DHCP
Dynamic Host Configuration Protocol
DHCP [RFC 2131 - 1997 ]
2
Administration Services RX Nizar chaabani
BUT
Permet à un ordinateur qui se connecte sur un réseau local d'obtenir et de configurer dynamiquement et automatiquement :
Son adresse IP
masque de son sous-réseau
passerelle par défaut
adresse IP du serveur DNS
nom de son domaine
3
Administration Services RX Nizar chaabani
Pourquoi utiliser le protocole DHCP ?
Le protocole DHCP simplifie et réduit le travail administratif grâce
à l'usage de la configuration automatique du protocole TCP/IP
Configuration manuelle du protocole TCP/IP
Les adresses IP sont entrées manuellement sur chaque ordinateur client
Risque d'entrer une adresse IP incorrecte ou non valide
Une configuration incorrecte peut entraîner des problèmes de réseau
Surcharge administrative sur les réseaux dont les ordinateurs sont souvent déplacés
Configuration automatique du protocole TCP/IP
Les adresses IP sont automatiquement fournies aux ordinateurs clients
Les clients utilisent toujours es informations de configuration correctes
La configuration du client est automatiquement mise à jour pour refléter les modifications dans la structure du réseau
4
Administration Services RX Nizar chaabani
Fonctionnement
Lorsque vous connectez un ordinateur sur le réseau il n’a
aucune connaissance de son adresse IP
Par contre il connait:
son adresse Mac
L’adresse de broadcast
5
Administration Services RX Nizar chaabani
Ordinateur A
Serveur DHCP
Réseau IP 192.168.10.0
Fonctionnement : étape 1
Le client A démarre, il n’a pas d’adresse IP
6
Administration Services RX Nizar chaabani
Ordinateur A
Serveur DHCP
Réseau IP 192.168.10.0
Fonctionnement : étape 2
L’ordinateur A émet un paquet de
découverte d’un serveur DHCP
DHCP Discovery
7
Administration Services RX Nizar chaabani
Ordinateur A
Serveur DHCP
Fonctionnement : étape 3
Le serveur DHCP propose une
configuration IP au client
DHCP Offer 192.168.10.9
DHCP Discovery
8
Administration Services RX Nizar chaabani
Ordinateur A
Serveur DHCP
Réseau IP 192.168.10.0
Fonctionnement : étape 4
L’ordinateur annonce (par diffusion)
accepter ou non la configuration IP
DHCP Request
DHCP Offer 192.168.10.9
9
Administration Services RX Nizar chaabani
Ordinateur A
Serveur DHCP
Fonctionnement : étape 5
Le serveur acquitte ou non la réponse du
client
192.168.10.9
DHCP Ack
DHCP NAck
10
Administration Services RX Nizar chaabani
Fonctionnement
Administration Services RX Nizar chaabani
11
Fonctionnement
Administration Services RX Nizar chaabani
12
Fonctionnement du DHCP
Administration Services RX Nizar chaabani
13
Gestion des adresses IP
Une adresse obtenue par DHCP est valide :
pour une période donnée (bail, lease)
La durée du bail est paramétrable :
en général 48 heures (minimum : 1h)
possibilité de prolonger le bail
14
Administration Services RX Nizar chaabani
Gestion des adresses IP
Possibilité de réserver des adresses IP à
certaines adresses MAC
Le serveur DHCP peut fournir dans son
offre de nombreux paramètres IP :
@ passerelle
@ serveurs : DNS, WINS
…
15
Administration Services RX Nizar chaabani
Mise en œuvre de DHCP
Côté client :
Sélectionner l’attribution automatique d’adresse
IP (on parle de « client DHCP »)
Côté serveur :
Installer le service DHCP
Autoriser le serveur DHCP (le rendre actif)
Définir la ou les plages d’adresses (étendues), les
exclusions d’adresses et la durée du bail …
16
Administration Services RX Nizar chaabani
Demande de bail/adresse IP
Le poste client vient de se connecter, il n’a pas
d’adresse IP
En DHCP une adresse IP n’est fournit que pour un
temps donné : Le bail. C’est pourquoi on parle de
demande de bail plutôt que d’adresse IP
Un bail a une durée : lease-time
17
Administration Services RX Nizar chaabani
Comment le protocole DHCP alloue des adresses IP
Serveur DHCP
Adresse1 IP : Louée au Client1 DHCP
Adresse2 IP : Louée au Client2 DHCP
Adresse3 IP : Disponible pour un bail
Client2 DHCP :
Configuration IP
du serveur DHCP
Client non-DHCP :
Configuration
IP statique
Client1 DHCP :
Configuration IP
du serveur DHCP
Renouvellement
d'un bail
Création d'un bail
DHCP
Base de données
18
Administration Services RX Nizar chaabani
Comment fonctionne le processus de création d'un
bail DHCP
Le client DHCP diffuse un paquet DHCPDISCOVER 1
Le client DHCP diffuse un paquet DHCPOFFER 2 Le client DHCP diffuse un paquet DHCPREQUEST 3 Le serveur DHCP Server1 diffuse un paquet DHCPACK 4
Client
DHCP
Serveur
DHCP
Server1
Serveur
DHCP
Server2
19
Administration Services RX Nizar chaabani
Comment fonctionne le processus de renouvellement d'un
bail DHCP
Le serveur DHCP Server1 envoie un paquet DHCPACK 2
Le client DHCP envoie un paquet DHCPREQUEST 1
Client DHCP Serveur
DHCP
Server1
Serveur
DHCP
Server2
50% de la durée du bail s'est écoulée
87.5% de la durée du bail s'est écoulée
100% de la durée du bail s'est écoulée
Si le client n'est pas parvenu à renouveler son bail
lorsque
50% de la durée du bail s'est écoulée, la procédure de
renouvellement du bail DHCP commence lorsque
87,5%
de la durée du bail s'est écoulée
Si le client n'est pas parvenu à renouveler son bail lorsque 87,5% de la durée du bail s'est écoulée, la procédure de création de bail DHCP recommence avec un client DHCP diffusant un DHCPDISCOVER
Client DHCP Serveur
DHCP
Server1
Serveur
DHCP
Server2
50% de la durée du bail s'est écoulée
Le client DHCP envoie un paquet DHCPREQUEST 1
Le serveur DHCP Server1 envoie un paquet DHCPACK 2
20
Administration Services RX Nizar chaabani
Demande de bail - UN serveur DHCP
C’est SEULEMENT après t0 que le client peut utiliser l’adresse IP communiquée par le serveur jusqu’à t0 + lease-time
time DHCPDiscover
2 DHCPOffer
1
DHCPRequest 3
4 DHCPAck
client
serveur
t0
21
Administration Services RX Nizar chaabani
Trames DHCP
DHCPDISCOVER :Permet de trouver un serveur DHCP. La trame est une trame de « broadcast », elle est envoyée à l’adresse 255.255.255.255. Le client n’ayant pas d’adresse prend l’adresse 0.0.0.0
DHCPOFFER : contient une proposition de bail, l’adresse IP du serveur et l’adresse Mac du client.
