Server Les gestionnaires de réseau (L'offre Microsoft). Mise en place d'un domaine (Aspects théoriques). Yonel Grusson 1 Les différents modes de fonctionnement d’un réseau Le réseau Système Multiposte Système Client-Serveur Système Poste à Poste Yonel Grusson 2 Le réseau Interconnexion Yonel Grusson 3 Le réseau Un réseau est plus qu'une simple interconnexion de machines sans rôle prédéfini. L’interconnexion matérielle est assurée par un réseau local (Ethernet par exemple) ou étendu. Cet aspect matériel ne prend un sens qu'avec l'installation et l'utilisation d'un gestionnaire de réseau (logiciel) qui va donner à chaque machine un comportement vis à vis des autres machines. Yonel Grusson 4 Le réseau L'un des problèmes central de l'utilisation des ressources proposées par un réseau est l'authentification. Cette authentification, c'est à dire le droit d'utiliser la ressource, se fait le plus souvent par l'intermédiaire d'un login et d'un mot de passe. Yonel Grusson 5 Le système multiposte Historiquement le plus ancien, il est composé : De terminaux passifs ou plus généralement de micro-ordinateurs émulant un terminal (VT200, etc.). Ces terminaux n’ont aucune puissance de calcul. Cette dernière est mise en oeuvre par… Yonel Grusson 6 Le système multiposte «L’unité centrale», ordinateur puissant qui effectue tous les traitements. Le système Terminal/Server qui paraît correspond à ce principe de fonctionnement (traitement assuré par le serveur), ce rapproche plus du modèle client/serveur (le client possède dans ce cas une certaine puissance de traitement) Yonel Grusson 7 Le système multiposte Terminal Terminal Terminal “Unité centrale” Yonel Grusson Terminal Terminal Terminal Réseau Terminal Terminal Terminal 8 Le système multiposte Dans ce système, chaque utilisateur s'authentifie auprès de "l'unité centrale" qu'il désire utiliser. Yonel Grusson 9 Système Client/Serveur Le "comportement" actuellement le plus répandu est le modèle Client/Serveur. Client Réseau Serveur • Le client envoie une requête – Le serveur répond à la requête. • Ce sont avant tout des notions logiques ("soft"). On parlera d'applications clientes et d'applications serveurs. Ces 2 applications peuvent être sur la même machine mais généralement les machines sont spécialisées. Les applications serveurs sont sur des machines appelées serveurs 10 Yonel Grusson Système Client/Serveur Client Client Client Client Client Réseau Communications server Serveur de Base de Données Serveur de Fichiers Yonel Grusson Serveur d'impression Serveur de messagerie vers WAN, autres LANs et serveurs 11 De Baeriswyl Philippe Système Client/Serveur Dans ce système, chaque utilisateur s'authentifie auprès de l'application serveur (Oracle, IIS, SQL-Server, etc.). Dans le cas de Microsoft, cette authentification est parfois précédée d'une authentification auprès d'un domaine. Yonel Grusson 12 Système Poste à Poste Dans un réseau poste à poste les machines du réseau sont à la fois client et serveur (généralement serveur de fichiers et d’imprimantes) Yonel Grusson Client et Serveur Client et Serveur Client et Serveur Client et Serveur 13 Système Poste à Poste Dans ce système, chaque poste doit être configurer pour être en mesure d'authentifier toutes les demandes d'utilisateurs pouvant provenir de n'importe quel poste. Un réseau Microsoft est typiquement un réseau de cette catégorie. Que ce soit avec Windows 200x Serveur ou Professionnel une machine peut partager son disque, ses fichiers, ses imprimantes, ses applications (notion de WorkGroup). Yonel Grusson 14 Notion de Domaine Un domaine sera un système