À quoi sert Active Directory
by Alexandre Dedourges, DevSec
En informatique, un annuaire représente un système de stockage de données. Le Lightweight Directory Access Protocol est quant à lui un protocole permettant la manipulation de ces annuaires. L’AD (Active Directory) va donc permettre la modification et l’utilisation d’annuaires. Ces derniers sont grandement utilisés par les entreprises pour gérer les identités et leurs parcs informatiques. En effet, ils facilitent grandement la gestion des utilisateurs et des machines en centralisant celles-ci.
Une gestion des données via des annuaires
Les annuaires sont dérivés des bases de données hiérarchisées, bien qu’ils n’aient pas la même utilisation. En effet, un annuaire est avant tout voué à être consulté plutôt que modifié. Ce qui n’est pas forcément le cas d’une base de données classique. Contrairement aux bases de données dites "relationnelles", les annuaires sont organisés de façon hiérarchique et non pas sous forme de tableau. Leur principale particularité est qu’ils permettent de stocker des données pérennes dans le temps. En effet, ceux-ci sont surtout utilisés pour conserver des données qui ne sont pas souvent mises à jour. On peut par exemple y retrouver des coordonnées de personnes, des adresses électroniques… Les annuaires sont très pratiques pour effectuer des recherches sur une donnée en particulier. En effet, celles-ci peuvent être effectuées sur des critères en particulier. Les données récupérées peuvent ainsi être utilisées sur d'autres logiciels.
Des interrogations et des modifications basées sur le Lightweight Directory Access Protocol
Le Lightweight Directory Access Protocol est le protocole utilisé pour interroger et modifier les services d’annuaires. Il repose sur le protocole TCP/IP (Transmission Control Protocol et Internet Protocol). Suite à son utilisation de plus en plus importante il a évolué pour devenir une norme pour les systèmes d’annuaires. Il représente une structure arborescente, au sein de laquelle chaque nœud correspond à un attribut associé à une valeur (système de clé / valeurs). Il existe d'autres modèles comme le X.500 de l’UIT-T (Union Internationale des Télécommunications) mais celui-ci est plus complexe que le LDAP.
Actuellement la tendance est d’utiliser le même nommage que le DNS (Domain Name System) pour la base de l’annuaire (racine et premières branches).
Les composants de l’arborescence LDAP sont les suivants :
-
Domain Components (dc) pour les éléments de base
-
Organizational Units (ou) pour les branches plus profondes représentant des groupes ou des unités d’organisation
-
Common Name (cn) pour des personnes ou objets uniques
-
Des identifiants (uid) pour les identifiants de personnes ou objets uniques.
Enfin le Distinguished Name représente l’assemblage de tous les éléments d’une même branche. Pour l’exemple précédent on aurait par exemple :
La version actuelle du LDAP est la version 3 (LDAPv3), celle-ci est définie par l’IETF (Internet Engineering Task Force) dans plusieurs de ses RFC (Request For Comments). Ces RFC sont des documents de spécification à la base d’Internet.
L’Active Directory pour la gestion des identités en entreprise.
L’objectif principal de l’Active Directory est la mise en place de services centralisés, pour les authentifications et identifications sur un réseau informatique. Il peut être utilisé avec des systèmes de tout type que ce soit Windows, MacOS ou Linux. En plus de ces services, l’Active Directory permet aussi une gestion de l’attribution et de l’application des stratégies de groupes (qui permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory.).
L’AD (Active Directory), va permettre de répertorier les éléments d’un réseau. Ainsi il sera possible d’y répertorier les comptes utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les appareils connectés (imprimantes, etc)... De cette façon, il sera possible de définir des règles et des droits pour chaque élément appartenant à l’AD. Grâce à cela, un utilisateur peut facilement retrouver une ressource partagée. Les administrateurs quant à eux peuvent facilement contrôler l’utilisation des ressources à travers divers fonctionnalités.
Prenons par exemple une entreprise de 1000 salariés. Chaque information concernant les employés sera répertoriée dans l’annuaire (nom, prénom, poste occupé, mot de passe…) ainsi que ses droits. De cette manière un dossier protégé ou une machine sensible ne pourraient être accessibles, que par un employé disposant des droits nécessaires. Une fois authentifié, l’utilisateur pourra accéder à la ressource demandée à la condition d’avoir les autorisations nécessaires
L’Active Directory présente donc un avantage de taille pour la gestion des identités et des droits d’accès pour les entreprises. En particulier lorsque celles-ci commencent à gagner en ampleur.
