Grâce au protocole d'authentification Kerberos, SGD peut authentifier n'importe quel utilisateur de façon sécurisée dans n'importe quel domaine d'une forêt. L'authentification Active Directory est désactivée par défaut.
Le serveur d'authentification met en place un secret partagé (TGT) entre un utilisateur et le KDC. Ce secret est temporaire et est établi grâce au mot de passe de l'utilisateur qui permet de prouver son identité. Les services sont également authentifiés auprès de l'AS mais la clé n'expire pas.
Kerberos est l'un des protocoles d'authentification réseau les plus utilisés aujourd'hui. Il est souvent utilisé pour prendre en charge le SSO dans les grands réseaux d'entreprise, c'est la méthode d'authentification par défaut dans Windows et il joue un rôle essentiel dans Windows Active Directory (AD).
LDAP est un protocole qui permet à AD de fonctionner efficacement. Comme son nom l'indique, Lightweight Directory Access Protocol est un protocole léger qui permet d'accéder aux services d'annuaire. Il agit comme une solution de protocole pour Active Directory.
AD DS s'appuie sur plusieurs protocoles et normes établis, y compris les protocoles LDAP (Lightweight Directory Access Protocol), Kerberos et DNS (Domain Name System).
Ce service s'intègre avec la plupart des produits Microsoft Office et Microsoft Server. Lightweight Directory Access Protocol (LDAP) est un protocole, pas un service, qui permet de communiquer avec différents types d'annuaires (y compris Active Directory) et de les interroger.
Bien qu'on le retrouve dans d'autres systèmes, le protocole LDAP est surtout utilisé dans le service d'annuaire de Microsoft, Active Directory (AD). Il s'agit d'une immense base de données qui contient des informations sur tous les comptes utilisateur d'un réseau.
AD DS fournit des certificats de sécurité, l'authentification unique (SSO), LDAP, et la gestion des droits. La compréhension d'AD DS est une priorité absolue pour les professionnels de la réponse aux incidents et de la cybersécurité.
Pour gérer un domaine étranger à partir du Centre d'administration AD, on doit ouvrir l'outil en cliquant sur Démarrer/Outils d'administration/Centre d'administration Active Directory. L'ajout d'un nœud se fait en activant l'option Ajouter des nœuds de navigation située en haut de la fenêtre.
AD permet également la gestion des domaines, qui sont des groupes d'ordinateurs et d'utilisateurs qui partagent les mêmes paramètres de sécurité et les mêmes stratégies de groupe. Il permet également la gestion des forêts, qui sont des groupes de domaines qui partagent les mêmes informations d'annuaire.
Le schéma Microsoft Active Directory contient des définitions formelles de chaque classe d'objets qui peuvent être créées dans une forêt Active Directory. Le schéma contient également des définitions formelles de chaque attribut qui peut exister dans un objet Active Directory.
L'authentification Kerberos est actuellement la technologie d'authentification par défaut utilisée par Microsoft Windows, et on trouve des implémentations de Kerberos dans Apple OS, FreeBSD, UNIX, et Linux. Microsoft a introduit sa version de Kerberos dans Windows 2000.
Le système d'exploitation Windows implémente un ensemble par défaut de protocoles d'authentification, notamment Kerberos, NTLM, TLS/SSL (Transport Layer Security/Secure Sockets Layer) et Digest, dans une architecture extensible.
Le sigle TCP signifie « Transmission Control Protocol », soit protocole de contrôle des transmissions en français. Puisque la transmission de données se fait via les réseaux IP (Internet Protocol), on parle alors souvent de protocole TCP/IP pour le désigner.
Le protocole principal d'accès aux annuaires est LDAP qui permet d'ajouter, de modifier et de supprimer des données enregistrées dans Active Directory, et qui permet en outre de rechercher et de récupérer ces données.
Utiliser repadmin pour identifier les erreurs de réplication Active Directory à l'échelle de la forêt. Vous pouvez créer une feuille de calcul Microsoft Excel pour les contrôleurs de domaine à l'aide de la repadmin/showrepl commande pour afficher les erreurs de réplication.
Active Directory est un annuaire au format Microsoft qui a pour objectif de stocker des données qualifiées d'objets. Quant au LDAP, il s'agit d'un protocole d'accès aux informations. L'outil permet d'échanger des renseignements entre les annuaires compatibles au protocole. Le LDAP est un langage de requêtes.
Une forêt est un regroupement d'un ou de plusieurs domaines Active Directory qui partagent une structure logique commune, un schéma d'annuaire (définitions de classes et d'attributs), une configuration d'annuaire (informations de site et de réplication) et un catalogue global (fonctionnalités de recherche à l'échelle ...
Un système de noms de domaine, ou DNS, traduit les noms de domaine lisibles par l'homme (par exemple www.amazon.com) en adresses IP lisibles par une machine (par exemple, 192.0.2.44).
Pourquoi choisir OpenLDAP ? De nombreuses organisations optent pour OpenLDAP pour sa flexibilité et ses économies. OpenLDAP est hautement configurable pour les ingénieurs qualifiés, ce qui en fait un meilleur choix pour les organisations ayant des besoins de niche ou nuancés.
Un centre de distribution de clés (KDC) distribue des tickets Kerberos aux utilisateurs authentifiés. Un centre de distribution de clés émet deux types de tickets, comme suit: Un ticket principal, également appelé ticket d'octroi de ticket (TGT)
On distingue généralement deux grands types de protocoles : les protocoles routables et les protocoles non routables.
La base de données d'Active Directory s'appuie sur le moteur de base de données Microsoft JET développé en 1992. Microsoft Access s'appuie également sur la technologie JET.