Beruflich Dokumente
Kultur Dokumente
les équipements gérés (managed devices) sont des éléments du réseau (ponts,
commutateurs, concentrateurs, routeurs ou serveurs), contenant des « objets de gestion »
(managed objects) pouvant être des informations sur le matériel, des éléments de
configuration ou des informations statistiques ;
les agents, c'est-à-dire les applications de gestion de réseau résidant dans un
périphérique, sont chargés de transmettre les données locales de gestion du périphérique au
format SNMP ;
les systèmes de gestion de réseau (network management systems notés NMS), c'est-à-
dire les consoles à travers lesquelles les administrateurs peuvent réaliser des tâches
d'administration.
Le LDAP ou Lightweight Directory Access Protocol est un protocole visant à interroger et
manipuler de manière synchrone ou asynchrone les annuaires. Le LDAP est implémenté dans
Microsoft Active Directory. Cet annuaire très important dans un réseau d’ordinateurs repose
toute l’administration système sous Windows 2000,2003, XP…
Quelques informations basiques sur la différence
entre LDAP et Active Directory
Active Directory est un annuaire au format Microsoft qui a pour objectif de stocker des
données qualifiées d’objets. Quant au LDAP, il s’agit d’un protocole d’accès aux informations.
L’outil permet d’échanger des renseignements entre les annuaires compatibles au protocole.
Le LDAP est un langage de requêtes. Grâce au LDAP, l’utilisateur peut introduire dans
l’interface n’importe quel annuaire même ceux qui sont indépendants au système.
En répertoriant le programme, on peut faire tourner le logiciel qui peut fonctionner et être
modifié dans l’annuaire. Si le LDAP est le protocole, Active Directory représente
l’implémentation de la charte par Microsoft. L’outil est un Protocole annuaire pour Windows
Server. On peut trouver un programme open source du LDAP qui s’intitule OpenLDAP.
Que peut-on faire avec LDAP et Active Directory ?
Le Lightweight Directory Access Protocol détermine la méthode d’accès aux données sur un
serveur au niveau du client alors qu’Active Directory s’intéresse au stockage des informations
en centralisant les données. Le LDAP fournit à l’utilisateur différentes méthodes permettant de
se connecter, déconnecter, rechercher ou comparer des informations, insérer, modifier ou
supprimer des entrées.
En ce qui concerne l’objectif du système d’exploitation Windows Active Directory, le service
d’annuaire écrit en C++ permet de centraliser l’identification et l’authentification d’un réseau
d’ordinateur fonctionnant sous Windows. En plus d’autoriser les administrateurs à faire les
mises à jour critiques, il distribue les logiciels, l’attribution et l’application de stratégies. Ce
programme répertorie les éléments d’un réseau administré comme les comptes d’utilisateurs,
les postes de travail, les serveurs, les imprimantes et les dossiers partagés.
Différences structurelles entre Active Directory et
LDAP
La subdivision d’Active Directory est composée de la forêt qui est une structure hiérarchique
dans plusieurs domaines indépendants. L’arbre ou arborescence regroupe toutes les
ramifications et le domaine qui inclut les feuilles de la ramification.
En ce qui concerne la structure de l’annuaire LDAP, elle est similaire au modèle X.500. Son
architecture relativement multi-tenante est composée d’un annuaire qui est un arbre d’entrée,
une entrée constituée d’un ensemble d’attributs. Les attributs qui sont définis dans des
schémas possèdent un nom, un type ainsi qu’une ou plusieurs valeurs.
Si le trafic réseau n'est pas signé, il est exposé à des attaques par relecture, où le pirate
intercepte la tentative d'authentification et l'émission d'un ticket. Le pirate peut réutiliser
le ticket pour usurper l'identité de l'utilisateur légitime. En outre, si le trafic réseau n'est
pas signé, il est exposé à des attaques de l'intercepteur (man-in-the-middle attacks), où
le pirate intercepte des paquets entre le client et le serveur, les modifie, puis les transfère
au serveur. Si ce problème se produit sur un serveur LDAP, l'attaquant peut obliger le
serveur à prendre des décisions basées sur des requêtes contrefaites provenant du
client LDAP.
