Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

Le client Kerberos

publicité 
Server
Les gestionnaires de réseau
(L'offre Microsoft).
Mise en place d'un domaine
(Aspects théoriques).
Yonel Grusson
1
Les différents modes de
fonctionnement d’un réseau
Le réseau
Système Multiposte
Système Client-Serveur
Système Poste à Poste
Yonel Grusson
2
Le réseau
Interconnexion
Yonel Grusson
3
Le réseau
Un réseau est plus qu'une simple interconnexion
de machines sans rôle prédéfini. L’interconnexion
matérielle est assurée par un réseau local
(Ethernet par exemple) ou étendu.
Cet aspect matériel ne prend un sens qu'avec
l'installation et l'utilisation d'un gestionnaire de
réseau (logiciel) qui va donner à chaque machine
un comportement vis à vis des autres machines.
Yonel Grusson
4
Le réseau
L'un des problèmes central de l'utilisation
des ressources proposées par un réseau
est l'authentification.
Cette authentification, c'est à dire le droit
d'utiliser la ressource, se fait le plus
souvent par l'intermédiaire d'un login et
d'un mot de passe.
Yonel Grusson
5
Le système multiposte
Historiquement le plus ancien, il est
composé :
 De terminaux passifs ou plus
généralement de micro-ordinateurs
émulant un terminal (VT200, etc.). Ces
terminaux n’ont aucune puissance de
calcul. Cette dernière est mise en
oeuvre par…
Yonel Grusson
6
Le système multiposte
 «L’unité centrale», ordinateur puissant
qui effectue tous les traitements.
Le système Terminal/Server (TSE par exemple)
qui paraît correspondre à ce principe de
fonctionnement (traitement assuré par le
serveur), ce rapproche plus du modèle
client/serveur ; le client possède dans ce
cas une certaine puissance de traitement.
Yonel Grusson
7
Le système multiposte
Terminal
Terminal
Terminal
“Unité centrale”
Yonel Grusson
Terminal
Terminal
Terminal
Réseau
Terminal
Terminal
Terminal
8
Le système multiposte
Dans ce système, chaque utilisateur
s'authentifie auprès de "l'unité centrale"
qu'il désire utiliser.
Yonel Grusson
9
Système Client/Serveur
Le "comportement" actuellement le plus répandu est le
modèle Client/Serveur.
Client
Réseau
Serveur
• Le client envoie une requête – Le serveur répond à la
requête.
• Ce sont avant tout des notions logiques ("soft"). On parlera
d'applications clientes et d'applications serveurs. Ces 2
applications peuvent être sur la même machine mais
généralement les machines sont spécialisées. Les applications
serveurs sont sur des machines appelées serveurs
10
Yonel Grusson
Système Client/Serveur
Client
Client
Client
Client
Client
Réseau
Communications
server
Serveur de
Base de
Données Serveur de
Fichiers
Yonel Grusson
Serveur
d'impression
Serveur de
messagerie
vers WAN,
autres LANs
et serveurs
11
De Baeriswyl Philippe
Système Client/Serveur
Dans ce système, chaque utilisateur
s'authentifie auprès de l'application
serveur (Oracle, IIS, SQL-Server, etc.).
Dans le cas de Microsoft, cette
authentification est parfois précédée
d'une authentification auprès d'un
domaine.
Yonel Grusson
12
Système Poste à Poste
Dans un réseau poste à poste les machines du réseau
sont à la fois client et serveur (généralement serveur
de fichiers et d’imprimantes)
Yonel Grusson
Client et
Serveur
Client et
Serveur
Client et
Serveur
Client et
Serveur
13
Système Poste à Poste
Dans ce système, chaque poste doit être configuré
pour être en mesure d'authentifier toutes les
demandes d'utilisateurs pouvant provenir de
n'importe quel poste.
Un réseau Microsoft est typiquement un réseau de
cette catégorie. Que ce soit avec Windows 200x
Serveur ou Professionnel une machine peut
partager son disque, ses fichiers, ses imprimantes,
ses applications (notion de WorkGroup).
Yonel Grusson
14
Notion de Domaine
Un domaine sera un système poste à poste
avec une gestion centralisée de
l'authentification. Au lieu d'avoir une base
de comptes identique répliquée sur tous les
postes, le domaine propose une seule base
de comptes. Les postes s'authentifient
alors auprès du serveur détenant cette
base de comptes.
Yonel Grusson
15
L'offre S.E Réseau (NOS)
Unix, la plus ancienne.
Windows NT et 200x de Microsoft, avec plus
de la moitié du marché.
 Linux (Red Hat, Suse,Mandriva, Debian…),
avec une part du marché en progression sur
les serveurs (robustesse d'Unix, produits
Apache et Samba).