DHCPREQUEST : indique à tous les serveurs quel bail il a accepté et/ou demande de renouvellement de bail
DHCPACK : le serveur confirme le bail.
22
Administration Services RX Nizar chaabani
Demande de renouvellement de bail
Le client peut utiliser l’adresse IP communiquée
par le serveur jusqu’à t1+lease-time
time
DHCPRequest 3
4 DHCPAck
client
serveur
t1
23
Administration Services RX Nizar chaabani
Les paquets IP échangés Lors d’un
renouvellement de bail
Source Destination Protocol Info
192.168.0.9 192.168.0.253 DHCPRequest
192.168.0.253 192.168.0.9 DHCPAck
24
Administration Services RX Nizar chaabani
Message DHCP
25
Administration Services RX Nizar chaabani
Message DHCP
Envoyé par le Client
DHCPDISCOVER demande de localisation des serveurs
DHCP
DHCPREQUEST demande de bail
DHCPDECLINE refus d’adresse IP, elle est déjà utilisée
DHCPRELEASE libération son bail
DHCPINFORM demande de paramètres locaux (autre
qu’une adresse IP)
26
Administration Services RX Nizar chaabani
Message DHCP
Envoyé par le Serveur
DHCPOFFER réponse à un DHCPDISCOVER
DHCPACK contient des paramètres et l'adresse IP du
client
DHCPNAK refus de bail
27
Administration Services RX Nizar chaabani
Encapsulation d’un message DHCP
IP
par exemple Ethernet
DHCP BOOTP
UDP
Message DHCP
UDP IP Eth
Trame contenant un
message « DHCP »
28
Administration Services RX Nizar chaabani
BOOTP: Protocole de démarrage Une station récupère les informations pour s’amorcer (« booter ») sur un serveur
« d’amorçage » distant
Trame contenant un message DHCP
Message DHCP
Port source
Port destination du datagramme
Adresse IP source
Adresse IP destinataire du paquet IP
Adresse physique de l’émetteur
Adresse physique du destinataire de
la trame
UDP
IP
Ethernet
29
Administration Services RX Nizar chaabani
Le Problème de l’oeuf et la
poule
A moment de la demande de bail,
Est-ce que le client connaît son adresse physique ?
Est-ce que le client connaît l’adresse physique du serveur
DHCP ?
QUE FAIRE ???
Niveau
physique 30
Administration Services RX Nizar chaabani
Le Problème de l’oeuf et la
poule A moment de la demande de bail,
Est-ce que le client connaît l’adresse IP du serveur DHCP ?
Est-ce que le client connaît son adresse IP ?
Est-ce que le serveur DHCP connaît l’adresse
IP du client?
QUE FAIRE ???
Niveau
réseau 31
Administration Services RX Nizar chaabani
DIFFUSION niveau physique
Diffusion (broadcast) distribution de la requête DHCP à
tous les postes connectés
Client
DHCP Adresse de
diffusion:
ff:ff:ff:ff:ff:ff
32
Administration Services RX Nizar chaabani
DIFFUSION niveau réseau
Diffusion (broadcast) distribution de la requête DHCP à
tous les postes connectés
Client
DHCP Utilsation de
l’adresse IP de
diffusion générique
255.255.255.255
33
Administration Services RX Nizar chaabani
Niveau Transport - requêtes
Le client DHCP envoie la requête sur le port 67. Le
serveur DHCP écoute sur le port 67.
Serveur DHCP 67
Client
DHCP
34
Administration Services RX Nizar chaabani
Niveau Transport - réponses
Le serveur DHCP envoie la requête sur le port 68.
Le client DHCP écoute sur le port 68.
Serveur DHCP 68
Client
DHCP
35
Administration Services RX Nizar chaabani
DHCP : le client utilise un port réservé
Port serveur DHCP 67
Port Client DHCP 68
Client
DHCP
65
66
67
68
69
Serveur
DHCP
65
66
67
68
69
36
Administration Services RX Nizar chaabani
Trame contenant un DHCPDiscover
Message DHCPDiscover
68
67
0.0.0.0
255.255.255.255
00:20.8f:b9:49:37
ff:ff:ff:ff:ff:ff
UDP
IP
Ethernet
37
Administration Services RX Nizar chaabani
Trame contenant
DHCPDiscover
Message DHCPDiscover
68
67
0.0.0.0
255.255.255.255
00:20.8f:b9:49:37
ff:ff:ff:ff:ff:ff adresse
physique de
diffusion
Adresse IP
de
diffusion
générique
Adresse
physique du
client DHCP
Port
source datagamm
e
Adresse
IP
« neutre »
38
Administration Services RX Nizar chaabani
Trame contenant un DHCPOffer
Message DHCPOffer
67
68
192.168.0.253
00.00.b4:bb:7d:ee
00:20.8f:b9:49:37
UDP
IP
Ethernet
39
Administration Services RX Nizar chaabani
DHCPOffer
Message DHCPOffer
67
68
192.168.0.253
00.00.b4:bb:7d:ee
00:20.8f:b9:49:37
adresse
physique
du client
Adresse
physique du
serveur DHCP
Port
source datagamm
e
Adresse
IP serveur
DHCP
40
Administration Services RX Nizar chaabani
Trame contenant un DHCPRequest
Message DHCPRequest
68
67
0.0.0.0
255.255.255.255
00:20.8f:b9:49:37
ff:ff:ff:ff:ff:ff
UDP
IP
Ethernet
41
Administration Services RX Nizar chaabani
Demande de baux DES serveurs DHCP
DHCPDiscover
DHCPOffer
DHCPRequest
DHCPAck
time
client serveur serveur
DHCPDiscover
DHCPOffer
DHCPRequest
Le client refuse
mon offre
42
Administration Services RX Nizar chaabani
Bilan des échanges lors d’une
demande de bail
43
Administration Services RX Nizar chaabani
Les paquets IP échangés
Source Destination Protocol Info
0.0.0.0 255.255.255.255 DHCPDiscover
# le serveur DHCP vérifie que l’adresse IP qu’il veut offrir n’est pas utilisée
Serveur DHCP Broadcast ARP 192.168.0.9?
192.168.0.253 DHCPOffer
0.0.0.0 255.255.255.255 DHCPRequest
192.168.0.253 192.168.0.9 DHCPACK
# le client vérifie via ARP que personne n’utilisa sa nouvelle adresse
Client DHCP Broadcast ARP 192.168.0.9?
