ADMINISTRATION DES SERVICES RÉSEAUX - …m.academiepro.com/uploads/cours/2015_10_02_cours... · ADMINISTRATION DES SERVICES RÉSEAUX [email protected] ... peut entraîner

ADMINISTRATION DES

SERVICES RSEAUX

[email protected]

http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html

INSTITUT SUPERIEUR DES

ETUDES TECHNOLOGIQUES

DE SILIANA

Rpublique Tunisienne

Ministre de l'Enseignement suprieur et de la Recherche scientifique

http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.html

DHCP

Dynamic Host Configuration Protocol

DHCP [RFC 2131 - 1997 ]

2

Administration Services RX Nizar chaabani

BUT

Permet un ordinateur qui se connecte sur un rseau local d'obtenir et de configurer dynamiquement et automatiquement :

Son adresse IP

masque de son sous-rseau

passerelle par dfaut

adresse IP du serveur DNS

nom de son domaine

3


Pourquoi utiliser le protocole DHCP ?

Le protocole DHCP simplifie et rduit le travail administratif grce

l'usage de la configuration automatique du protocole TCP/IP

Configuration manuelle du protocole TCP/IP

Les adresses IP sont entres manuellement sur chaque ordinateur client

Risque d'entrer une adresse IP incorrecte ou non valide

Une configuration incorrecte peut entraner des problmes de rseau

Surcharge administrative sur les rseaux dont les ordinateurs sont souvent dplacs

Configuration automatique du protocole TCP/IP

Les adresses IP sont automatiquement fournies aux ordinateurs clients

Les clients utilisent toujours es informations de configuration correctes

La configuration du client est automatiquement mise jour pour reflter les modifications dans la structure du rseau

4


Fonctionnement

Lorsque vous connectez un ordinateur sur le rseau il na

aucune connaissance de son adresse IP

Par contre il connait:

son adresse Mac

Ladresse de broadcast

5


Ordinateur A

Serveur DHCP

Rseau IP 192.168.10.0

Fonctionnement : tape 1

Le client A dmarre, il na pas dadresse IP

6


Ordinateur A

Serveur DHCP

Rseau IP 192.168.10.0


Lordinateur A met un paquet de

dcouverte dun serveur DHCP

DHCP Discovery

7


Ordinateur A

Serveur DHCP


Le serveur DHCP propose une

configuration IP au client

DHCP Offer 192.168.10.9

DHCP Discovery

8


Ordinateur A

Serveur DHCP

Rseau IP 192.168.10.0


Lordinateur annonce (par diffusion)

accepter ou non la configuration IP

DHCP Request

DHCP Offer 192.168.10.9

9


Ordinateur A

Serveur DHCP


Le serveur acquitte ou non la rponse du

client

192.168.10.9

DHCP Ack

DHCP NAck

10


Fonctionnement du DHCP

Le diagramme dtats

11


Gestion des adresses IP

Une adresse obtenue par DHCP est valide :

pour une priode donne (bail, lease)

La dure du bail est paramtrable :

en gnral 48 heures (minimum : 1h)

possibilit de prolonger le bail

12


Gestion des adresses IP

Possibilit de rserver des adresses IP

certaines adresses MAC

Le serveur DHCP peut fournir dans son

offre de nombreux paramtres IP :

@ passerelle

@ serveurs : DNS, WINS

13


Mise en uvre de DHCP

Ct client :

Slectionner lattribution automatique dadresse

IP (on parle de client DHCP )

Ct serveur :

Installer le service DHCP

Autoriser le serveur DHCP (le rendre actif)

Dfinir la ou les plages dadresses (tendues), les

exclusions dadresses et la dure du bail

14


Demande de bail/adresse IP

Le poste client vient de se connecter, il na pas

dadresse IP

En DHCP une adresse IP nest fournit que pour un

temps donn : Le bail. Cest pourquoi on parle de

demande de bail plutt que dadresse IP

Un bail a une dure : lease-time

15


Comment le protocole DHCP alloue des adresses IP

Serveur DHCP

Adresse1 IP : Loue au Client1 DHCP

Adresse2 IP : Loue au Client2 DHCP

Adresse3 IP : Disponible pour un bail

Client2 DHCP :

Configuration IP

du serveur DHCP

Client non-DHCP :

Configuration

IP statique

Client1 DHCP :

Configuration IP

du serveur DHCP

Renouvellement

d'un bail

Cration d'un bail

DHCP

Base de donnes

16


Comment fonctionne le processus de cration d'un

bail DHCP

Le client DHCP diffuse un paquet DHCPDISCOVER 1

Le client DHCP diffuse un paquet DHCPOFFER 2 Le client DHCP diffuse un paquet DHCPREQUEST 3 Le serveur DHCP Server1 diffuse un paquet DHCPACK 4