BSD (Berkeley Software Distribution)
Netware de Novell, part de marché en baisse
(reprise possible avec le passage sous Linux).
Yonel Grusson
16
D'autres offres…
Apple Share d'Apple.
IBM LAN Server
Basé sur OS/2 (suite de LanManager).
Banyan VINES - Basé sur UNIX.
Artisoft LANtastic.
Netscape server products.
etc.
Yonel Grusson
17
NOS, Protocoles et Modèle OSI
TCP
or
UDP
SPX
3
IP
IP
IPX
Other
applications
SMB
NetBIOS
TCP
or
UDP
SPX
IP
IPX
AppleTalk stack
4
TCP
or
UDP
AppleShare
AppleShare
application
AppleShare file
service
NetBEUI
5
NCP
Windows NT
application
AppleTalk stack
6
NFS, TCP/IP,
proprietary
applications
AppleTalk stack
7
Windows NT Server
NetWare
NetWare
application
TCP/IP Applications
OSI
UNIX
UNIX
application
ATFP
ATSP
TCP
or
UDP
TP
IP
DDP
2
Yonel Grusson
1
18
De Baeriswyl Philippe
L'offre Microsoft
Préhistoire : Collaboration
Microsoft/IBM pour LanManager sous
OS2.
1993 Windows NT 3.51 (reprise d'OS/2)
Interface type Windows 3
1996 Windows NT 4.0 (système encore utilisé)
Interface type Windows 95
Yonel Grusson
19
L'offre Microsoft
1999 - Windows 2000 (Professionnel – Serveur)
Interface type Windows 98
Apparition de l'Active Directory
2002 - XP (Professionnel - Familial)
2003 - Windows 2003 Serveur
Interface type Windows XP
Amélioration de Windows 2000.
Yonel Grusson
20
L'offre Microsoft
D'autres part, les produits Microsoft peuvent être
"packagés" pour être spécialisés. Par exemple la
gamme 2000 se décompose de la façon suivante :
 Windows 2000 professionnel
 Windows 2000 Server
 Windows Advanced Server (version server
pouvant gérer 8 processeurs et une Mémoire de 8
Go + le Clustering)
 Windows Datacenter Server (version server
pouvant gérer 32 processeurs et une Mémoire de
21
64 Go)
Yonel Grusson
L'offre Microsoft
Parallèlement à ses systèmes d'exploitation
serveurs, Microsoft propose de nombreuses
"applications serveurs" :
• SQL Server
• Exchange
• IIS
• Update Server
• Etc.
Yonel Grusson
22
Mise en place d'un Domaine
Un domaine Windows 2000 ou 2003 est
avant tout une entité de sécurité. Les
membres du domaine s'authentifient
auprès d'un contrôleur de domaine.
Un groupe de travail est une entité
regroupant des ressources mises à la
disposition des membres du domaine
authentifiés par l'intermédiaire d'un
explorateur de ressources.
Yonel Grusson
23
Mise en place d'un Domaine
La création d'un domaine Windows 2000
ou 2003 passe par l'installation :
 D'un annuaire appelé par Microsoft
"Active Directory"
 D'un serveur DNS
(Le serveur DHCP n'est pas nécessaire
dans un premier temps)
Yonel Grusson
24
Mise en place d'un Domaine
L'authentification des utilisateurs par un
domaine est faite grâce au protocole de
sécurité Kerberos.
Yonel Grusson
25
Service d'Annuaire
Un annuaire est une source d'informations
utilisée pour stocker des informations sur
des objets. Par exemple :
 Un annuaire téléphonique permet
d'obtenir des informations sur des
abonnés.
 Dans un système de fichiers, le
répertoire (l'annuaire) contient des
informations sur les fichiers.
Yonel Grusson
26
Service d'Annuaire
L'interconnexion des machines à l'aide
d'un réseau et l'interconnexion des
réseaux eux-mêmes amène l'apparition
de nombreux objets : utilisateurs,
ordinateurs, imprimantes, partages,
serveurs, etc.
Dés 1988, l'ISO s'intéresse à ce concept
au travers de la norme X500 (étendue en
1993)
Yonel Grusson
27
Service d'Annuaire
Les services d'annuaires repose sur
certains protocoles :
 LDAP (Lightweight Directory Access
protocol) version allégée (lightweight)
de DAP X500. Ce protocole permet à
un utilisateur d'accéder à un annuaire.
