Post on 12-Sep-2018
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 1 sur 21
NOTE DE SYNTHESE :
Approbations et relations
entre contrôleurs de domaines
dans un réseau étendu.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 2 sur 21
Sommaire
Présentation de l’entreprise : .................................................................................................................. 3
Son histoire: ..................................................................................................................................... 3
Infrastructure technique de la DSIT : .............................................................................................. 3
Organigramme de la DSIT : ...................................................................................................................... 4
Scénario pour le projet : .......................................................................................................................... 5
Contexte actuel : ............................................................................................................................. 5
Objectif du projet : .......................................................................................................................... 5
Scénario envisagé : .................................................................................................................................. 6
Mise en place : ......................................................................................................................................... 7
Création des domaines : .................................................................................................................. 8
Configuration IP des serveurs : ........................................................................................................ 9
Ajout d’une machine au domaine « ecoles.activd » : ................................................................... 11
Création d’une relation d’approbation (trust relationship) : ........................................................ 14
Phase de tests : ...................................................................................................................................... 18
Conclusion ............................................................................................................................................. 21
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 3 sur 21
Présentation de l’entreprise :
Son histoire:
Créée le 21 novembre 2005 , Reims métropole est composé de 16 communes,
l’agglomération rémoise regroupe plus de 218000 habitants, 85% d’entre eux résidant à Reims,
Adeline Hazan, Maire de Reims est la Présidente de Reims Métropole.
Reims Métropole est responsable du développement économique, de la gestion de l’aménagement
du territoire, du transport, de l’environnement, mais aussi de l’habitat et de la cohésion sociale. La
Direction des Systèmes d’Information et des Télécommunications (DSIT) fait partie du groupe Reims
Métropole, elle est spécialisée dans le développement et le réseau comportant 52 employés. Elle est
donc chargée de permettre aux utilisateurs de mener à bien leurs projets. Il faut le souligner, il y a
plus de 200 métiers différents dans la collectivité.
Infrastructure technique de la DSIT : Les moyens informatiques des services publics sont répartis sur plus de 70 sites, des moyens
auxquels il convient d’ajouter 1200 ordinateurs répartis dans 120 écoles puis 2000 postes pour les
agents.
Pour répondre aux besoins en informatique et gérer l’infrastructure réseau, pour l’ensemble des
directions métiers et des collectivités, l’infrastructure est répartie entre deux sites, distants de cinq
kilomètres, reliés par fibre optique : Celui de la communauté Reims Métropole, et celui de la DSIT.
La salle serveur de la DSIT comporte 3 serveurs physiques ESX VmWare Quad-Core avec 256 Go de
RAM par serveurs, ces 3 serveurs permettent d’avoir 120 machines virtuelles en production et 60 en
tests.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 4 sur 21
Organigramme de la DSIT :
M. EHRLE Philippe : Tuteur de stage.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 5 sur 21
Présentation du projet :
Contexte actuel :
Côté Ville de Reims et Reims Métropole : Pour authentifier ses agents sur son réseau informatique (gestion des droits d’accès aux fichiers,
accès à la messagerie, accès internet), la collectivité (Ville de Reims et Reims Métropole) utilise un
annuaire de type Active Directory dont le nom le domaine est REIMS.LOC
Tous les postes des agents qui sont connectés au réseau doivent pouvoir joindre les deux contrôleurs
de domaine SRVPW-DC1 et/ou SRVPW-DC2 pour ouvrir entre autres la session sur leur poste, avoir
accès à leur messagerie, aux partages de fichiers aux applications et à l’accès internet (passerelle
internet CISCO IRONPORT).
Côté écoles La ville de Reims a souhaité gérer de façon centralisée les accès internet des écoles. Pour cela un
nouveau domaine a été créé : ECOLES.ACTIVD
L’ouverture de session sur ce domaine permettra aux enseignants de pouvoir se connecter sur la
passerelle Internet de la collectivité pour aller sur internet. Un compte générique par école a été
créé, il permettra la navigation par liste blanche.
Certains agents de la collectivité (personnels affectés à l’entretient des locaux, coordinateurs
périscolaires) sont parfois amenés à travailler depuis les écoles dans le domaine REIMS.LOC (pour
joindre l’intranet de la collectivité, aller sur internet et accéder à l’extranet).