Client

DHCP

Serveur

DHCP

Server1

Serveur

DHCP

Server2

17


Comment fonctionne le processus de renouvellement d'un

bail DHCP

Le serveur DHCP Server1 envoie un paquet DHCPACK 2

Le client DHCP envoie un paquet DHCPREQUEST 1

Client DHCP Serveur

DHCP

Server1

Serveur

DHCP

Server2

50% de la dure du bail s'est coule

87.5% de la dure du bail s'est coule


Si le client n'est pas parvenu renouveler son bail

lorsque

50% de la dure du bail s'est coule, la procdure de

renouvellement du bail DHCP commence lorsque

87,5%

de la dure du bail s'est coule

Si le client n'est pas parvenu renouveler son bail lorsque 87,5% de la dure du bail s'est coule, la procdure de cration de bail DHCP recommence avec un client DHCP diffusant un DHCPDISCOVER

Client DHCP Serveur

DHCP

Server1

Serveur

DHCP

Server2


Le client DHCP envoie un paquet DHCPREQUEST 1

Le serveur DHCP Server1 envoie un paquet DHCPACK 2

18


Demande de bail - UN serveur DHCP

Cest SEULEMENT aprs t0 que le client peut utiliser ladresse IP communique par le serveur jusqu t0 + lease-time

time DHCPDiscover

2 DHCPOffer

1

DHCPRequest 3

4 DHCPAck

client

serveur

t0

19


Trames DHCP

DHCPDISCOVER :Permet de trouver un serveur DHCP. La trame est une trame de broadcast , elle est envoye ladresse 255.255.255.255. Le client nayant pas dadresse prend ladresse 0.0.0.0

DHCPOFFER : contient une proposition de bail, ladresse IP du serveur et ladresse Mac du client.

DHCPREQUEST : indique tous les serveurs quel bail il a accept et/ou demande de renouvellement de bail

DHCPACK : le serveur confirme le bail.

20


Demande de renouvellement de bail

Le client peut utiliser ladresse IP communique

par le serveur jusqu t1+lease-time

time

DHCPRequest 3

4 DHCPAck

client

serveur

t1

21


Les paquets IP changs Lors dun

renouvellement de bail

Source Destination Protocol Info

192.168.0.9 192.168.0.253 DHCPRequest

192.168.0.253 192.168.0.9 DHCPAck

22


Message DHCP

23


Message DHCP

Envoy par le Client

DHCPDISCOVER demande de localisation des serveurs

DHCP

DHCPREQUEST demande de bail

DHCPDECLINE refus dadresse IP, elle est dj utilise

DHCPRELEASE libration son bail

DHCPINFORM demande de paramtres locaux (autre

quune adresse IP)

24


Message DHCP

Envoy par le Serveur

DHCPOFFER rponse un DHCPDISCOVER

DHCPACK contient des paramtres et l'adresse IP du

client

DHCPNAK refus de bail

25


Problme de

luf et de la poule

Encapsulation dun message DHCP

26


Encapsulation dun message DHCP

IP

par exemple Ethernet

DHCP BOOTP

UDP

Message DHCP

UDP IP Eth

Trame contenant un

message DHCP

27


Trame contenant un message DHCP

Message DHCP

Port source

Port destination du datagramme

Adresse IP source

Adresse IP destinataire du paquet IP

Adresse physique de lmetteur

Adresse physique du destinataire de

la trame

UDP

IP

Ethernet

28


Le Problme de loeuf et la

poule

A moment de la demande de bail,

Est-ce que le client connat son adresse physique ?

Est-ce que le client connat ladresse physique du serveur

DHCP ?

QUE FAIRE ???

Niveau

physique 29


Le Problme de loeuf et la

poule A moment de la demande de bail,

Est-ce que le client connat ladresse IP du serveur DHCP ?

Est-ce que le client connat son adresse IP ?

Est-ce que le serveur DHCP connat ladresse

IP du client?

QUE FAIRE ???

Niveau

rseau 30


DIFFUSION niveau physique

Diffusion (broadcast) distribution de la requte DHCP

tous les postes connects

Client

DHCP Adresse de

diffusion:

ff:ff:ff:ff:ff:ff

31


DIFFUSION niveau rseau

Diffusion (broadcast) distribution de la requte DHCP

tous les postes connects

Client

DHCP Utilsation de

ladresse IP de

diffusion gnrique

255.255.255.255

32


Niveau Transport - requtes

Le client DHCP envoie la requte sur le port 67. Le

serveur DHCP coute sur le port 67.

Serveur DHCP 67

Client

DHCP

33


Niveau Transport - rponses

Le serveur DHCP envoie la requte sur le port 68.

Le client DHCP coute sur le port 68.