44
Administration Services RX Nizar chaabani
45
La configuration IP obtenue par un client Windows n'apparaît pas
dans l'interface graphique elle peut être visualisée avec la
commande IPCONFIG :
IPCONFIG –ALL : Affiche toutes les informations de la
configuration TCP/IP
IPCONFIG –RELEASE : Supprime les informations de la
configuration TCP/IP
IPCONFIG -RENEW : Renouvelle les informations de la
configuration TCP/IP
Les options RELEASE et RENEW peuvent s'appliquer à toutes ou à
certaines interfaces
Client DHCP
Configuration d'un agent de
relais DHCP
Qu'est-ce qu'un agent de relais DHCP ?
Comment fonctionne un agent de relais DHCP
Comment un agent de relais DHCP utilise le nombre
de tronçons
Comment un agent de relais DHCP utilise le seuil de
démarrage
Comment configurer un agent de relais DHCP
46
Administration Services RX Nizar chaabani
Agent relais DHCP
Il est possible d'éviter d'avoir 2 serveurs DHCP en installant un
"Agent relais DHCP"
Matériellement la fonction "Agent relais DHCP" peut être
assurée par une machine du réseau ou un routeur qui autorise
la retransmission du trafic broadcast.
Administration Services RX Nizar chaabani
47
Réseau B
Réseau A
Serveur
DHCP
Machine
Relais DHCP
Routeur
relais
DHCP
Qu'est-ce qu'un agent de relais DHCP ?
Un agent de relais DHCP est un ordinateur ou un routeur configuré pour écouter les messages DHCP/BOOTP des clients DHCP et les transmettre aux serveurs DHCP sur différents sous-réseaux
Serveur DHCP
Client
Agent de relais DHCP
Client Client Client
Routeurs
Monodiffusion
Diffusion
Sous-
réseau A
Sous-
réseau B
Diffusion
48
Administration Services RX Nizar chaabani
Agent de relais DHCP
Router Routeur Client
1
Client
2
Agent de relais DHCP
Client1 Client2
DHCP
Server
Client
3
Serveur DHCP
Client
3
Comment fonctionne un agent de relais DHCP
Client3 Client2
Client1 Router Routeur Client
1
Client
2
Agent de relais DHCP
Client
1
Client
2
DHCP
Server
Client
3
Serveur
DHCP
Client
3
Serveur DHCP
Client3
Agent de relais DHCP
Client2 Client1
Routeur
Client1 diffuse un paquet DHCPDISCOVER 1 L'agent de relais transmet le message DHCPDISCOVER au
serveur DHCP 2
Le serveur envoie un message DHCPOFFER à l'agent de relais
DHCP 3
L'agent de relais diffuse le paquet DHCPOFFER 4
Client1 diffuse un paquet DHCPREQUEST 5 L'agent de relais transmet le message DHCPREQUEST au
serveur DHCP 6
Le serveur envoie un message DHCPACK à l'agent de relais
DHCP 7
L'agent de relais diffuse le paquet DHCPACK 8
49
Administration Services RX Nizar chaabani
Comment un agent de relais DHCP utilise le nombre de
tronçons
Le seuil du nombre de tronçons représente le nombre de routeurs à travers lesquels le paquet peut être transmis avant d'être rejeté
Agent de relais DHCP 2
Serveur DHCP
Nombre de tronçons= 2
Agent de relais DHCP 1
50
Administration Services RX Nizar chaabani
Serveur DHCP 2
Serveur DHCP 3
Serveur DHCP Local
Agent de relais DHCP
Seuil de démarrage
= 10 secondes
Comment un agent de relais DHCP utilise le seuil de
démarrage
Serveur DHCP 2
Serveur DHCP 3
Serveur DHCP Local
Agent de relais DHCP
Seuil de démarrage
= 10 secondes
Le seuil de démarrage est la durée en secondes pendant laquelle l'agent de relais DHCP attend qu'un serveur DHCP local réponde aux requêtes des clients avant de transmettre la requête
51
Administration Services RX Nizar chaabani
Format d’un message BOOTP
OP
serveur adresse IP
HLEN
adresse IP client (écrit par le client)
gaterway adresse IP
adresse physique du client
secs
identifiant session
HTYPE HOPS
flags
nom du serveur
Fichier d’amorçage
OPTION
adresse IP client (proposée par le serveur)
52
Administration Services RX Nizar chaabani
Format d’un message DHCP
OP
serveur adresse IP
HLEN
adresse IP client (écrit par le client)
gaterway adresse IP
adresse physique du client
secs
identifiant session
HTYPE HOPS
flags
nom du serveur
Fichier d’amorçage
OPTIONS définies dans DHCP
adresse IP client (proposée par le serveur)
53
Administration Services RX Nizar chaabani
SERVICES DNS
Admin Serv RX
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
54 Administration Services RX Nizar chaabani
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
Résolution de Noms et Résolution inverse
Depuis 1984, les systèmes ont recours principalement à DNS pour la résolution de noms
Adresse sous forme de nom plus agréable à manipuler qu’une adresse IP
a résolution de nom (forward lookup) permet de trouver une adresse IP à partir d'un nom
la résolution inverse (reverse lookup) permet de trouver un nom à partir d'une adresse IP
55
Administration Services RX Nizar chaabani
Vue d'ensemble du système DNS
DNS est une base de données distribuée hiérarchisée qui contient les mappages de noms de domaine DNS à divers types de données, notamment des adresses IP
DNS est à la base du système de noms Internet, mais aussi du système de noms d'une organisation
DNS prend en charge l'accès aux ressources à l'aide de noms alphanumériques
Le système DNS a été conçu pour résoudre les problèmes posés par une augmentation :
du nombre d'hôtes sur Internet
du trafic généré par le processus de mise à jour
de la taille du fichier Hosts
56
Administration Services RX Nizar chaabani
D.N.S. Signifie, selon les cas, plusieurs choses
Domain Name System : l'ensemble des organismes qui
gèrent les noms de domaine.
Domain Name Service : le protocole qui permet
d'échanger des informations à propos des domaines.
Domain Name Server : un ordinateur sur lequel fonctionne un
logiciel serveur qui comprend le protocole DNS et qui peut
répondre à des questions concernant un domaine.
57
Administration Services RX Nizar chaabani
Qu'est-ce qu'un espace de noms de
domaines ?
