Beruflich Dokumente
Kultur Dokumente
..
..
..
..
Benot HAMET
Prsentation de Active
Directory
.
Prsentation dActive
Directory
Prambule.....................................................................................4
Introduction ..................................................................................5
Dfinitions ..............................................................................5
Qu'est-ce qu'un service d'annuaire ........................................5
Quel est l'intrt de disposer d'un service d'annuaire ?.........5
Qu'est- ce que Active Directory ?...........................................6
Concepts importants ..................................................................7
Porte.....................................................................................7
Espace de noms ....................................................................7
Objet.......................................................................................7
Conteneur ..............................................................................7
Arbre.......................................................................................7
Nom........................................................................................8
Domaine.................................................................................8
Fort .......................................................................................9
Schma ..................................................................................9
Modle de donnes................................................................9
Fonctionnalits techniques de Active Directory .................10
Service de localisation .........................................................10
Nommage d'objet .................................................................10
Accs AD ..........................................................................10
Protocoles supports : .........................................................10
Prambule
Aujourd'hui, les systmes informatiques sont devenus le cur de toutes les entreprises.
Par consquents, ils doivent tre fiables, scuriss et disponibles tout en ncessitant de
moins en moins de maintenance.
Dans ce contexte, la mise en uvre d'un service d'annuaire permet de rpondre un
maximum de besoin tout en librant les personnels ncessaire la gestion des ressources
informatiques pour les assigner des tches plus ??? tout en permettant les utilisateurs
d'tre plus indpendants dans l'utilisation quotidienne des outils mis leur disposition.
Introduction
Dfinitions
Le terme Active Directory (AD) est apparu avec le systme d'exploitation Microsoft
Windows 2000. Ce terme recouvre les technologies mises en uvre par Microsoft dans le
dveloppement d'outils visant simplifier l'administration de rseaux informatiques bass
sur le systme d'exploitation Windows 2000 (Professionnel pour les stations et Serveur
pour les serveurs).
Dans la pratique, il s'agit d'un service d'annuaire inclut dans l'OS Windows 2000,
famille serveur uniquement.
Concepts importants
Certains termes (ou concepts) utiliss pour dcrire AD sont nouveaux, d'autres non
et dans ce cas, il peut exister diffrentes dfinitions ; il est donc important de les remettre
dans le contexte Active Directory.
Porte
La porte d'AD est vaste ; il peut inclure tout objet isol (imprimante, poste de travail,
fichier), tout serveur ou tout domaine d'un rseau tendu (WAN) il peut aussi inclure
plusieurs rseaux tendus associs. La porte d'AD peut donc aller d'un ordinateur isol
de multiples rseaux informatiques associs.
Espace de noms
Active Directory est essentiellement un espace de noms, comme c'est le cas de tout
service d'annuaire. N'importe quelle zone dlimite au sein de laquelle un nom donn peut
tre rsolu constitue un espace de noms. La rsolution de nom consiste passer d'un nom
l'objet ou l'information que ce nom reprsente.
Objet
Un objet est un ensemble d'attributs nomm et circonscrit qui reprsente un lment
concret, comme un utilisateur, une imprimante ou une application. Les attributs
comportent des donnes (comme par exemple, le nom, le prnom d'un utilisateur ou
l'emplacement d'une imprimante) qui dcrivent le sujet identifi par l'objet.
Conteneur
Un conteneur est semblable un objet dans la mesure o il possde des attributs et
fait partie de l'espace de noms de l'AD. Toutefois, il ne reprsente rien de concret ; ce
n'est qu'un rceptacle pour un ensemble d'objets ou pour d'autres conteneurs.
Arbre
L'arbre est employ, dans le contexte d'AD, pour dcrire une hirarchie d'objets et de
conteneurs ; les feuilles de l'arbre sont en gnral des objets. Les nuds de l'arbre
(endroits d'o partent les branches) sont des conteneurs.
Un arbre montre comment des objets sont relis entre eux, c'est--dire le chemin d'accs
d'un objet un autre.
Nom
Chaque objet dans AD est identifi par un nom ; il existe deux sortes de noms
diffrentes :
9
Nom unique
Chaque objet dans Active Directory possde un nom unique (Distinguished
Name). Le nom unique identifie le domaine qui contient l'objet, ainsi que le
chemin d'accs complet permettant d'y accder travers la hirarchie des
conteneurs (exemple de nom unique :
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith, ce DN
correspond l'utilisateur James Smith dans le domaine microsoft.com)
Domaine
Un domaine est dfini par une limite de scurit unique dans le cadre d'un rseau
informatique tournant sous Windows NT (NT 4.0 ou 2000).