Serveur DHCP 68

Client

DHCP

34


DHCP : le client utilise un port rserv

Port serveur DHCP 67

Port Client DHCP 68

Client

DHCP

65

66

67

68

69

Serveur

DHCP

65

66

67

68

69

35


Trame contenant un DHCPDiscover

Message DHCPDiscover

68

67

0.0.0.0

255.255.255.255

00:20.8f:b9:49:37

ff:ff:ff:ff:ff:ff

UDP

IP

Ethernet

36


Trame contenant

DHCPDiscover

Message DHCPDiscover

68

67

0.0.0.0

255.255.255.255

00:20.8f:b9:49:37

ff:ff:ff:ff:ff:ff adresse

physique de

diffusion

Adresse IP

de

diffusion

gnrique

Adresse

physique du

client DHCP

Port

source datagamm

e

Adresse

IP

neutre

37


Trame contenant un DHCPOffer

Message DHCPOffer

67

68

192.168.0.253

00.00.b4:bb:7d:ee

00:20.8f:b9:49:37

UDP

IP

Ethernet

38


DHCPOffer

Message DHCPOffer

67

68

192.168.0.253

00.00.b4:bb:7d:ee

00:20.8f:b9:49:37

adresse

physique

du client

Adresse

physique du

serveur DHCP

Port

source datagamm

e

Adresse

IP serveur

DHCP

39


Trame contenant un DHCPRequest

Message DHCPRequest

68

67

0.0.0.0

255.255.255.255

00:20.8f:b9:49:37

ff:ff:ff:ff:ff:ff

UDP

IP

Ethernet

40


Demande de baux DES serveurs DHCP

DHCPDiscover

DHCPOffer

DHCPRequest

DHCPAck

time

client serveur serveur

DHCPDiscover

DHCPOffer

DHCPRequest

Le client refuse

mon offre

41


Bilan des changes lors dune

demande de bail

42


Les paquets IP changs

Source Destination Protocol Info

0.0.0.0 255.255.255.255 DHCPDiscover

# le serveur DHCP vrifie que ladresse IP quil veut offrir nest pas utilise

Serveur DHCP Broadcast ARP 192.168.0.9?

192.168.0.253 DHCPOffer

0.0.0.0 255.255.255.255 DHCPRequest

192.168.0.253 192.168.0.9 DHCPACK

# le client vrifie via ARP que personne nutilisa sa nouvelle adresse

Client DHCP Broadcast ARP 192.168.0.9?

43


Format dun message DHCP

44


Dynamic Host Configuration Protocol

DHCP a t conu comme complment de BOOTP- Bootstrap Protocol

BOOTP: [RFC 951 - 1985]

Protocole de dmarrage

Une station rcupre les informations pour samorcer ( booter ) sur un serveur damorage distant

45


Format dun message BOOTP

OP

serveur adresse IP

HLEN

adresse IP client (crit par le client)

gaterway adresse IP

adresse physique du client

secs

identifiant session

HTYPE HOPS

flags

nom du serveur

Fichier damorage

OPTION

adresse IP client (propose par le serveur)

46


Format dun message DHCP

OP

serveur adresse IP

HLEN

adresse IP client (crit par le client)

gaterway adresse IP

adresse physique du client

secs

identifiant session

HTYPE HOPS

flags

nom du serveur

Fichier damorage

OPTIONS dfinies dans DHCP

adresse IP client (propose par le serveur)

47


SERVICES DNS

Admin Serv RX



Rsolution de Noms et Rsolution inverse

Depuis 1984, les systmes ont recours principalement DNS pour la rsolution de noms

Adresse sous forme de nom plus agrable manipuler quune adresse IP

a rsolution de nom (forward lookup) permet de trouver une adresse IP partir d'un nom

la rsolution inverse (reverse lookup) permet de trouver un nom partir d'une adresse IP

49


Lespace Nom de domaine

Chaque unit de donne dans la base DNS est indexe par un nom

Les noms constituent un chemin dans un arbre invers appel lespace Nom de domaine

Organisation similaire un systme de gestion de fichiers

Chaque noeud est identifi par un nom

Racine appele root, identifie par .

127 niveaux au maximum

50


Domaines racine

Le systme DNS impose peu de rgles de nommage :

noms < 63 caractres

majucules et minuscules non significatives

pas de signification impose pour les labels

Le premier niveau de lespace DNS fait exception la rgle :

7 domaines racines prdfinis :

com : organisations commerciales ; ibm.com

edu : organisations concernant leducation ; mit.edu

gov : organisations gouvernementales ; nsf.gov

mil : organisations militaires ; army.mil

net : organisations rseau Internet ; worldnet.net

org : organisations non commerciales ; eff.org

int : organisations internationales ; nato.int

arpa : domaine reserv la rsolution de nom inverse

organisations nationales : fr, uk, de, it, us, au, ca, se, etc.

51


Lecture des noms de domaine A linverse de ladressage IP la partie la plus significative si situe gauche

de la syntaxe :

sun2.ethernet1.centralweb.fr /193.148.37.201

vers le plus significatif vers le plus significatif

sun2. ethernet1. centralweb.fr

domaine franais (.fr)

domaine de lorganisation CentralWeb

sous-domaine CentralWeb

machine sun2 du domaine ethernet1. centralweb.fr

52


Principes de rsolution

La communication entre clients et serveurs des services des noms utilise le protocole dns partir des protocoles udp et tcp, usuellement le port 53.

Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (rponse).

53


Parcours de larborescence

Pour dterminer ladresse ip correspondant au nom :

www.security.com.fr.

Il faut trouver :

un NS (serveur de noms) de la racine .

interroger pour un obtenir NS de fr.