 DSP (Directory System Protocol) Ce
protocole permet aux annuaires de
"dialoguer" (annuaire réparti)
Yonel Grusson
28
Service d'Annuaire
Les services d'annuaires repose sur
certains protocoles :
 DISP (Directory Information
Shadowing Protocol) permet la
réplication des annuaires
Yonel Grusson
29
Service d'Annuaire
Client de
l'annuaire
LDAP
Serveur
Annuaire
A
DSP
DSP
DISP
DISP
Serveur
Annuaire
C
Yonel Grusson
Serveur
Annuaire
B
DISP
DSP
30
Service d'Annuaire
L'annuaire est la source d'information
(en général une base de données objets).
Le service (serveur) d'annuaire quant à
lui permet de gérer et d'accéder à ces
informations.
Yonel Grusson
31
Le Serveur DNS
Le serveur DNS (Domain Name System)
permettra de mettre en relation un nom
symbolique ( par exemple :
infosrv.tsinfo.ab) et une adresse IP
(Voir cours pour plus de détail)
Yonel Grusson
32
Le Protocole Kerberos
Depuis Windows 2000, l'authentification et
les sécurités d'accès à un serveur
Microsoft sont gérés par un protocole
d’authentification réseau à clé secrète
développé par le MIT : Kerberos.
Le système d'authentification NT nommé
"stimulation/réponse NTLM (NT Lan
Manager)" est toujours actif sur les
serveurs 2000 afin d'authentifier les
stations (NT, 95 et 98) et les serveurs NT.
Yonel Grusson
33
Le Protocole Kerberos
Kerberos fonctionne sur le principe du tiers
de confiance. Il permet à une entité
nommée principal de sécurité (utilisateur,
ordinateur, groupe, programme)
d'obtenir un moyen sûr de s'identifier
auprès des autres principaux du réseau.
Kerberos n'autorise pas, il authentifie
uniquement.
Yonel Grusson
34
Le Protocole Kerberos
Kerberos :
 Repose sur l'utilisation d'une clé privée
(dérivée du mot de passe pour un utilisateur) et
utilise l'algorithme de cryptage DES (Data
Encryption Standard).
 Possède une base de donnée pour maintenir
la correspondance Client/Clé_privée. Cette
clé est connue seulement du client et de
Kerberos (=tiers de confiance). L'usage de
la clé est limité dans le temps.
35
Yonel Grusson
Le Protocole Kerberos
Le système met en jeu 3 acteurs :
 Le serveur Kerberos ou Key
Distribution Center (KDC). Gère la
base de donnée des principaux de
sécurité et les clés associées.
 Les serveurs qui fournissent des
services (telnet, ftp, etc…)
Yonel Grusson
36
Le Protocole Kerberos
 Les clients (utilisateurs ou
programmes). Entités pouvant obtenir
un ticket pour utiliser ces services.
Un client pour accéder aux services
d'un serveur X devra utiliser le
serveur Kerberos (tiers de confiance)
pour s'identifier auprès du serveur X.
Yonel Grusson
37
Le Protocole Kerberos
Étape 1 : Obtention d'un TGT (Ticket
Granting Ticket – ou – Ticket d'octroi de Ticket).
Client
Kerberos
1
Serveur
Kerberos
KDC
1 - Le client Kerberos (par l'intermédiaire
de l'utilitaire Kinit) se connecte au serveur
Kerberos au moyen de sa clé
Yonel Grusson
38
Le Protocole Kerberos
1
Serveur
Kerberos
Client
Kerberos
2
KDC
2 - Le client Kerberos reçoit un TGT
comme confirmation de son
authentification. Le TGT permettra au
client d'obtenir des tickets pour les
services.
Yonel Grusson
39
Le Protocole Kerberos
Étape 2 : Obtention et utilisation d'un
ST (Service Ticket – ou – Ticket de service).
3
Client
Kerberos
Serveur
Kerberos
KDC
3 – Avec son TGT, le client Kerberos
demande un ticket pour s'authentifier
auprès d'un service.
Yonel Grusson
40
Le Protocole Kerberos
4 – Le client obtient son ticket
5 – Le client utilise son ticket pour utiliser
le service visé.
3
Client
Kerberos
KDC
4
5
Yonel Grusson
Serveur
Kerberos
Serveur
41
Documents connexes
IntroW200X
IntroW200X
Le Système de fichiers
Le Système de fichiers
Installation de SQL SERVER
Installation de SQL SERVER
Installation de SQL SERVER
Installation de SQL SERVER
La TRANSMISSION de l`information
La TRANSMISSION de l`information
La TRANSMISSION de l`information
La TRANSMISSION de l`information
Transmission
Transmission
un commerçant - une profession libérale - Commune de Villers-la
un commerçant - une profession libérale - Commune de Villers-la
Déploiement - Gaya Software
Déploiement - Gaya Software
Ethernet
Ethernet
Téléchargement
publicité