Objectif du projet :
L’objectif du projet est de modéliser sous forme de maquette le fonctionnement suivant : tout en
conservant deux noms de domaines AD différents : REIMS.LOC et ECOLES.ACTIVD, on souhaiterait
restreindre au minimum les communications qui sortent des écoles à destination du Système
d’Information de la collectivité pour des raisons de sécurité.
Actuellement, tous les PC des écoles peuvent joindre les contrôleurs de domaines de REIMS.LOC et
ECOLES.ACTIVD
Dans la solution cible, les pc ne pourront voir que les contrôleurs de domaines ECOLES.AD, et ce sont
ces derniers qui iraient valider les ouvertures de session auprès des contrôleurs de domaines de la
collectivité REIMS.LOCAL. Cela restreindrait fortement les communications des écoles vers la
collectivité dans la mesure où seuls les contrôleurs de domaines d’ECOLES.ACTIVD seraient
susceptibles de joindre les contrôleurs de domaines de REIMS.LOCAL.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 6 sur 21
Scénario envisagé :
Tous les tests pour le déroulement du projet seront effectués sur des machines virtuelles
VMware consacrés aux phases de tests à l’aide d’un contrôle à distance de celles-ci avec VMware
vSphere Client 4.1.
- La création de 2 domaines différents : REIMS.LOC et ECOLES.ACTIVD seront effectués sous
Windows 2008 R2.
- Faire une relation d’approbation entre ces 2 domaines pour restreindre les communications des
postes appartenant au domaine « ecoles.activd » vers les serveurs du système d’information de la
collectivité du domaine « reims.loc ».
- Créer des Postes utilisateurs avec comme système d’exploitation windows7 et Windows XP ajoutés
aux domaines « ecoles.activd » et « reims.loc ».
- Pour finir, tester l’authentification des utilisateurs sur les différents domaines.
Le schéma ci-dessous représente deux contrôleurs de domaines situés dans deux VLANS différents (Un VLAN, Virtual Local Area Network, en français Réseau Local Virtuel est un réseau local regroupant un ensemble de machines de façon logique et non physique). Mais aussi deux postes clients appartenant à chaque domaine. Le SERVEUR-ECOLES aura deux cartes réseaux afin qu’il puisse communiquer avec le contrôleur de domaine « reims.loc » et le poste client Seven qui est situé dans un réseau différent.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 7 sur 21
Mise en place :
Nous allons utiliser l’interface VMware pour la création des machines virtuelles.
Pour mener à bien notre projet, nous avons donc créé 2 serveurs virtuels sous Win2008 R2 (SRVTW-
DC1-REIMS et SRVTW-DC1-ECOLES) sur VMware :
Puis la création d’une machine virtuelle PCTW-SEVEN-ECOLES sous Windows7 professionnel ajoutée
au domaine « ecoles.activd ».
Mais aussi la création de la machine virtuelle PCTW-XP sous Windows Xp professionnel ajoutée au
domaine « reims.loc ».
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 8 sur 21
Création des domaines :
Nous avons créé le domaine « reims.loc » en installant active directory (exécuter la
commande : « dcpromo ») sur le serveur virtuel SRVTW-DC1-REIMS en se connectant en tant
qu’administrateur.
On a donc fait de même pour le domaine « ecoles.activd » en installant Active Directory sur le
serveur virtuel SRVTW-DC1-ECOLES, le serveur devra comporter 2 cartes réseaux.