Interroger pour un NS de com.fr.

Le NS de security.com.fr. identifie www.

54


D.N.S. Signifie, selon les cas, plusieurs choses

Domain Name System : l'ensemble des organismes qui

grent les noms de domaine.

Domain Name Service : le protocole qui permet

d'changer des informations propos des domaines.

Domain Name Server : un ordinateur sur lequel fonctionne un

logiciel serveur qui comprend le protocole DNS et qui peut

rpondre des questions concernant un domaine.

55


Structure des domaines

La structure des domaines est de forme hirarchique

avec :

un niveau haut : le domaine racine,

des noeuds identifis par des labels (organiss en

niveaux)

Les Top Level Domain les plus courants sont organiss

en deux types de domaines :

Les domaines gnriques

Les domaines gographiques

56


Les ZONES

La base de donnes de nom est divise en sections

appeles zones

Une Zone reprsente une partie de l'espace de nom de

Domaine, a des fins de gestion.

Donnes qui dcrivent chaque zones :

Les donnes gnrales sur chaque nuds de la zone

Les donnes qui dfinissent le nud suprieur de la zone

Les donnes qui dcrivent les sous zones

Les donnes qui permettent daccder aux serveurs de noms qui

grent les sous zones.

57


Types de Serveurs

Le serveur primaire : serveur d'autorit sur sa zone : il tient jour un fichier appel "fichier de zone", qui tablit les correspondances entre les noms et les adresses IP des hosts de sa zone.

Le serveur secondaire : obtient les donnes de zone via le rseau, partir d'un autre serveur de nom qui dtient l'autorit pour la zone considre. Il est capable de rpondre aux requtes de noms Ip (partage de charge), et de secourir le serveur primaire en cas de panne..

Le serveur cache ne constitue sa base d'information qu' partir des rponses des serveurs de noms. Il inscrit les correspondances nom / adresse IP dans un cache avec une dure de validit limite (Ttl) ; il n'a aucune autorit sur le domaine : il n'est pas responsable de la mise jour des informations contenues dans son cache, mais il est capable de rpondre aux requtes des clients Dns.

les serveurs racine : ils connaissent les serveurs de nom ayant autorit sur tous les domaines racine. Les serveurs racine connaissent au moins les serveurs de noms pouvant rsoudre le premier niveau (.com, .edu, .fr, etc.) si les serveurs racine sont inoprationnels, il n'y a plus de communication sur l'Internet

58


Le principe

bas sur le modle client / serveur

le logiciel client interroge un serveur de nom; typiquement :

lutilisateur associe un nom de domaine une application ; exemple :

telnet m1.centralweb.fr

lapplication cliente requiert la traduction du nom de domaine auprs dun serveur de nom (DNS) : cette opration sappelle la rsolution de nom

le serveur de nom interroge dautres serveurs de nom jusqu ce que lassociation nom de domaine / adresse IP soit trouve

le serveur de nom retourne ladresse IP au logiciel client : 193.148.37.201

le logiciel client contacte le serveur (telnetd) comme si lutilisateur avait spcifi une adresse IP : telnet 193.148.37.201

59


Principe (illustration)

client

Telnet

$ telnet m1.centralweb.fr

serveur

DNS

serveur

DNS

serveur

DNS

DNS

Demande de rsolution

m1.centralwebfr ????

Rponse

193.148.37.201

serveur

Telnetd

193.148.37.201

60


Resolution inverse

Consiste a obtenir le nom de domaine partir de ladresse IP

pour faciliter la comprhension des humains

pour des raisons de scurit

Plus dlicate que nom -> IP car le systme DNS est organis pour la

rsolution de nom ==> recherche exhaustive ???

61


Requte rcursive

Lorsqu'un serveur DNS reoit une requte rcursive, il doit donner la rponse la plus

complte possible. C'est pourquoi le serveur DNS est souvent amen joindre

d'autres serveurs de noms dans le but de trouver la rponse exacte.

62 Administration Services RX

Nizar chaabani

Requte itrative

Lorsqu'un serveur reoit une requte itrative, il renvoie la meilleure rponse qu'il peut donner sans contacter d'autres serveurs


Nizar chaabani


Nizar chaabani

65 Administration Services RX Nizar chaabani

La commande dig permet d'interroger des

serveurs DNS (man dig), elle accepte des

paramtres plus fins que la

commande nslookup (man nslookup) qui existe

galement sous windows, mais un peu diffrente

Les commandes Netsh pour DHCP offre un outil de

ligne de commande utile l'administration des

serveurs DHCP et fournit une solution alternative

quivalente la gestion sur console. Elles sont utiles

dans les cas suivants :

70


LDAP

LIGHTWEIGTH DIRECTORY ACCESS

PROTOCOL



Dfinitions et concepts

Un annuaire est un conteneur dinformations organises.