Domaine racine
Sous-domaines
Domaine de
second niveau
Domaine de
niveau supérieur
FQDN : server1.sales.rfid.edipax.com
rfid
Edipax
com
sales
west east
org net
Hôte : server1
58
Administration Services RX Nizar chaabani
Lecture des noms de domaine
A l’inverse de l’adressage IP la partie la plus significative si situe à gauche de la syntaxe :
sun2.ethernet1.centralweb.fr / 193.148.37.201
vers le plus significatif vers le plus significatif
sun2. ethernet1. centralweb.fr
domaine français (.fr)
domaine de l’organisation CentralWeb
sous-domaine CentralWeb
machine sun2 du domaine ethernet1. centralweb.fr
59
Administration Services RX Nizar chaabani
Principes de résolution
La communication entre clients et serveurs des services des noms utilise le protocole dns à partir des protocoles udp et tcp, usuellement le port 53.
Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (réponse).
60
Administration Services RX Nizar chaabani
Parcours de l’arborescence
Pour déterminer l’adresse ip correspondant au nom :
www.security.com.fr.
Il faut trouver :
un NS (serveur de noms) de la racine .
interroger pour un obtenir NS de fr.
Interroger pour un NS de com.fr.
Le NS de security.com.fr. identifie www.
61
Administration Services RX Nizar chaabani
Quels sont les composants d'une solution
DNS ?
Serveurs DNS sur Internet Serveurs DNS Clients DNS
Racine « . »
.com
.edu Enregistrements
de ressources
Enregistrements
de ressources
62
Administration Services RX Nizar chaabani
Qu'est-ce qu'une requête DNS ?
Les clients DNS comme les serveurs DNS peuvent lancer des requêtes de résolution de noms
Un serveur DNS qui fait autorité pour l'espace de noms de la requête peut :
Consulter le cache et la zone, puis renvoyer l'adresse IP demandée
Renvoyer une réponse négative qui fait autorité
Un serveur DNS qui ne fait pas autorité pour l'espace de noms de la requête peut :
Transmettre la requête qu'il ne sait pas résoudre à un serveur spécifique appelé redirecteur
Utiliser les indications de racine pour trouver une réponse à la requête
Une requête est une demande de résolution de noms envoyée à un
serveur DNS. Il existe deux types de requêtes : requêtes récursives
et requêtes itératives
63
Administration Services RX Nizar chaabani
Fonctionnement des requêtes récursives
Computer1
Requête récursive
pour
mail1.edipax.com
172.16.64.11
Une requête récursive est une requête envoyée à un serveur DNS dans laquelle le client DNS demande au serveur de fournir une réponse complète
Le serveur DNS essaie de trouver une réponse dans
la zone de recherche directe et dans le cache
Base de
données
Serveur DNS local
64
Administration Services RX Nizar chaabani
Fonctionnement des indications de
racine Les indications de racine sont des enregistrements de ressources DNS stockés sur un serveur DNS qui répertorient les adresses IP des serveurs racines du système DNS
microsoft
Cluster de serveurs DNS
Indications de racine
local
Cluster de serveurs racines (.)
com
Computer1
65
Administration Services RX Nizar chaabani
Fonctionnement des requêtes
itératives Une requête itérative est une requête envoyée à un serveur DNS dans laquelle le client DNS demande la meilleure réponse que peut fournir le serveur DNS sans faire appel à d'autres serveurs DNS. Le résultat d'une requête itérative est souvent une référence à un autre serveur DNS situé plus bas dans l'arborescence DNS
Computer1
Serveur
DNS local
edipax.com
Indication de racine (.)
.com
Requête itérative
Interroger .com
3
2
1
66
Administration Services RX Nizar chaabani
Fonctionnement des redirecteurs
Un redirecteur est un serveur DNS que d'autres serveurs DNS internes désignent comme responsable du transfert des requêtes pour la résolution de noms de domaines DNS externes ou hors site
Computer1
edipax.com
Indication de racine (.)
.com
Requête itérative
Interroger .com
Serveur DNS
local
Redirecteur
67
Administration Services RX Nizar chaabani
Fonctionnement de la mise en cache du
serveur DNS
La mise en cache est le processus qui consiste à stocker temporairement
dans un sous-système de mémoire spécial des informations ayant fait
l'objet d'un accès récent pour y accéder plus rapidement ensuite
Où se
trouve
ClientA ?
Client1
Client2
ClientA
ClientA est à l'adresse
192.168.8.44
Où se
trouve
ClientA ?
ClientA est à
l'adresse
192.168.8.44
Table de mise en cache
Nom d'hôte Adresse IP Durée de vie
clientA.edipax.com. 192.168.8.44 28 secondes
68
Administration Services RX Nizar chaabani
Configuration des zones DNS
Stockage et maintenance des données DNS
Que sont les enregistrements de ressources et les
types d'enregistrements ?
Qu'est-ce qu'une zone DNS ?
Quels sont les types de zones DNS ?
Que sont les zones de recherche directe et inversée ?
Comment configurer des zones de recherche directe
et inversée
69
Administration Services RX Nizar chaabani
Stockage et maintenance des données DNS
local
Fichier de zone :
rfid.edipax.eu.dns
ClientA DNS
Enregistrements de ressources pour la zone rfid.edipax.eu
Nom d'hôte Adresse IP
ClientA DNS 192.168.2.45
ClientB DNS 192.168.2.46
ClientC DNS 192.168.2.47
ClientB DNS ClientC DNS
Espace de noms : rfid.edipax.eu
Un enregistrement de ressource est une structure de base de données DNS standard qui contient des informations utilisées pour traiter les requêtes DNS
Une zone est une portion de la base de données DNS qui contient les enregistrements de ressources dans lesquels le nom du propriétaire appartient à la portion contiguë de l'espace de noms DNS
70
Administration Services RX Nizar chaabani
Que sont les enregistrements de ressources et
les types d'enregistrements ?
Type d'enregistrement
Description
A Résout un nom d'hôte en adresse IP
PTR Résout une adresse IP en nom d'hôte
SOA Premier enregistrement dans tout fichier de zone
SRV Résout les noms des serveurs qui fournissent des services
NS Identifie le serveur DNS associé à chaque zone
MX Serveur de messagerie
CNAME Résout un nom d'hôte en nom d'hôte
71
Administration Services RX Nizar chaabani
Qu'est-ce qu'une zone DNS ?
edipax
West rfid
Support Sales rfid
North
72
Administration Services RX Nizar chaabani
Quels sont les types de zones DNS ?