L'infrastructure DNS doit être mise en place afin que nos deux contrôleurs de domaine puissent se
trouver donc communiquer entre eux, on obtient ceci après les configurations IP pour le domaine
« ecoles.activd » en allant dans le gestionnaire DNS comme ceci :
Un serveur de noms DNS (permet d'établir la correspondance entre le nom de domaine et l'adresse IP des machines d'un réseau) définit une zone, c'est-à-dire un ensemble de domaines sur lequel le serveur a autorité. Le système de noms de domaine est transparent pour l'utilisateur, néanmoins il ne faut pas oublier le point suivant : Chaque ordinateur doit être configuré avec l'adresse IP d'une machine capable de transformer n'importe quel nom en une adresse IP ici : 10.80.1.29 /27. Cette machine est appelée Domain Name Server dans notre cas le SERVEUR-ECOLES.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 9 sur 21
Configuration IP des serveurs :
SERVEUR-REIMS ci-dessous:
SERVEUR-ECOLES carte 1 ci-dessous:
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 10 sur 21
SERVEUR-ECOLES carte 2 ci-dessous:
Remarque : Les configurations IP des serveurs et des machines sont obligatoires afin qu’ils
communiquent entre eux.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 11 sur 21
Ajout d’une machine au domaine « ecoles.activd » :
Nous avons créé un compte « utilisateur du domaine » à partir d’active directory, nous
l’avons appelé « user1 » et nous l’avons ajouté au domaine « ecoles.activd » pour cela il a fallu :
Se connecter en tant qu’administrateur du poste, puis configurer les paramètres IP de celle-ci pour
que la machine communique avec la deuxième carte réseau SERVEUR-ECOLES :
Dans le menu démarrer faites un clic droit sur « ordinateur » puis aller dans «Propriétés» puis
« modifier les paramètres » ensuite se rendre dans l’onglet « Nom de l'ordinateur ».
Cliquez alors sur « Modifier » et cocher Membre d'un « Domaine » puis entrer le nom de domaine
« ecoles.activd » comme le montre l’image ci-dessous :
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 12 sur 21
L’identifiant et le mot de passe de l’administrateur du domaine spécifié sera demandé.
La machine va redémarrer et sera dans le domaine « ecoles.activd », maintenant s’authentifier en
tant que « user1 » (utilisateur du domaine « ecoles.activd »).
Après authentification on peut constater que le client « user1 » sur la machine Windows7 fait bien
partie du domaine « ecoles.activd ».
On peut créer une GPO (Group Policy Object), c’est une commande qui sera exécutée a l’ouverture
de session de l’utilisateur en allant dans la gestion des stratégies de groupe située dans les outils
d’administration du contrôleur de domaine, elle bloquera l’accès à certaines ressources de
l’ordinateur pour l’utilisateur.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 13 sur 21
Maintenant il faudra aussi ajouter l’utilisateur « test » au domaine « reims.loc », pour cela il faut
procéder avec la même méthode, et configurer l’adresse IP du poste PCTW-XP :
Il faut donc renseigner l’adresse IP du serveur DNS de notre contrôleur de domaine « reims.loc »
pour qu’il puisse communiquer avec celui-ci.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 14 sur 21
Création d’une relation d’approbation (trust relationship) :
Maintenant que les deux clients ont été ajoutés aux domaines respectifs, nous allons créer
une relation d’approbation spécifique aux deux domaines pour mettre en place une politique
d’authentification des utilisateurs aux différents domaines.
Une relation d’approbation externe : Cette procédure décrit comment l’administrateur d’un
domaine peut créer une relation d’approbation entre deux domaines différents. Cette opération a
pour but de pouvoir authentifier des utilisateurs issus d’un domaine local au domaine spécifié.
Une approbation non transitive est limitée par les deux domaines de la relation d’approbation et ne
se déplace pas vers d’autres domaines de la forêt. Elle peut être une approbation bidirectionnelle ou
une approbation unidirectionnelle, dans notre cas elle sera unidirectionnelle.
Pour la créer, il faut se rendre dans les « outils d’administration » du serveur souhaité puis
« Domaine et approbations Active Directory ».
Après la création de l’approbation sur le domaine « reims.loc », on obtient ceci en allant dans les propriétés du domaine :
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 15 sur 21
Une approbation unidirectionnelle entrante : le domaine peut accéder aux ressource de l'autre domaine cible mais le contraire n'est pas possible. Ici, les utilisateurs du domaine local « ecoles.activd » peuvent accéder aux ressources du domaine spécifié « reims.loc ».
Pour valider l’approbation du coté du domaine « ecoles.activd », il faut aller dans les « propriétés » de l’approbation sortante, puis « valider ».
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 16 sur 21
Une approbation unidirectionnelle sortante : ici, les utilisateurs du domaine local « reims.loc » ne peuvent pas accéder aux ressources et s’authentifier au domaine spécifié « ecoles.activd ».