Une gestion de parcs simplifiée
L’Active Directory est aussi un bon outil pour la gestion des parcs informatiques. En effet, il permet, si il est bien configuré, de savoir dans quel service se situe une machine par exemple.
Pour pouvoir l’utiliser sur d'autres systèmes que ceux de Windows (Windows Server) il est nécessaire d’utiliser Samba, qui est un logiciel d'interopérabilité. Celui-ci implémente le protocole propriétaire SMB (Server Message Block) / CIFS (Common Internet File System) de Microsoft Windows. Il peut être utilisé sur des ordinateurs tournant sous le système d'exploitation Unix et ses dérivés.
Active Directory et les contrôleurs de domaines
Pour pouvoir fonctionner l’Active Directory a besoin d’un service principal qui est le Service de Domaine Active Directory (en anglais : Active Directory Domain Services, AD DS). L’AD DS fait partie du système d’exploitation Windows Server. Chaque serveur qui exécute AD DS est appelé contrôleur de domaines. La plupart du temps les entreprises disposent de plusieurs contrôleurs de domaines. Chacun des ces domaines peut garder une copie de l’annuaire de l’intégralité du domaine. Pour conserver les informations à jour, chaque domaine à la possibilité de communiquer ses informations aux autres lorsqu’une modification à lieu. Ainsi les domaines ont la possibilité de conserver l’intégrité et la concordance de leurs données. Lorsque plusieurs annuaires sont utilisés, un catalogue global est nécessaire. Celui-ci est un annuaire central construit automatiquement sur la base de copies partielles des informations provenant des différents annuaires du réseau
AD et ADFS (Active Directory Federation Services)
L’Active Directory Federation Services est un composant de Windows Server. Celui-ci peut être installé sur les serveurs WIndows. Il permet de faciliter l’accès aux utilisateurs aux applications et aux systèmes. Il permet en effet de réaliser des authentification en dehors de la forêt. Il s’avère très pratique dans un monde de plus en plus connecté dans lequel il est souvent nécessaire de se connecter à des applications tiers, qui ne sont pas gérées par l’AD. En résumé, l'AD est très pratique tant que son utilisation ne sort pas de la forêt. L’ADFS quant à lui permet de pallier ce problème en implémentant les authentifications en dehors de celle-ci.
Quelques termes importants de la structure d’Active Directory
Il existe trois différents niveaux dits “principaux” dans l’Active Directory. Ce sont les domaines, l’arborescence et la forêt.
Domaine : Groupe dans lequel sont reliés les utilisateurs, les ordinateurs et autres objets uniques. Il peut être défini comme un périmètre de gestion.
Arborescence : Regroupement de plusieurs domaines
Forêt : Regroupement de plusieurs arborescences. Elle peut être définie comme un périmètre de sécurité. Pour pouvoir interagir entre eux, les objets de différentes forêts ont besoin que leurs forêts respectives aient établi des relations de confiance entre elles. Ce n’est pas le cas par exemple dans les domaines. En effet, dans un domaine, les objets peuvent interagir entre eux même s' ils n'appartiennent pas au même domaine.
L’Active Directory dans le Cloud avec Azure AD
Le principal défaut de l’Active Directory est qu’il ne peut pas être utilisé dans le Cloud, en effet celui-ci ne peut être utilisé qu’avec des environnements sur site. Pour pouvoir utiliser l’Active Directory avec des environnements en Cloud on peut utiliser Azure Active Directory. Bien qu’étant deux éléments différents ceux-ci peuvent être utilisés en même temps. Dans le cas d’un déploiement hybride où une entreprise aurait un environnement dans le Cloud et un autre sur site.
L’Active Directory, un outil massivement utilisé dans les grandes entreprises.
L'Active Directory est un outil très pratique pour la gestion des identités, des droits d’accès, des autorisations ou encore pour la gestion du parc informatique. L’Active Directory est aujourd’hui massivement utilisé dans les grandes entreprises. A tel point qu’environ 90% des entreprises du “Global Fortune 1000” l'utilisent en tant que méthode principale pour l’authentification et les autorisations selon le site Frost.com. L’Active Directory de Microsoft bien qu’étant en déclin reste une solution assez utilisée. Vos clients utilisent l’AD ? Vous pouvez utiliser notre solution pour l’implémentation d’un ADFS.
Alors prêt à en apprendre plus sur l’AD ? On vous en dit plus chez Cryptr.
Add enterprise SSO for free
Cryptr simplifies user management for your business: quick setup, guaranteed security, and multiple free features. With robust authentication and easy, fast configuration, we meet businesses' security needs hassle-free.