Active Directory est constitu d'un ou plusieurs domaines ; un domaine peut recouvrir
plusieurs sites physiques. Chaque domaine ayant sa propre politique de scurit et ses
propres relations d'approbation avec les autres domaines. Lorsque plusieurs domaines
sont connects par des relations d'approbation et partagent un mme schma, une mme
configuration et un mme catalogue global, on obtient un arbre de domaine. Active
Directory est un arbre ou un ensemble de plusieurs arbres ; il y a deux faons de visualiser
un arbre :
9
Fort
Une fort est constitue d'un ou plusieurs arbre(s) ne constituant pas un espace de
nom contigu. Tous les arbres d'une fort partagent le mme schma, une mme
configuration et un mme catalogue global. Ils s'accordent une confiance mutuelle par
l'intermdiaire des relations Kerberos. Une fort existe en tant qu'ensemble d'objets de
rfrences croises et de relation d'approbation, et ne ncessite pas de nommage distinctif.
Schma
Le schma AD est implment comme un ensemble d'lments de classes d'objets
stocks dans l'annuaire. Le schma peut tre mis jour dynamiquement, c'est dire
qu'une application peut tendre le schma en lui ajoutant de nouveaux attributs et de
nouvelles classes et les utiliser immdiatement. Ces modifications sont protges par des
listes de contrle d'accs (ACL) comme toute les ressources rseaux gres.
Modle de donnes
Le modle de donnes de Active Directory est driv du modle de donnes de la
norme X.500. L'annuaire contient des objets reprsentant des lments de diffrents types
dcrits par des attributs. Le schma dfinit l'univers des objets pouvant tre stocks dans
l'annuaire ; pour chaque classe d'objet, le schma dfinit les attributs qu'un lment de la
classe doit possder ainsi que ses attributs facultatifs.
Service de localisation
Les serveurs AD publient leurs adresses de telle sorte que les clients puissent les
trouver partir de leur seul nom de domaine ; ils sont publis dans le DNS via des
enregistrements de ressources de service il s'agit d'un mappage entre le nom d'un
service et le serveur le proposant. Son nom a la forme suivante:
service.protocole.domaine
Active Directory utilise le protocole Lightweight Directory Access Protocol (LDAP)
pour publier les ressources, via TCP.
Comme les adresses IP sont sujettes modification, les serveurs AD vrifient
priodiquement leurs donnes.
Nommage d'objet
Chaque objet possde un nom unique (DN). Ce DN contient assez d'informations
pour que le client puisse rcuprer l'objet dans l'annuaire et peut parfois tre long, et est
sujet modification ; des fins de simplification des recherches, AD dfinit 2 proprits
pratiques :
9 Un Globally Unique Identifer, nombre cod sur 128 bits, qui ne change pas et
est attribu la cration de l'objet. Il ne change pas mme si l'objet change de
DN ou est dplac.
9 Un User Principal Name, plus court et plus convivial que le DN ; il s'agit d'un
DN "abrg". Par exemple, pour l'utilisateur James Smith de l'arbre
microsoft.com, son DN est
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith tandis que
son UPN peut tre j.smith@microsoft.com.
Active Directory ne permet pas que 2 objets distincts possdent le mme nom relatif
distinct, et comme le DN est compos partir de ce nom relatif il y a unicit des GUID.
Accs AD
L'accs l'annuaire s'effectue partir de protocoles cbls ; ces protocoles dfinissent
les formats des messages et des interactions client/serveur.
Protocoles supports :
9 LDAP : est le protocole central de AD. Il s'agit d'un standard de protocole rseau
conu pour fournir un accs des services d'annuaire. L'utilisation de ce
standard permet une interoprabilit entre AD et les annuaires concurrents ou
applications tierces utilisant galement LDAP (NDS de Novell par exemple).
10
Catalogue global
Le catalogue global permet aux utilisateurs et aux applications de trouver des objets
dans l'arbre de domaine AD, pour peu qu'ils connaissent un ou plusieurs attributs de
l'objet recherch. Le systme de duplication de AD gnre automatiquement ce catalogue
et la topologie de duplication.
Scurit Dlgation
Le modle de scurit de Active Directory est celui de Windows 2000, utilisant une
authentification par contrleur de domaine approuv, la dlgation dapprobation entre les
services et le contrle daccs par objet. Les fonctionnalits centrales de scurit incluent
lintgration avec Active Directory, la prise en charge du protocole Kerberos pour
lauthentification des utilisateurs, les certificats de cls publiques (PKI) pour les
utilisateurs externes, le systme Encrypting File System pour la protection des donnes
locales et lutilisation du protocole IPSec pour la mise en uvre de communications
scurises en utilisant des rseaux publics (VPN).
11
12
Rsum
Lintroduction dActive Directory est une amlioration majeure de lOS Windows
2000. Il permet de centraliser et de simplifier ladministration rseau en enregistrant en un
point unique lensemble des informations ncessaires aux administrateurs des systmes
informatiques ainsi quen intgrant les fonctions de scurit ncessaire la bonne marche
des rseaux.
Egalement, la dlgation permet de soulager les administrateurs dans leurs tches
quotidiennes, ils peuvent ainsi se concentrer sur les points importants du rseau
(scurisation, disponibilit).
Enfin, lutilisation des standards permet une intgration de lannuaire AD avec les autres
services dannuaire et applications tierces dj mis en uvre au sein de lentreprise.
13
Bibliographie
14