poste à poste avec une gestion centralisée de l'authentification. Au lieu d'avoir une base de comptes identique répliquée sur tous les postes, le domaine propose une seule base de comptes. Les postes s'authentifient alors auprès du serveur détenant cette base de comptes. Yonel Grusson 15 L'offre S.E Réseau (NOS) Unix, la plus ancienne. Windows NT et 200x de Microsoft, avec plus de la moitié du marché. Linux (Red Hat, Suse,Mandrake…), avec une part du marché en progression sur les serveurs (robustesse d'Unix, produits Apache et Samba). Netware de Novell, part de marché en baisse (reprise possible avec le passage sous Linux). 16 Yonel Grusson D'autres offres… Apple Share d'Apple. IBM LAN Server Basé sur OS/2 (suite de LanManager). Banyan VINES - Basé sur UNIX. Artisoft LANtastic. Netscape server products. etc. Yonel Grusson 17 NOS, Protocoles et Modèle OSI TCP or UDP SPX 3 IP IP IPX Other applications SMB NetBIOS TCP or UDP SPX IP IPX AppleTalk stack 4 TCP or UDP AppleShare AppleShare application AppleShare file service NetBEUI 5 NCP Windows NT application AppleTalk stack 6 NFS, TCP/IP, proprietary applications AppleTalk stack 7 Windows NT Server NetWare NetWare application TCP/IP Applications OSI UNIX UNIX application ATFP ATSP TCP or UDP TP IP DDP 2 Yonel Grusson 1 18 De Baeriswyl Philippe L'offre Microsoft Préhistoire : Collaboration Microsoft/IBM pour LanManager sous OS2. 1993 Windows NT 3.51 (reprise d'OS/2) Interface type Windows 3 1996 Windows NT 4.0 (système encore utilisé) Interface type Windows 95 Yonel Grusson 19 L'offre Microsoft 1999 - Windows 2000 (Professionnel – Serveur) Interface type Windows 98 Apparition d' l'Active Directory 2002 - XP (Professionnel - Familial) 2003 - Windows 2003 Serveur Interface type Windows XP Amélioration de Windows 2000. Yonel Grusson 20 L'offre Microsoft D'autres part, les produits Microsoft peuvent être "packagés" pour être spécialisés. Par exemple la gamme 2000 se décompose de la façon suivante : Windows 2000 professionnel Windows 2000 Server Windows Advanced Server (version server pouvant gérer 8 processeurs et une Mémoire de 8 Go + le Clustering) Windows Datacenter Server (version server pouvant gérer 32 processeurs et une Mémoire de 21 64 Go) Yonel Grusson L'offre Microsoft Parallèlement à ses systèmes d'exploitation serveurs, Microsoft propose de nombreuses "applications serveurs" : • SQL Server • Exchange • IIS • etc. Yonel Grusson 22 Mise en place d'un Domaine La création d'un domaine Windows 2000 passe par l'installation : D'un annuaire appelé par Microsoft "Active Directory" D'un serveur DNS (Le serveur DHCP n'est pas nécessaire dans un premier temps) Yonel Grusson 23 Mise en place d'un Domaine L'authentification des utilisateurs par un domaine est faite grâce au protocole de sécurité Kerberos. Yonel Grusson 24 Service d'Annuaire Un annuaire est une source d'informations utilisée pour stocker des informations sur des objets. Par exemple : Un annuaire téléphonique permet d'obtenir des informations sur des abonnés. Dans un système de fichiers, le répertoire (l'annuaire) contient des informations sur les fichiers. Yonel Grusson 25 Service d'Annuaire L'interconnexion des machines à l'aide d'un réseau et l'interconnexion des réseaux eux-mêmes amène l'apparition de nombreux objets : utilisateurs, ordinateurs, imprimantes, partages, serveurs, etc. Dés 1998, l'ISO s'intéresse à ce concept au travers de la norme X500 (étendue en 1993) Yonel Grusson 26 Service d'Annuaire Les services d'annuaires repose sur certains protocoles : LDAP (Lightweight Directory Acces protocol) version allégée (lightweight) de DAP X500. Ce protocole permet à un utilisateur d'accéder à un annuaire. DSP (Directory System Protocol) Ce protocole permet aux annuaires de "dialoguer" (annuaire réparti) Yonel Grusson 27 Service d'Annuaire Les services d'annuaires repose sur certains protocoles : DISP (Directory Information Shadowing Protocol) permet la réplication des annuaires Yonel Grusson 28 Service d'Annuaire Client de l'annuaire LDAP Serveur Annuaire A DSP DSP DISP DISP Serveur Annuaire C Yonel Grusson Serveur Annuaire B DISP DSP 29 Service d'Annuaire L'annuaire est la source d'information (en général une base de données objets). Le service (serveur) d'annuaire quant à lui permet de gérer et d'accéder à ces informations. Yonel Grusson 30 Le Serveur DNS Le serveur DNS (Domain Name System) permettra de mettre en relation un nom symbolique ( par exemple : infosrv.tsinfo.ab) et une adresse IP (Voir cours pour plus de détail) Yonel Grusson 31 Le Protocole Kerberos Depuis Windows 2000, l'authentification et les sécurités d'accès à un serveur Microsoft sont gérés par un protocole d’authentification réseau à clé secrète développé par le MIT : Kerberos. Le système d'authentification NT nommé "stimulation/réponse NTLM (NT Lan Manager)" est toujours actif sur les serveurs 2000 afin d'authentifier les stations (NT, 95 et 98) et les serveurs NT. Yonel Grusson 32 Le Protocole Kerberos Kerberos fonctionne sur le principe du tiers de confiance. Il permet à une entité nommée principal de sécurité (utilisateur, ordinateur, groupe, programme) d'obtenir un moyen sûr de s'identifier auprès des autres principaux du réseau. Kerberos n'autorise pas, il authentifie uniquement. Yonel Grusson 33 Le Protocole Kerberos Kerberos : Repose sur l'utilisation d'une clé privée (dérivée du mot de passe pour un utilisateur) et utilise l'algorithme de cryptage DES (Data Encryption Standard). Possède une base de donnée pour maintenir la correspondance Client/Clé_privée. Cette clé est connue seulement du client et de Kerberos (=tiers de confiance). L'usage de la clé est limité dans le temps. 34 Yonel Grusson Le Protocole Kerberos Le système met en jeu 3 acteurs : Le serveur Kerberos ou Key Distribution Center (KDC). Gère la base de donnée des principaux de sécurité et les clés associées. Les serveurs qui fournissent des services (telnet, ftp, etc…) Yonel Grusson 35 Le Protocole Kerberos Les clients (utilisateurs ou programmes). Entités pouvant obtenir un ticket pour utiliser ces services. Un client pour accéder aux services d'un serveur X devra utiliser le serveur Kerberos (tiers de confiance) pour s'identifier auprès du serveur X. Yonel Grusson 36 Le Protocole Kerberos Étape 1 : Obtention d'un TGT (Ticket Granting Ticket – ou – Ticket d'octroi de Ticket). Client Kerberos 1 Serveur Kerberos KDC 1 - Le client Kerberos (par l'intermédiaire de l'utilitaire Kinit) se connecte au serveur Kerberos au moyen de sa clé Yonel Grusson 37 Le Protocole Kerberos 1 Serveur Kerberos Client Kerberos 2 KDC 2 - Le client Kerberos reçoit un TGT comme confirmation de son authentification. Le TGT permettra au client d'obtenir des tickets pour les services. Yonel Grusson 38 Le Protocole Kerberos Étape 2 : Obtention et utilisation d'un ST (Service Ticket – ou – Ticket de service). 3 Client Kerberos Serveur Kerberos KDC 3 – Avec son TGT, le client Kerberos demande un ticket pour s'authentifier auprès d'un service. Yonel Grusson 39 Le Protocole Kerberos 4 – Le client obtient son ticket 5 – Le client utilise son ticket pour utiliser le service visé. 3 Client Kerberos KDC 4 5 Yonel Grusson Serveur Kerberos Serveur 40