
ack
Ap
ple
Tal
k st
ack
Ap
ple
Tal
k st
ack
Ap
ple
Tal
k st
ack
UNIX application
UNIX application
NFS, TCP/IP, proprietary applications
NFS, TCP/IP, proprietary applications
AppleShare applicationAppleShare application
AppleShare file service
AppleShare file service
ATFPATFP
ATSPATSP
TPTP
DDPDDP
OSI
77
66
55
44
33
22
11
TCP or
UDP
IP
NetBIOS
SPX
IPX
TCP or
UDP
IP
SPX
IPX
TCP or
UDP
IP
TCP or
UDP
IPNet
BE
UI
Ap
ple
Tal
k st
ack
NCP
SMB
UNIX NetWare Windows NT Server AppleShare
De Baeriswyl Philippe
L'OFFRE MICROSOFT
Préhistoire : Collaboration Microsoft/IBM pour LanManager sous OS2.
1993 Windows NT 3.51 (reprise d'OS/2)
Interface type Windows 3 1996 Windows NT 4.0 (système encore utilisé)
Interface type Windows 95
19
L'OFFRE MICROSOFT 1999 - Windows 2000 (Professionnel –
Serveur)Interface type Windows 98Apparition de l'Active Directory
2002 - XP (Professionnel - Familial) 2003 - Windows 2003 Serveur
Interface type Windows XPAmélioration de Windows 2000.
2006 – Vista 2008 – Serveur 2008
20
L'OFFRE MICROSOFT
D'autres part, les produits Microsoft peuvent être "packagés" pour être spécialisés. Par exemple la gamme 2000 se décompose de la façon suivante :Windows 2000 professionnelWindows 2000 ServerWindows Advanced Server (version server
pouvant gérer 8 processeurs et une Mémoire de 8 Go + le Clustering)
Windows Datacenter Server (version server pouvant gérer 32 processeurs et une Mémoire de 64 Go)
21
L'OFFRE MICROSOFT
Parallèlement à ses systèmes d'exploitation serveurs, Microsoft propose de nombreuses "applications serveurs" :
SQL ServerExchange IISUpdate ServerEtc.
22
MISE EN PLACE D'UN DOMAINE
Un domaine Windows 2000 ou 2003 est avant tout une entité de sécurité. Les membres du domaine s'authentifient auprès d'un contrôleur de domaine.
Les membres authentifiés pourront utilisés, dans la limite des droits qui leur sont accordés, les ressources proposées par les serveurs de ce domaine.
23
MISE EN PLACE D'UN DOMAINE
La création d'un domaine Windows 2000 ou 2003 passe par l'installation : D'un annuaire appelé par Microsoft "Active Directory" D'un serveur DNS(Le serveur DHCP n'est pas nécessaire dans un premier
temps)
24
MISE EN PLACE D'UN DOMAINE
L'authentification des utilisateurs par un domaine est faite grâce au protocole de sécurité Kerberos.
25
SERVICE D'ANNUAIRE
Un annuaire est une source d'informations utilisée pour stocker des informations sur des objets. Par exemple : Un annuaire téléphonique permet d'obtenir des
informations sur des abonnés. Dans un système de fichiers, le répertoire (l'annuaire)
contient des informations sur les fichiers.
26
SERVICE D'ANNUAIRE
L'interconnexion des machines à l'aide d'un réseau et l'interconnexion des réseaux eux-mêmes amène l'apparition de nombreux objets : utilisateurs, ordinateurs, imprimantes, partages, serveurs, etc.
Dés 1988, l'ISO s'intéresse à ce concept au travers de la norme X500 (étendue en 1993)
27
SERVICE D'ANNUAIRE
Les services d'annuaires repose sur certains protocoles : LDAP (Lightweight Directory Access protocol) version
allégée (lightweight) de DAP X500. Ce protocole permet à un utilisateur d'accéder à un annuaire.