Cet article explique comment configurer votre serveur d'annuaire pour le protéger de ces
attaques.
Les systèmes clients basés sur des liaisons LDAP SASL (Negotiate, Kerberos, NTLM ou
Digest) non signées ou sur des liaisons LDAP simples sur une connexion non-SSL/TLS
cessent de fonctionner après cette modification de configuration. Pour vous aider à
identifier ces clients, le serveur d’annuaire enregistre le résumé d’événements 2887 une
fois toutes les 24 heures pour indiquer le nombre de liaisons qui se sont produites. Nous
vous recommandons de configurer les systèmes clients afin d'éviter d'utiliser ces types
de liaisons. Si aucun événement correspondant n'est observé durant une longue période,
il est recommandé de configurer le serveur de sorte qu'il rejette ces liaisons.
Si vous avez besoin de plus d'informations pour identifier ces clients, vous pouvez
configurer le serveur d'annuaire pour qu'il fournisse des journaux plus détaillés. Un
événement 2889 est alors enregistré lorsqu'un client essaie d'établir une liaison LDAP
non signée. Le journal affiche l'adresse IP du client et l'identité que le client a essayé
d'utiliser pour l'authentification. Vous pouvez activer ces informations supplémentaires
en définissant le paramètre de diagnostic Événements d'interface LDAP sur 2 (de
base). Pour plus d'informations sur la modification des paramètres de diagnostic,
consultez le site web de Microsoft à l'adresse suivante :
PUBLICATION RAPIDE
INTRODUCTION
Si le trafic réseau n'est pas signé, il est exposé à des attaques par relecture, où le pirate
intercepte la tentative d'authentification et l'émission d'un ticket. Le pirate peut réutiliser
le ticket pour usurper l'identité de l'utilisateur légitime. En outre, si le trafic réseau n'est
pas signé, il est exposé à des attaques de l'intercepteur (man-in-the-middle attacks), où
le pirate intercepte des paquets entre le client et le serveur, les modifie, puis les transfère
au serveur. Si ce problème se produit sur un serveur LDAP, l'attaquant peut obliger le
serveur à prendre des décisions basées sur des requêtes contrefaites provenant du
client LDAP.
Cet article explique comment configurer votre serveur d'annuaire pour le protéger de ces
attaques.
Informations supplémentaires
Comment découvrir les clients qui n'utilisent pas l'option « Exiger la signature »
Les systèmes clients basés sur des liaisons LDAP SASL (Negotiate, Kerberos, NTLM ou
Digest) non signées ou sur des liaisons LDAP simples sur une connexion non-SSL/TLS
cessent de fonctionner après cette modification de configuration. Pour vous aider à
identifier ces clients, le serveur d’annuaire enregistre le résumé d’événements 2887 une
fois toutes les 24 heures pour indiquer le nombre de liaisons qui se sont produites. Nous
vous recommandons de configurer les systèmes clients afin d'éviter d'utiliser ces types de
liaisons. Si aucun événement correspondant n'est observé durant une longue période, il
est recommandé de configurer le serveur de sorte qu'il rejette ces liaisons.
Si vous avez besoin de plus d'informations pour identifier ces clients, vous pouvez
configurer le serveur d'annuaire pour qu'il fournisse des journaux plus détaillés. Un
événement 2889 est alors enregistré lorsqu'un client essaie d'établir une liaison LDAP
non signée. Le journal affiche l'adresse IP du client et l'identité que le client a essayé
d'utiliser pour l'authentification. Vous pouvez activer ces informations supplémentaires
en définissant le paramètre de diagnostic Événements d'interface LDAP sur 2 (de
base). Pour plus d'informations sur la modification des paramètres de diagnostic,
consultez le site web de Microsoft à l'adresse suivante :
http://go.microsoft.com/?linkid=9645087
Si le serveur d'annuaire est configuré pour rejeter les liaisons LDAP simples ou les liaisons
LDAP SASL non signées sur une connexion non-SSL/TLS, le serveur d'annuaire enregistre
un événement de résumé 2888 une fois toutes les 24 heures lorsque ces tentatives de
liaison se produisent.