Zones Description
Principale
Copie en lecture/écriture d'une base de
données DNS
Secondaire
Copie en lecture seule d'une base de données DNS
Stub
Copie d'une zone contenant certains
enregistrements seulement
Lecture/
écriture
Lecture
seule
Copie de
certains
enregistrements
73
Administration Services RX Nizar chaabani
Que sont les zones de recherche directe
et inversée ? Espace de noms : rfid.edipax.eu
Client1 DNS Client2 DNS
Client3 DNS
Serveur DNS autorisé pour rfid
Zone directe
rfid
Client1 DNS 192.168.2.45
Client2 DNS 192.168.2.46
Client3 DNS 192.168.2.47
Zone
inversée
1.168.192.in
-addr.arpa
192.168.2.45 Client1 DNS
192.168.2.46 Client2 DNS
192.168.2.47 Client3 DNS
Client2 DNS = ?
192.168.2.46 = ?
74
Administration Services RX Nizar chaabani
Fonctionnement des serveurs DNS préférés
et auxiliaires
1. Le serveur DNS préféré est celui que le client contacte en premier
2. Si le serveur préféré échoue, le client essaie le serveur DNS auxiliaire
3. Il est possible de spécifier toute une liste de serveurs DNS auxiliaires
4. Les serveurs préférés et auxiliaires spécifiés dans la page Propriétés sont automatiquement placés en tête de liste et sont interrogés dans l'ordre de la liste
75
Administration Services RX Nizar chaabani
Application des suffixes
Option de sélection de suffixe
Liste de recherche de suffixes de domaine
Suffixe spécifique à la connexion
Requête de nom =
server1
server1.sales.rfid.edipax.com
server1.rfid.edipax.com
server1.edipax.com
76
Administration Services RX Nizar chaabani
77 Administration Services RX Nizar chaabani
78 Administration Services RX Nizar chaabani
79 Administration Services RX Nizar chaabani
La commande dig permet d'interroger des
serveurs DNS (man dig), elle accepte des
paramètres plus fins que la
commande nslookup (man nslookup) qui existe
également sous windows, mais un peu différente
Les commandes Netsh pour DHCP offre un outil de
ligne de commande utile à l'administration des
serveurs DHCP et fournit une solution alternative
équivalente à la gestion sur console. Elles sont utiles
dans les cas suivants :
80
Administration Services RX Nizar chaabani
LDAP
LIGHTWEIGTH DIRECTORY ACCESS
PROTOCOL
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
81 Administration Services RX Nizar chaabani
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
Définitions et concepts
Un annuaire est un conteneur d’informations organisées.
Exemples d’annuaires courants
annuaire téléphonique : Les Pages Jaunes
carnet d’adresses
catalogue de vente
Un annuaire global célèbre très utilisé : DNS
82
Administration Services RX Nizar chaabani
Un annuaire est une base de données, mais
une base de données n’est pas un annuaire
Qu’est-ce qu’un annuaire
Répertoire en ligne, dynamique
Possibilité de faire des recherches
Contrôle d’accès à l’information
Ce n’est pas:
destiné à manipuler des données volumineuses
un substitut à un serveur FTP, un système de
fichiers,...
83
Administration Services RX Nizar chaabani
Domaine
OU1
Ordinateurs
Ordinateur 1
Utilisateurs
Utilisateur 1
Utilisateurs
Utilisateurs 2
OU2
Imprimantes
Imprimante 1
Définition d'un service d'annuaire
Un référentiel d'informations structuré sur les
personnes et les ressources d'une organisation
Rosalie Mignon
Attributs Valeurs
Nom
Bâtiment
Étage
Rosalie Mignon
117
1
84
Administration Services RX Nizar chaabani
85
Administration Services RX Nizar chaabani
LDAP : Protocole Qui utilise le Port TCP 389
Facettes de LDAP
LDAP définit :
le protocole -- comment accéder à l’information contenue dans l’annuaire,
un modèle d’information -- le type d’information contenu dans l’annuaire,
un modèle de nommage -- comment l’information est organisée et référencée,
un modèle fonctionnel -- comment on accède à l’information,
un modèle de sécurité -- comment données et accès sont protégés,
un modèle de duplication -- comment la base est répartie entre serveurs,
des API -- pour développer des applications clientes,
LDIF -- un format d’échange de données.
86
Administration Services RX Nizar chaabani
Protocole (2): client-serveur
bind
status
requête
Réponse 1
Réponse 2
résultat
unbind
L’authentification est faite pendant le bind.
87
Administration Services RX Nizar chaabani
Modèle de nommage / modèle
d’information
Le modèle de nommage définit comment
sont organisées les entrées de l’annuaire
et comment elles sont référencées.
Le modèle d’information définit le type de
données pouvant être stockées dans
l’annuaire.
88
Administration Services RX Nizar chaabani
Modèle de nommage /
modèle d’information
c=fr
o=ventes
ou=aspirateurs
cn=maurice_duplantier
country
must c
may description
may searchguide
organization
must o
may businessCategory
may postalAddress
organizationalUnit
must ou
may businessCategory
may registeredAddress
person
must cn,sn
may description
89
Administration Services RX
Nizar chaabani
Le modèle de nommage
Organisation des entrées : structure logique arborescente,
le directory information tree (DIT)
Chaque objet est une instance d’objet
Chaque entrée est identifiée par un nom, le
DN=distinguished name
Le “suffix” définit l’espace de nommage dont le serveur a
la gestion
Un noeud de l’arbre (entrée de l’annuaire) est appelé DSE
(directory service entry)
Sommet de l’arbre: BaseDN ou rootDSE racine de l’arbre
90
Administration Services RX Nizar chaabani
Duplication: replication
Le modèle de duplication (replication service) définit comment
dupliquer l’annuaire sur plusieurs serveurs.
Pas encore standard, mais est proposé par la plupart des serveurs.
L’IETF prépare le protocole LDUP.
Master slapd
slave slapd
91
Administration Services RX Nizar chaabani
Dupliquer l’annuaire :
Pallier à une panne de
l’un des serveurs, une
coupure du réseau,
surcharge du service.
vulnérabilités
Déni de service
Codes BER semi-valides, requete malformées => freeze
Mesures compensatoires
Firewall
Opérations signées
Buffer overflow
Attaquant récupère les privilèges système, ou privilège de la database
Mesures compensatoires
Tourner ldap en chroot
92
Administration Services RX Nizar chaabani
CONFIGURATION DE
WINDOWS SERVER
ACTIVE DIRECTORY
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
93 Administration Services RX Nizar chaabani
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
La mise en place d'un domaine Windows 200x passe
par l'installation :
D'un annuaire appelé par Microsoft "Active Directory"
D'un serveur DNS
(Le serveur DHCP n'est pas nécessaire dans un premier
temps)
L'Active Directory 94
Administration Services RX Nizar chaabani
L'Active Directory
L'Active Directory de Microsoft est le service
d'annuaire fourni par Windows 200x Server
(abandon de la notion de base de comptes
intégrée dans la base de registre)
L'Active Directory supporte les protocoles suivants :
TCP/IP : protocole réseau
DNS : la gestion des noms de domaine Windows
200x repose sur ce service.