Exemples dannuaires courants

annuaire tlphonique : Les Pages Jaunes

carnet dadresses

catalogue de vente

Un annuaire global clbre trs utilis : DNS

il a un espace de nommage uniforme

il est distribu entre des serveurs cooprants

72


Dfinitions et concepts

Un annuaire est une base de donnes, mais une base de

donnes nest pas un annuaire

Lecture

Performance

Extensibilit

Communication entre serveurs

Un annuaire nest pas :

appropri de frquentes critures

destin manipuler des donnes volumineuses

un substitut un serveur FTP, un systme de fichiers,...

73


Quest-ce quun annuaire

Rpertoire en ligne, dynamique

Possibilit de faire des recherches

Contrle daccs linformation

Ce nest pas:

appropri de frquentes critures

destin manipuler des donnes volumineuses

un substitut un serveur FTP, un systme de

fichiers,...

74


Domaine

OU1

Ordinateurs

Ordinateur 1

Utilisateurs

Utilisateur 1

Utilisateurs

Utilisateurs 2

OU2

Imprimantes

Imprimante 1

Dfinition d'un service d'annuaire

Un rfrentiel d'informations structur sur les

personnes et les ressources d'une organisation

Rosalie Mignon

Attributs Valeurs

Nom

Btiment

tage

Rosalie Mignon

117

1

75


76


77


Facettes de LDAP

LDAP dfinit :

le protocole -- comment accder linformation contenue dans lannuaire,

un modle dinformation -- le type dinformation contenu dans lannuaire,

un modle de nommage -- comment linformation est organise et rfrence,

un modle fonctionnel -- comment on accde linformation,

un modle de scurit -- comment donnes et accs sont protgs,

un modle de duplication -- comment la base est rpartie entre serveurs,

des API -- pour dvelopper des applications clientes,

LDIF -- un format dchange de donnes.

78


Protocole (2): client-serveur

bind

status

requte

Rponse 1

Rponse 2

rsultat

unbind

Lauthentification est faite pendant le bind.

79


Modle de nommage / modle

dinformation

Le modle de nommage dfinit comment

sont organises les entres de lannuaire

et comment elles sont rfrences.

Le modle dinformation dfinit le type de

donnes pouvant tre stockes dans

lannuaire.

80


Modle de nommage /

modle dinformation

c=fr

o=ventes

ou=aspirateurs

cn=maurice_duplantier

country

must c

may description

may searchguide

organization

must o

may businessCategory

may postalAddress

organizationalUnit

must ou

may businessCategory

may registeredAddress

person

must cn,sn

may description

81

Administration Services RX

Nizar chaabani

Modle dinformation

Les classes dobjets forment une hierarchie, au sommet

de laquelle on trouve lobjet top

Chaque classe dobjet hrite des attributs de la classe

pre

top

organizationalUnit person

organizationalPerson

Core.schema

objectclass ( 2.5.6.0

NAME 'top'

ABSTRACT

MUST objectClass )

objectclass ( 2.5.6.6

NAME 'person'

SUP top

STRUCTURAL

MUST ( sn $ cn )

MAY ( userPassword $ telephoneNumber $ seeAlso $ description )

)

82


Le modle de nommage

Organisation des entres : structure logique arborescente,

le directory information tree (DIT)

Chaque objet est une instance dobjet

Chaque entre est identifie par un nom, le

DN=distinguished name

Le suffix dfinit lespace de nommage dont le serveur a

la gestion

Un noeud de larbre (entre de lannuaire) est appel DSE

(directory service entry)

Sommet de larbre: BaseDN ou rootDSE racine de larbre

83


Le modle de nommage

dc=gazu, dc=com

ou=direction ou=marktg ou=lab

cn=adeline_durand cn=maurice_duplantier

dn:dc=domaine,dc=com

objectClass:top

dn:ou=direction,dc=gazu,dc=com

objectClass:organizationalUnit

ou:direction

dn:cn=maurice_duplantier,ou=lab,dc=gazu,dc=com

objectClass:organizationalPerson

objectClass:person

title:larbin

cn:maurice_duplantier

sn:maurice

userPassword:{md5}$3$zw4kD19KJ0h

telephoneNumber:047676713

Racine de lannuaire

RDN

84


Nizar chaabani

Duplication: replication

Le modle de duplication (replication service) dfinit comment

dupliquer lannuaire sur plusieurs serveurs.

Pas encore standard, mais est propos par la plupart des serveurs.

LIETF prpare le protocole LDUP.

Master slapd

slave slapd

85


vulnrabilits

Dni de service

Codes BER semi-valides, requete malformes => freeze

Mesures compensatoires

Firewall

Oprations signes

Buffer overflow

Attaquant rcupre les privilges systme, ou privilge de la database

Mesures compensatoires

Tourner ldap en chroot

86


CONFIGURATION DE

WINDOWS SERVER

ACTIVE DIRECTORY



La mise en place d'un domaine Windows 200x passe

par l'installation :

D'un annuaire appel par Microsoft "Active Directory"

D'un serveur DNS

(Le serveur DHCP n'est pas ncessaire dans un premier

temps)

L'Active Directory 88


L'Active Directory

L'Active Directory de Microsoft est le service

d'annuaire fourni par Windows 200x Server

(abandon de la notion de base de comptes

intgre dans la base de registre)

L'Active Directory supporte les protocoles suivants :

TCP/IP : protocole rseau

DNS : la gestion des noms de domaine Windows

200x repose sur ce service.