DSP (Directory System Protocol) Ce protocole permet aux annuaires de "dialoguer" (annuaire réparti)
28
SERVICE D'ANNUAIRE
Les services d'annuaires repose sur certains protocoles : DISP (Directory Information Shadowing Protocol)
permet la réplication des annuaires
29
SERVICE D'ANNUAIRE
30
Client de l'annuaire
ServeurAnnuaire
A
ServeurAnnuaire
C
ServeurAnnuaire
B
LDAP
DISP
DSP DISP
DSP
DISP
DSP
SERVICE D'ANNUAIRE
L'annuaire est la source d'information (en
général une base de données objets).
Le service (serveur) d'annuaire quant à lui
permet de gérer et d'accéder à ces
informations.
31
LE SERVEUR DNS
Le serveur DNS (Domain Name System) permettra de mettre en relation un nom symbolique ( par exemple : infosrv.tsinfo.ab) et une adresse IP
(Voir cours pour plus de détail)
32
LE PROTOCOLE KERBEROS
Depuis Windows 2000, l'authentification et les sécurités d'accès à un serveur Microsoft sont gérés par un protocole d’authentification réseau à clé secrète développé par le MIT : Kerberos.
Le système d'authentification NT nommé "stimulation/réponse NTLM (NT Lan Manager)" est toujours actif sur les serveurs 2000 afin d'authentifier les stations (NT, 95 et 98) et les serveurs NT.
33
LE PROTOCOLE KERBEROS
Kerberos est un protocole d'authentification qui fonctionne sur le principe du tiers de confiance. Il permet à une entité nommée principal de sécurité (utilisateur, ordinateur, groupe, programme) d'obtenir un moyen sûr de s'identifier auprès des autres principaux du réseau.Kerberos n'autorise pas, il authentifie uniquement.
34
LE PROTOCOLE KERBEROSKerberos :
Repose sur l'utilisation d'une clé privée (dérivée du mot de passe pour un utilisateur) et utilise l'algorithme de cryptage DES (Data Encryption Standard).
Possède une base de données pour maintenir la correspondance Client/Clé_privée. Cette clé est connue seulement du client et de Kerberos (=tiers de confiance). L'usage de la clé est limité dans le temps. 35
LE PROTOCOLE KERBEROS
Le système met en jeu 3 acteurs : Le serveur Kerberos ou Key Distribution Center (KDC).
Gère la base de donnée des principaux de sécurité et les clés associées.
Les serveurs qui fournissent des services (telnet, ftp, etc…)
36
LE PROTOCOLE KERBEROS
Les clients (utilisateurs ou programmes). Entités pouvant obtenir un ticket pour utiliser ces services.Un client pour accéder aux services d'un serveur X devra utiliser le serveur Kerberos (tiers de confiance) pour
s'identifier auprès du serveur X.
37
LE PROTOCOLE KERBEROS
Étape 1 : Obtention d'un TGT (Ticket Granting Ticket – ou – Ticket d'octroi de Ticket).
38
Client Kerberos
Serveur Kerberos
KDC
1 - Le client Kerberos (par l'intermédiaire de l'utilitaire Kinit) se connecte au serveur Kerberos au moyen de sa clé
1
LE PROTOCOLE KERBEROS
39
Client Kerberos
Serveur Kerberos
KDC
1
2
2 - Le client Kerberos reçoit un TGT comme confirmation de son authentification. Le TGT permettra au client d'obtenir des tickets pour les services.
LE PROTOCOLE KERBEROS
Étape 2 : Obtention et utilisation d'un ST (Service Ticket – ou – Ticket de service).
40
Client Kerberos
Serveur Kerberos
KDC
3
3 – Avec son TGT, le client Kerberos demande un ticket pour s'authentifier auprès d'un service.
LE PROTOCOLE KERBEROS
41
Client Kerberos
Serveur Kerberos
KDC
3
5 – Le client utilise son ticket pour utiliser le service visé.
Serveur5
4
4 – Le client obtient son ticket