95
Administration Services RX Nizar chaabani
L'Active Directory supporte les protocoles suivants :
DHCP : Distribution d'adresses IP. Il renseigne le
DNS sur les adresses distribuées (DHCP
dynamique).
SNTP : protocole de distribution de l'heure.
Toutes les machines W2k doivent être
synchronisées car l'authentification Kerberos se
base sur un ticket horodaté.
L'Active Directory 96
Administration Services RX Nizar chaabani
L'Active Directory supporte les protocoles
suivants :
LDAP : protocole d'accès à l'annuaire
KERBEROS : permet l'authentification
LDIF : permet la synchronisation de l'annuaire
(Lightweight Data Interchange Format)
L'Active Directory 97
Administration Services RX Nizar chaabani
L'Active Directory Racine .lyc
Un domaine Windows 2000 comprendra un ou
plusieurs serveurs. Les objets du domaine sont décrits
dans l'Active Directory.
Domaine tsinfo.lyc
Serveur : infosrv1
(infosrv1.tsinfo.lyc)
Serveur : infosrv2
(infosrv2.tsinfo.lyc) Domaine
tscompta.lyc
Serveur : cptsrv
(cptsrv.tscompta.lyc) Domaine
stage.tsinfo.lyc
Serveur : st1
(st1.stage.tsinfo.lyc)
D'autres domaines peuvent
être créés. Ils sont reliés
entre eux hiérarchiquement
par des relations des
d'approbation
bidirectionnelles transitives
Les domaines ainsi reliés forment un ARBRE
98
Administration Services RX Nizar chaabani
L'Active Directory
Administration Services RX Nizar chaabani
99 Racine .adm
Domaine scola.adm
Serveur : sco1
(sco1.scola.adm)
Domaine adminlab.adm
Serveur : jtsrv
(jtsrv.adminlab.adm)
Les ARBRES ainsi reliés forment une FORET
Racine .lyc
Domaine tsinfo.lyc
Serveur : infosrv1
(infosrv1.tsinfo.lyc)
Serveur : infosrv2
(infosrv2.tsinfo.lyc) Domaine
tscompta.lyc
Serveur : cptsrv
(cptsrv.tscompta.lyc) Domaine
stage.tsinfo.lyc
Serveur : st1
(st1.stage.tsinfo.ly
c)
Les objets de l'Active Directory sont : Un compte d'utilisateur
Un ordinateur
Un dossier partagé publié
Un groupe
Une imprimante publiée
Un contact Un objet contact est un compte qui ne dispose d’aucune autorisation de sécurité. Vous ne pouvez pas
vous connecter au réseau en tant que contact. Les contacts représentent les utilisateurs externes dans le cadre de la messagerie par exemple
L'Active Directory 100
Administration Services RX Nizar chaabani
Les objets de l'Active Directory sont Une unité organisationnelle
Les unités d’organisation sont utilisées comme
conteneurs pour organiser de façon logique des
objets d’annuaire tels que les utilisateurs, les
groupes et les ordinateurs …
L'Active Directory 101
Administration Services RX Nizar chaabani
Tous les objets ont des attributs, par exemple :
Nom et prénom d'un utilisateur
Nom de partage d'un dossier
Certains attributs sont obligatoires (nom de l'utilisateur)
d'autres sont facultatifs (son numéro de téléphone)
L'Active Directory 102
Administration Services RX Nizar chaabani
L'ensemble des attributs sont définis dans le SCHEMA
Le composant enfichable Schema Active Directory
permet de modifier le schéma pour ajouter des
attributs (attention, il est impossible d'en supprimer).
L'Active Directory 103
Administration Services RX Nizar chaabani
Exemple de création d'une A.D
L’objectif de cet exemple est de créer 2 forêts bts et
sts.
La forêt bts sera composée de 2 arbres.
Le premier arbre composé :
Du domaine : mozart géré par les serveurs vienne et valse ;
Du sous-domaine : vivaldi géré par le serveur saisons.
104
Administration Services RX Nizar chaabani
La forêt bts sera composée de 2 arbres.
L’arbre (domaine) : chopin géré par le serveur danube.
La forêt sts sera composée de l’arbre (domaine) : clapton géré par le serveur eric.
Exemple de création d'une A.D
105
Administration Services RX Nizar chaabani
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.150)
vivaldi.mozart.bts
Srv : saisons
(172.16.41.200)
chopin.bts
Srv : danube
(176.16.41.250)
sts
clapton.sts
Srv : eric
(172.16.41.50)
bts
Exemple de création d'une A.D
106
Administration Services RX Nizar chaabani
Première étape (1)
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.100)
bts Rappel : Lors de la 1ère partie de
l'installation du système, le
futur serveur à été appelé :
VIENNE
Installation de l'Active Directory sur le serveur
VIENNE
107
Administration Services RX Nizar chaabani
Première étape (1)
108
Administration Services RX Nizar chaabani
Première étape (1)
109
Administration Services RX Nizar chaabani
Première étape (1)
110
Administration Services RX Nizar chaabani
Première étape (1)
111
Administration Services RX Nizar chaabani
Première étape (1)
112
Administration Services RX Nizar chaabani
Première étape (1)
113
Administration Services RX Nizar chaabani
Installation d'un second serveur sur le domaine
mozart.bts (serveur VALSE)
Première étape (2)
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.100)
bts
114
Administration Services RX Nizar chaabani
Première étape (2)
Configuration préalable :
"Pointer" sur le serveur DNS qui
gère l'Active Directory du
domaine mozart.bts
115
Administration Services RX Nizar chaabani
Première étape (2)
116
Administration Services RX Nizar chaabani
Première étape (2)
117
Administration Services RX Nizar chaabani
Première étape (2)
118
Administration Services RX Nizar chaabani
Première étape (2)
Résultat dans l'Active Directory 119
Administration Services RX Nizar chaabani
Première étape (2)
Résultat dans le serveur DNS (VIENNE) 120
Administration Services RX Nizar chaabani
Deuxième étape
chopin.bts
Srv : danube
(176.16.41.250)
bts
Installation d'un second domaine : chopin.bts 121
Administration Services RX Nizar chaabani
Deuxième étape
Configuration préalable :
"Pointer" sur le serveur DNS qui
gère l'Active Directory du
domaine mozart.bts, premier
serveur ayant été installé.