89


L'Active Directory supporte les protocoles suivants :

DHCP : Distribution d'adresses IP. Il renseigne le

DNS sur les adresses distribues (DHCP

dynamique).

SNTP : protocole de distribution de l'heure.

Toutes les machines W2k doivent tre

synchronises car l'authentification Kerberos se

base sur un ticket horodat.



L'Active Directory supporte les protocoles

suivants :

LDAP : protocole d'accs l'annuaire

KERBEROS : permet l'authentification

LDIF : permet la synchronisation de l'annuaire

(Lightweight Data Interchange Format)



L'Active Directory Racine .lyc Un domaine Windows 2000 comprendra un ou

plusieurs serveurs. Les objets du domaine

sont dcrits dans l'Active Directory.

Domaine

tsinfo.lyc

Serveur : infosrv1

(infosrv1.tsinfo.ly

c)

Serveur : infosrv2

(infosrv2.tsinfo.ly

c)

Domaine

tscompta.lyc

Serveur : cptsrv

(cptsrv.tscompta.lyc) Domaine

stage.tsinfo.lyc

Serveur : st1

(st1.stage.tsinfo.ly

c)

D'autres domaines peuvent

tre crs. Ils sont relis

entre eux hirarchiquement

par des relations des

d'approbation

bidirectionnelles transitives

Les domaines ainsi relis forment un ARBRE

92


L'Active Directory


93 Racine .adm

Domaine scola.adm

Serveur : sco1

(sco1.scola.adm)

Domaine adminlab.adm

Serveur : jtsrv

(jtsrv.adminlab.adm)

Les ARBRES ainsi relis forment une FORET

Racine .lyc

Domaine

tsinfo.lyc

Serveur : infosrv1

(infosrv1.tsinfo.ly

c)

Serveur : infosrv2

(infosrv2.tsinfo.ly

c)

Domaine

tscompta.lyc

Serveur : cptsrv

(cptsrv.tscompta.lyc) Domaine

stage.tsinfo.lyc

Serveur : st1

(st1.stage.tsinfo.ly

c)

Les objets de l'Active Directory sont : Un compte d'utilisateur

Un ordinateur

Un dossier partag publi

Un groupe

Une imprimante publie

Un contact Un objet contact est un compte qui ne dispose daucune autorisation de scurit. Vous ne pouvez pas

vous connecter au rseau en tant que contact. Les contacts reprsentent les utilisateurs externes dans le cadre de la messagerie par exemple



Les objets de l'Active Directory sont Une unit organisationnelle

Les units dorganisation sont utilises comme

conteneurs pour organiser de faon logique des

objets dannuaire tels que les utilisateurs, les

groupes et les ordinateurs



Tous les objets ont des attributs, par exemple :

Nom et prnom d'un utilisateur

Nom de partage d'un dossier

Certains attributs sont obligatoires (nom de l'utilisateur)

d'autres sont facultatifs (son numro de tlphone)



L'ensemble des attributs sont dfinis dans le SCHEMA

Le composant enfichable Schema Active Directory

permet de modifier le schma pour ajouter des

attributs (attention, il est impossible d'en supprimer).



Exemple de cration d'une A.D

Lobjectif de cet exemple est de crer 2 forts bts et

sts.

La fort bts sera compose de 2 arbres.

Le premier arbre compos :

Du domaine : mozart gr par les serveurs vienne et valse ;

Du sous-domaine : vivaldi gr par le serveur saisons.

98


La fort bts sera compose de 2 arbres.

Larbre (domaine) : chopin gr par le serveur danube.

La fort sts sera compose de larbre (domaine) : clapton gr par le serveur eric.


99


mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.150)

vivaldi.mozart.bts

Srv : saisons

(172.16.41.200)

chopin.bts

Srv : danube

(176.16.41.250)

sts

clapton.sts

Srv : eric

(172.16.41.50)

bts


100


Premire tape (1)

mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.100)

bts Rappel : Lors de la 1re partie de

l'installation du systme, le

futur serveur t appel :

VIENNE

Installation de l'Active Directory sur le serveur

VIENNE

101


Premire tape (1)

102


Premire tape (1)

103


Premire tape (1)

104


Premire tape (1)

105


Premire tape (1)

106


Premire tape (1)

107


Installation d'un second serveur sur le domaine

mozart.bts (serveur VALSE)

Premire tape (2)

mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.100)

bts

108


Premire tape (2)

Configuration pralable :

"Pointer" sur le serveur DNS qui

gre l'Active Directory du

domaine mozart.bts

109


Premire tape (2)

110


Premire tape (2)

111


Premire tape (2)

112


Premire tape (2)

Rsultat dans l'Active Directory 113


Premire tape (2)

Rsultat dans le serveur DNS (VIENNE) 114


Deuxime tape

chopin.bts

Srv : danube

(176.16.41.250)

bts

Installation d'un second domaine : chopin.bts 115


Deuxime tape




domaine mozart.bts, premier

serveur ayant t install.

