Ces trois protocoles sont le LDAP, le DNS et le Kerberos. Pour chacun d'entre eux, nous verrons à quoi ils servent et pourquoi sont-ils si vitaux au bon fonctionnement de l'Active Directory.
La communication LDAPS a lieu sur le port TCP 636. La communication LDAPS à un serveur de catalogue global a lieu sur le port TCP 3269. Lors de la connexion au port 636 ou 3269, SSL/TLS est négocié avant l'échange du trafic LDAP.
En bref : LDAP est un protocole et Active Directory est un serveur. LDAP authentifie Active Directory – c'est un ensemble de directives pour envoyer et recevoir des informations (comme des noms d'utilisateur et des mots de passe) vers et depuis Active Directory.
Le protocole LDAP (Lightweight Directory Access Protocol) permet d'accéder à des bases d'informations sur les utilisateurs d'un réseau, via l'interrogation d'annuaires.
SGD prend en charge deux méthodes d'authentification des connexions à Active Directory, Kerberos et SSL. Kerberos est la méthode utilisée par défaut. Pour utiliser SSL, une configuration supplémentaire est obligatoire, reportez-vous à la Section 2.2.3.5, « Connexions SSL à Active Directory ».
Pourquoi utiliser LDAP ? Le principal avantage du protocole LDAP réside dans la possibilité de réunir les informations concernant toute une organisation dans un lieu central.
Active Directory (AD) est une base de données et un ensemble de services qui permettent de mettre en lien les utilisateurs avec les ressources réseau dont ils ont besoin pour mener à bien leurs missions.
Dans la zone de texte Attribut de connexion, sélectionnez un attribut de connexion LDAP à utiliser pour l'authentification dans la liste déroulante. Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L'attribut de connexion par défaut est uid.
Définition. Un service d'annuaire peut être associé à un système de stockage de données permettant de rendre accessible un ensemble d'informations à tous les utilisateurs de ce système. Exemple d'annuaire: carnet d'adresses, annuaire téléphonique, serveur DNS, ...
Un catalogue globale est un serveur de catalogue global. Il comporte un ensemble d'attributs complet pour le domaine dans lequel il réside et un sous-ensemble d'attributs pour tous les objets de la forêt Microsoft Active Directory.
Les systèmes d'exploitation Microsoft Windows Server implémentent le protocole d'authentification Kerberos version 5 et des extensions pour l'authentification des clés publiques.
L'avantage de Kerberos est de limiter le nombre d'identifiants et de pouvoir travailler sur un réseau non sécurisé. Les identifications sont uniquement nécessaires pour l'obtention de nouveaux tickets d'accès au TGS. Actuellement, deux implémentations de Kerberos version 5 existent pour OpenLDAP : MIT krb5.
ADDS – Active Directory Domain Services. Comme son nom l'indique, ADDS permet la mise en place des services de domaine Active Directory, autrement dit la mise en œuvre d'un domaine et d'un annuaire Active Directory. Ce rôle permet de gérer au sein d'un annuaire les utilisateurs, les ordinateurs, les groupes, etc.
Pour l'installer, vous devrez installer le paquet slapd . Installez également le paquet ldap-utils qui contient les utilitaires clients pour pouvoir interroger ou modifier votre annuaire. À l'installation de slapd, on vous demandera d'entrer le mot de passe de l'administrateur de votre annuaire.
Il est possible d'interroger l'annuaire LDAP de l'université via le site web pour connaître les numéros de bureau ainsi que les numéros de téléphone. Pour une recherche plus complète, on peut utiliser l'utilitaire en ligne de commande, « ldapsearch ». Sous OSX, il est normalement installé par défaut.
Pour créer une requête LDAP
Naviguez dans l'arborescence Directory Manager et sélectionnez un objet dans l'annuaire LDAP. La requête que vous créez renverra des résultats à partir de ce point de l'arborescence, vers le bas. Cliquez sur le bouton Nouvelle requête LDAP de la barre d'outils.
Accédez à Action > Connect to (Action > Se connecter à). Saisissez les paramètres de connexion suivants : Name (Nom) : saisissez un nom pour votre connexion, par exemple Google LDAP. Connection Point (Point de connexion) : sélectionnez ou saisissez un nom distinctif ou un contexte d'attribution de noms.
Active Directory Domain Services (AD DS) utilise des services de résolution de noms DNS (Domain Name System) pour permettre aux clients de localiser les contrôleurs de domaine et les contrôleurs de domaine qui hébergent le service d'annuaire pour communiquer entre eux.
C.
La base de données Active Directory est divisée de façon logique en trois partitions de répertoire (appelé « Naming Context »).
Sélectionnez Démarrer > Outils d'administration > Utilisateurs et ordinateurs Active Directory. Dans l'arborescence Utilisateurs et ordinateurs Active Directory, cherchez et sélectionnez votre nom de domaine. Déroulez l'arborescence pour trouver le chemin de votre hiérarchie Active Directory.
Le DN (Distinguished Name) d'un objet est un moyen d'identifier de façon unique un objet dans la hiérarchie. Un DN se construit en prenant le nom relatif de l'élément (RDN - Relative Distinguished Name), et en lui ajoutant l'ensemble des noms relatifs des entrées parentes.
EAP-MD5 est un autre standard ouvert IETF, mais il offre un niveau de sécurité faible. La fonction de hachage MD5 utilisée est vulnérable aux attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques.
HTTP Basic. Cette méthode est la plus simple mais également la moins sécurisée. L'utilisateur doit fournir un nom d'utilisateur et un mot de passe pour s'authentifier. Le nom d'utilisateur et le mot de passe sont concaténés avec deux points et le tout est encodé en base 64.