122
Administration Services RX Nizar chaabani
Deuxième étape
123
Administration Services RX Nizar chaabani
Deuxième étape
124
Administration Services RX Nizar chaabani
Deuxième étape
125
Administration Services RX Nizar chaabani
Deuxième étape
Administration Services RX Nizar chaabani
126
Deuxième étape
Résultat dans l'Active Directory 127
Administration Services RX Nizar chaabani
Deuxième étape
Résultat dans le serveur DNS (DANUBE) 128
Administration Services RX Nizar chaabani
Deuxième étape
Résultat dans le serveur DNS (VIENNE) 129
Administration Services RX Nizar chaabani
Deuxième étape Relations d'approbations entre les domaines
130
Administration Services RX Nizar chaabani
Deuxième étape Relations d'approbations entre les domaines
131
Administration Services RX Nizar chaabani
Deuxième étape Relations d'approbations entre les domaines
132
Administration Services RX Nizar chaabani
Troisième étape
mozart.bts
Srv : vienne
(172.16.41.100)
Srv : valse
(172.16.41.100)
vivaldi.mozart.bts
Srv : saisons
(172.16.41.200)
bts Création du sous-domaine vivaldi
133
Administration Services RX Nizar chaabani
Troisième étape
Configuration préalable :
"Pointer" sur le serveur DNS qui
gère l'Active Directory du
domaine mozart.bts, premier
serveur ayant été installé.
134
Administration Services RX Nizar chaabani
Troisième étape
135
Administration Services RX Nizar chaabani
Troisième étape
136
Administration Services RX Nizar chaabani
Troisième étape
Administration Services RX Nizar chaabani
137
Troisième étape
Résultat dans l'Active Directory 138
Administration Services RX Nizar chaabani
Troisième étape
Résultat dans le serveur DNS (VIENNE) 139
Administration Services RX Nizar chaabani
Relations d'approbations entre les domaines
Troisième étape
140
Administration Services RX Nizar chaabani
Quatrième étape
Création de l'arborescence "sts" et du domaine "claption.sts"
sts
clapton.sts
Srv : eric
(172.16.41.50)
141
Administration Services RX Nizar chaabani
Quatrième étape
142
Administration Services RX Nizar chaabani
Quatrième étape
143
Administration Services RX Nizar chaabani
Quatrième étape
144
Administration Services RX Nizar chaabani
Quatrième étape
145
Administration Services RX Nizar chaabani
Quatrième étape
Résultat dans l'Active Directory 146
Administration Services RX Nizar chaabani
Quatrième étape
Résultat dans le serveur DNS (ERIC) 147
Administration Services RX Nizar chaabani
LE PROTOCOLE SNMP
(SIMPLE NETWORK MANAGEMENT
PROTOCOL)
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
148 Administration Services RX Nizar chaabani
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
SNMP : Motivation
Nécessité d ’avoir un protocole permettant de
remonter des informations sur l ’activité des
différentes ressources du réseau (les serveurs, les
routeurs, les hubs, etc).
149
Administration Services RX Nizar chaabani
Qu’est ce que le protocole SNMP ?
SNMP est un protocole de gestion réseaux
Il s’appuie sur 4 composantes principales :
Des agents
Un ou plusieurs managers
Une MIB (Management Information Base)
Des trames
150
Administration Services RX Nizar chaabani
Modèle d ’administration SNMP
Une administration SNMP est composée de trois types d'éléments :
des agents chargés de superviser un équipement. On parle
d'agent SNMP installé sur tout type d'équipement.
une ou plusieurs stations de gestion capables d'interpréter les
données
une MIB (Management Information Base) décrivant les
informations gérées (objets administrés).
SNMP permet la supervision, le contrôle et la modification
des paramètres des éléments du réseau.
Administration Services RX Nizar chaabani
151
Le modèle OSI
152
Administration Services RX Nizar chaabani
Présentation de SNMP
Protocole d’administration de machines supportant TCP/IP
SNMP Version 1 (SNMPv1)
Mécanisme de sécurité basé sur la notion de communauté (mot
de passe en clair dans les requêtes et réponses)
SNMP Version 2 (SNMPv2)
Amélioration des performances :
Demande des données en bloc et non plus variable par
variable et Meilleur gestion des erreurs
SNMP Version 3 (SNMPv3)
Remplacement de la communauté par un nom d'utilisateur
Ajout d'un mot de passe
Crypté en DES
Administration Services RX Nizar chaabani
153
Présentation de SNMP
Répond à un grand nombre de besoins :
Administrer à distance des machines indépendamment
de leur architecture
Disposer d’une cartographie du réseau
Fournir un inventaire précis de chaque machine
Mesurer la consommation d’une application
Signaler les disfonctionnements
Administration Services RX Nizar chaabani
154
L ’architecture de SNMP
SNMP fonctionne au dessus de UDP
Administration Services RX Nizar chaabani
155
Les requêtes SNMP
Recherche d’informations :
GetRequest : recherche d’une variable sur un agent.
GetNextRequest : recherche de la variable suivante.
GetBulkRequest : recherche d’un groupe de variables
Modification de valeurs :
SetRequest : permet de changer la valeur d’une variable d’un agent.
Envoie d’informations
Trap : détection d’un incident
156
Administration Services RX Nizar chaabani
Les réponses SNMP
Une seule réponse existe.
Elle est différente s’il y a une erreur ou non.
Aucune erreur :
GetResponse : renvoie la ou les valeurs souhaitées
En cas d’erreur :
GetResponse mais accompagné d’un NoSuchObject
157
Administration Services RX Nizar chaabani
Les PDUs SNMP
Administration Services RX Nizar chaabani
158
Les Ports SNMP
Administration Services RX Nizar chaabani
159
Administration Services RX Nizar chaabani
160
MIB (Management Information Base)
Ensemble d’objets structurés de manière arborescente
Accès à un objet via un Object Identifier (OID)
Deux MIB normalisées: MIB I et MIB II
Références des informations réseau (interfaces, ip …)
MIB privée sous le nœud enterprises
Une MIB n’est pas une base de données mais une « dispatch table »
161
Administration Services RX Nizar chaabani
La MIB (Management Information Base)
1 ressource à gérer = 1 objet
Les objets administrables sont une abstraction des ressources
physiques (interfaces, équipements, etc.) et logiques (connexion
TCP, paquets IP, etc.)
MIB : collection structurée d’objets reconnus par les agents
Chaque noeud dans le système doit maintenir une MIB qui reflète
l’état des ressources gérées
Une entité d'administration peut accéder aux ressources du
noeud en lisant les valeurs de l'objet ou en les modifiant
MIB: 2 objectifs
Un schéma commun : SMI (Structure of Management Information)
Une définition commune des objets et de leur structure
Administration Services RX Nizar chaabani
162
Arbre des MIB accessibles
Administration Services RX Nizar chaabani
163
Identificateur d ’un objet de la MIB
Identificateur d ’un objet:
Identificateur unique = séquence d ’entiers dont chacun
représente la position de ces successeurs dans l ’arbre.