116


Deuxime tape

117


Deuxime tape

118


Deuxime tape

119


Deuxime tape


120

Deuxime tape



Deuxime tape

Rsultat dans le serveur DNS (DANUBE) 122


Deuxime tape



Deuxime tape Relations d'approbations entre les domaines

124



125



126


Troisime tape

mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.100)

vivaldi.mozart.bts

Srv : saisons

(172.16.41.200)

bts Cration du sous-domaine vivaldi

127


Troisime tape




domaine mozart.bts, premier

serveur ayant t install.

128


Troisime tape

129


Troisime tape

130


Troisime tape


131

Troisime tape



Relations d'approbations entre les domaines

Troisime tape

134


Quatrime tape

Cration de l'arborescence "sts" et du domaine "claption.sts"

sts

clapton.sts

Srv : eric

(172.16.41.50)

135


Quatrime tape

136


Quatrime tape

137


Quatrime tape

138


Quatrime tape

139


Quatrime tape



Quatrime tape

Rsultat dans le serveur DNS (ERIC) 141


LE PROTOCOLE SNMP

(SIMPLE NETWORK MANAGEMENT

PROTOCOL)



SNMP : Motivation

Ncessit d avoir un protocole permettant de

remonter des informations sur l activit des

diffrentes ressources du rseau (les serveurs, les

routeurs, les hubs, etc).

143


Quest ce que le protocole SNMP ?

SNMP est un protocole de gestion rseaux

Il sappuie sur 4 composantes principales :

Des agents

Un ou plusieurs managers

Une MIB (Management Information Base)

Des trames

144


Modle d administration SNMP

Une administration SNMP est compose de trois types d'lments :

des agents chargs de superviser un quipement. On parle

d'agent SNMP install sur tout type d'quipement.

une ou plusieurs stations de gestion capables d'interprter les

donnes

une MIB (Management Information Base) dcrivant les

informations gres (objets administrs).

SNMP permet la supervision, le contrle et la modification

des paramtres des lments du rseau.


145

Le modle OSI

146


Prsentation de SNMP

Protocole dadministration de machines supportant TCP/IP

SNMP Version 1 (SNMPv1)

Mcanisme de scurit bas sur la notion de communaut (mot

de passe en clair dans les requtes et rponses)


Introduit deux nouveaux types de paquets get-bulk-request et

inform-request (communication entre plate-formes)


Introduit de nouveaux mcanismes de scurit (authentification

forte et confidentialit)


147

Prsentation de SNMP

Rpond un grand nombre de besoins :

Administrer distance des machines indpendamment

de leur architecture

Disposer dune cartographie du rseau

Fournir un inventaire prcis de chaque machine

Mesurer la consommation dune application

Signaler les disfonctionnements


148

L architecture de SNMP

SNMP fonctionne au dessus de UDP


149


Nizar chaabani 150

La remonte dinformations

Nous avons le choix entre deux mthodes compltement diffrentes mais qui peuvent tre complmentaires :

Le polling

Lmission de trap

Les requtes SNMP

Recherche dinformations :

GetRequest : recherche dune variable sur un agent.

GetNextRequest : recherche de la variable suivante.

GetBulkRequest : recherche dun groupe de variables

Modification de valeurs :

SetRequest : permet de changer la valeur dune variable dun agent.

Envoie dinformations

Trap : dtection dun incident

151


Les rponses SNMP

Une seule rponse existe.

Elle est diffrente sil y a une erreur ou non.

Aucune erreur :

GetResponse : renvoie la ou les valeurs souhaites

En cas derreur :

GetResponse mais accompagn dun NoSuchObject

152


Les PDUs SNMP


153

Les Ports SNMP


154

MIB (Management Information Base)

Ensemble dobjets structurs de manire arborescente

Accs un objet via un Object Identifier (OID)

Deux MIB normalises: MIB I et MIB II

Rfrences des informations rseau (interfaces, ip )

MIB prive sous le nud enterprises

Une MIB nest pas une base de donnes mais une dispatch table

155


La MIB (Management Information Base)

1 ressource grer = 1 objet

Les objets administrables sont une abstraction des ressources

physiques (interfaces, quipements, etc.) et logiques (connexion

TCP, paquets IP, etc.)

MIB : collection structure dobjets reconnus par les agents

Chaque noeud dans le systme doit maintenir une MIB qui reflte

ltat des ressources gres

Une entit d'administration peut accder aux ressources du

noeud en lisant les valeurs de l'objet ou en les modifiant

MIB: 2 objectifs

Un schma commun : SMI (Structure of Management Information)

Une dfinition commune des objets et de leur structure


156

Arbre des MIB accessibles


157

Identificateur d un objet de la MIB

Identificateur d un objet:

Identificateur unique = squence d entiers dont chacun

reprsente la position de ces successeurs dans l arbre.