Sélectionner l’authentification pour toutes les ressources du domaine.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 17 sur 21
Voici un schéma représentant le fonctionnement et la direction de l’approbation qui ont été créés sur les deux domaines :
Domaine REIMS.LOC Domaine ECOLES.ACTIVD
La relation d’approbation est maintenant créée, les utilisateurs du domaine « reims.loc » pourront maintenant ouvrir une session à partir du domaine « ecoles.activd » grâce à l’étendue de l’authentification pour les utilisateurs et à la direction de l’approbation.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 18 sur 21
Phase de tests :
Nous allons maintenant ouvrir une session sur le poste Windows7 appartenant au domaine
« ecoles.activd », qui aura pour identifiant « reims.loc\test » (utilisateur que l’on a créé dans l’active
directory du domaine « reims.loc »).
L’ouverture de session est réussie grâce à nos relations d’approbations entre les deux domaines.
Mais dans le sens contraire, si l’on ouvre une session à partir du domaine « reims.loc » vers le
domaine « ecoles.activd » l’authentification échouera car l’approbation est unidirectionnelle.
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 19 sur 21
Sur notre SERVEUR-ECOLES nous avons effectué une capture de trames à laide du logiciel
WIRESHARK, nous allons voir le chemin emprunté quand l’utilisateur du domaine « reims.loc » ouvre
sa session à partir d’un ordinateur du domaine « ecoles.activd » :
Ligne 1à28 : L’utilisateur (192.168.2.10) interroge le domaine « ecoles.activd » (192.168.2.1) en
envoyant une requête DNS pour localiser le domaine « reims.loc »,
Ligne 33à58 : Le domaine « ecoles.activd » (10.80.1.29) va maintenant interroger le domaine
« reims.loc » (10.80.1.28) celui-ci lui répond qu’il est bien le domaine recherché par l’utilisateur.
Le Protocole DNS (Domain Name Service) C'est un protocole (des règles d'échange) qui permettent aux différents ordinateurs d'échanger des informations concernant les domaines. Il utilise un format de messages commun pour tous les échanges entre serveurs ou entre client et serveur. Le mécanisme consistant à trouver l'adresse IP correspondant au nom d'un hôte est appelé « résolution de nom de domaine ».
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 20 sur 21
Un Problème à été rencontré : Le temps d’ouverture de session pour les utilisateurs vers le domaine
« reims.loc » était anormalement long à cause d’un problème de résolution de nom. Le SERVEUR-
ECOLES envoi beaucoup de requêtes de broadcast pour trouver le domaine spécifié « reims.loc » ce
qui perturbe l’ouverture de session.
Solution : il est nécessaire de garantir que chaque domaine puisse résoudre les noms DNS de l’autre
domaine. Nous commençons par gérer les problèmes de résolution de nom. Pour résoudre cela, il faut
définir au niveau du gestionnaire Dns du SERVEUR-ECOLES, le nom du serveur de nom « reims.loc ».
Comme expliqué ci-dessous avec l’ajout d’une nouvelle zone de recherches directes.
Nouvelle zone de recherches directes :
En ajoutant la nouvelle zone « reims.loc », avec comme adresse IP : 10.80.1.28, sur le gestionnaire
DNS du SERVEUR-ECOLES, cela va permettre à l’utilisateur voulant se connecter au domaine
« reims.loc » d’accéder plus rapidement à l’ouverture de sa session, comme ci-dessous :
ZEDDA CLEMENT NOTE DE SYNTHESE S2SIO SISR
Page 21 sur 21
Conclusion
La création d’une relation d’approbation permet de lier deux forêts, ainsi les utilisateurs
d’un domaine pourront accéder aux ressources de l’autre domaine. De plus l’Active Directory
permet de gérer les utilisateurs présents sur le domaine, permet aussi de gérer les informations
les concernant et aussi de leurs attribuer l’accès à un domaine partagé.
L’Active Directory est donc utilisé pour gérer les utilisateurs du réseau en leur offrant différents
services et droits, et l’accès aux autres domaines seront possibles grâce à la création d’une
relation d’approbation entre les forêts.