Exemple: identificateur de l ’objet MIB :
Administration Services RX Nizar chaabani
164
Le groupe MIB-2
Administration Services RX Nizar chaabani
165
1- 2- 3- 4- 5- 6- 7- 8- 9-IpInDelivers
1 – 3 – 6 – 1 – 2 – 1 – 4 – 9
Addr. Trans. 3
Syst 1
Interface 2
IP 4
ICMP 5
TCP 6
UDP 7
EGP 8
MIB I 1
2
Directory 1
Mgmt 2
Experim. 3
Private 4
Internet 1
2
3
4
1
2
3
4
5
DoD 6
STD 0
ORG 3
2
1
UIT 0
ISO 1
2
166
Administration Services RX Nizar chaabani
La structure numérique de la MIB
system 1.3.6.1.2.1.1
interfaces 1.3.6.1.2.1.2
at 1.3.6.1.2.1.3
ip 1.3.6.1.2.1.4
Icmp 1.3.6.1.2.1.5
tcp 1.3.6.1.2.1.6
udp 1.3.6.1.2.1.7
egp 1.3.6.1.2.1.8
rmon 1.3.6.1.2.1.9
transmission 1.3.6.1.2.1.10
snmp 1.3.6.1.2.1.11
Administration Services RX Nizar chaabani
167
Les formats des requêtes SNMP sont spécifiées par une
description en ASN.1 (Abstract Syntax Notation 1).
Le principe de la syntaxe de transfert est que chaque
valeur transmise contient trois champs :
Un identificateur
La longueur en octets du champ de données
Le champ de données
Requête SNMP 168
Administration Services RX Nizar chaabani
ASN1.ppt
Le format des messages SNMP comprend plusieurs
champs :
Le champ Tag identifie le type de la trame.
Le champ Longueur contient la longueur totale de la trame.
Le champ Version est utilisé pour une compatibilité entre les
différentes versions SNMP.
Le champ community Name contient le nom de la
communauté utilisée dans le processus d'authentification.
Requête SNMP
Tag Longueur
du message
Version
Community Name
Le champ PDU
169
Administration Services RX Nizar chaabani
Le format des messages SNMP comprend plusieurs
champs :
Le champ PDU comprend 5 valeurs :
La PDU GetRequest
La PDU GetNextRequest
La PDU SetRequest
La PDU GetRespons
La PDU Trap
Requête SNMP
Tag Longueur
du message
Version
Community Name
Le champ PDU
170
Administration Services RX Nizar chaabani
Le format des messages SNMP comprend plusieurs
champs :
Requête SNMP
Tag Longueur
du message
Version
Community Name
Le champ PDU
VarBindList
Error Index
Error Status
Request ID
Lg PDU
Tag PDU
Format d'une PDU
171
Administration Services RX Nizar chaabani
Structure des informations d ’Administration
(SMI)
La MIB contient des éléments simples (scalaire et tableaux à deux
dimensions de scalaires)
SMI (Structure of Management information) : donne les règles de
définition, d'accès et d'ajout des objets dans la MIB (méta-modèle)
Objectifs : encourager la simplicité et l'extension de la base
d ’informations d’Administration :
Représentation identique des objets >>> rendre un objet accessible de la
même manière sur chaque entité du réseau
L ’objet administré peut être considéré d ’être composé d ’un type d ’objet
et une instance.
SMI définit le type d ’objets et non leur instance.
Administration Services RX Nizar chaabani
172
Structure des informations d ’Administration (SMI)
Un objet possède :
un nom (Descripteur + identificateur d ’objet)
une syntaxe utilisant ASN.1 (Abstract Syntaxe Notation)
une définition qui est un texte de description de l ’objet
un accès qui spécifie les droits d ’accès à l ’objet (read only,
read-write or not accessibe)
Un statut qui spécifie si l ’objet est courant (mondatory ou
optional) ou obsolète.
un schéma de codage BER (Basic Encoding Rules)
Administration Services RX Nizar chaabani
173
Structure des informations d ’Administration
(SMI)
Les caractéristiques d ’un objet sont regroupées dans la définition
d ’une macro qui définie la structure d ’un type d ’objet :
OBJECT-TYPE MACRO ::=
BEGIN
TYPE NOTATION ::=
"SYNTAX" type (TYPE ObjectSyntax)
"ACCESS" Access
"STATUS" Status
VALUE NOTATION ::= value (VALUE ObjectName)
Access ::= "read-only »|"read-write" |"write-only" |"not-accessible’’
Status ::= "mandatory« |"optional« |"obsolete" |"deprecated"
END
Administration Services RX Nizar chaabani
174
Structure des informations d ’Administration
(SMI)
atIndex OBJECT-TYPE
SYNTAX Integer
ACCESS read-write
STATUS mandatory
DESCRIPTION « Numéro d’interface logique."
::= { atEntry 1 }
Administration Services RX Nizar chaabani
175
Exemple de fichier ASN.1
Affectation de la branche general à la branche
accelance via l’OID 1
ACCELANCE-MIB DEFINITIONS ::= BEGIN
…
accelance MODULE-IDENTITY
…
::= { enterprises 9697 }
general OBJECT IDENTIFIER ::= { accelance 1 }
…
release OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"Type d’OS utilisé"
::= { general 1 }
Identification d’un fichier ASN.1
Rattachement de la branche Accelance à la branche enterprises via
l’OID 9697
Définition de la variable realease
&
Rattachement de celle-ci à la branche general
Désormais nous pouvons accéder à la variable release de la manière suivante :
.iso.dod.internet.private.enterprises.accelance.general.release.0
176
Administration Services RX Nizar chaabani
Mécanismes de sécurité de SNMP
L ’autorisation est l ’intersection entre le mode d ’accès
défini par la communauté et l ’accès à l ’objet défini
parmi les caractéristiques de l ’objet.
Mode d’accès read-only read-write write-only not-accessible
read-only 3 3 1 1
read-write 3 2 4 1
où les classes sont définies par :
1 no right 3 get, get-next, trap
2 get, get-next, set, trap 4 set, trap
Administration Services RX Nizar chaabani
177
outils de supervision
Les logiciels libres
HP OpenView ou Tivoli d'IBM
Les logiciels payants
Microsoft Operations Manager 2005
IBM Tivoli Monitoring
BMC Patrol
Administration Services RX Nizar chaabani
178
outils de supervision
Cacti
Zabbix
Nagios
Zenoss
Administration Services RX Nizar chaabani
179
INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE SILIANA 180
Administration Services RX Nizar chaabani
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlTop Related