Exemple: identificateur de l objet MIB :


158

Le groupe MIB-2


159

1- 2- 3- 4- 5- 6- 7- 8- 9-IpInDelivers

1 3 6 1 2 1 4 9

Addr. Trans. 3

Syst 1

Interface 2

IP 4

ICMP 5

TCP 6

UDP 7

EGP 8

MIB I 1

2

Directory 1

Mgmt 2

Experim. 3

Private 4

Internet 1

2

3

4

1

2

3

4

5

DoD 6

STD 0

ORG 3

2

1

UIT 0

ISO 1

2

160


La structure numrique de la MIB

system 1.3.6.1.2.1.1

interfaces 1.3.6.1.2.1.2

at 1.3.6.1.2.1.3

ip 1.3.6.1.2.1.4

Icmp 1.3.6.1.2.1.5

tcp 1.3.6.1.2.1.6

udp 1.3.6.1.2.1.7

egp 1.3.6.1.2.1.8

rmon 1.3.6.1.2.1.9

transmission 1.3.6.1.2.1.10

snmp 1.3.6.1.2.1.11


161

Les formats des requtes SNMP sont spcifies par une

description en ASN.1 (Abstract Syntax Notation 1).

Le principe de la syntaxe de transfert est que chaque

valeur transmise contient trois champs :

Un identificateur

La longueur en octets du champ de donnes

Le champ de donnes

Requte SNMP 162


ASN1.ppt

Le format des messages SNMP comprend plusieurs

champs :

Le champ Tag identifie le type de la trame.

Le champ Longueur contient la longueur totale de la trame.

Le champ Version est utilis pour une compatibilit entre les

diffrentes versions SNMP.

Le champ community Name contient le nom de la

communaut utilise dans le processus d'authentification.

Requte SNMP

Tag Longueur

du message

Version

Community Name

Le champ PDU

163



champs :

Le champ PDU comprend 5 valeurs :

La PDU GetRequest

La PDU GetNextRequest

La PDU SetRequest

La PDU GetRespons

La PDU Trap

Requte SNMP

Tag Longueur

du message

Version

Community Name

Le champ PDU

164



champs :

Requte SNMP

Tag Longueur

du message

Version

Community Name

Le champ PDU

VarBindList

Error Index

Error Status

Request ID

Lg PDU

Tag PDU

Format d'une PDU

165


Structure des informations d Administration

(SMI)

La MIB contient des lments simples (scalaire et tableaux deux

dimensions de scalaires)

SMI (Structure of Management information) : donne les rgles de

dfinition, d'accs et d'ajout des objets dans la MIB (mta-modle)

Objectifs : encourager la simplicit et l'extension de la base

d informations dAdministration :

Reprsentation identique des objets >>> rendre un objet accessible de la

mme manire sur chaque entit du rseau

L objet administr peut tre considr d tre compos d un type d objet

et une instance.

SMI dfinit le type d objets et non leur instance.


166

Structure des informations d Administration (SMI)

Un objet possde :

un nom (Descripteur + identificateur d objet)

une syntaxe utilisant ASN.1 (Abstract Syntaxe Notation)

une dfinition qui est un texte de description de l objet

un accs qui spcifie les droits d accs l objet (read only,

read-write or not accessibe)

Un statut qui spcifie si l objet est courant (mondatory ou

optional) ou obsolte.

un schma de codage BER (Basic Encoding Rules)


167


(SMI)

Les caractristiques d un objet sont regroupes dans la dfinition

d une macro qui dfinie la structure d un type d objet :

OBJECT-TYPE MACRO ::=

BEGIN

TYPE NOTATION ::=

"SYNTAX" type (TYPE ObjectSyntax)

"ACCESS" Access

"STATUS" Status

VALUE NOTATION ::= value (VALUE ObjectName)

Access ::= "read-only |"read-write" |"write-only" |"not-accessible

Status ::= "mandatory |"optional |"obsolete" |"deprecated"

END


168


(SMI)

atIndex OBJECT-TYPE

SYNTAX Integer

ACCESS read-write

STATUS mandatory

DESCRIPTION Numro dinterface logique."

::= { atEntry 1 }


169

Exemple de fichier ASN.1

Affectation de la branche general la branche

accelance via lOID 1

ACCELANCE-MIB DEFINITIONS ::= BEGIN

accelance MODULE-IDENTITY

::= { enterprises 9697 }

general OBJECT IDENTIFIER ::= { accelance 1 }

release OBJECT-TYPE

SYNTAX DisplayString

MAX-ACCESS read-only

STATUS current

DESCRIPTION

"Type dOS utilis"

::= { general 1 }

Identification dun fichier ASN.1

Rattachement de la branche Accelance la branche enterprises via

lOID 9697

Dfinition de la variable realease

&

Rattachement de celle-ci la branche general

Dsormais nous pouvons accder la variable release de la manire suivante :

.iso.dod.internet.private.enterprises.accelance.general.release.0

170


Mcanismes de scurit de SNMP

L autorisation est l intersection entre le mode d accs

dfini par la communaut et l accs l objet dfini

parmi les caractristiques de l objet.

Mode daccs read-only read-write write-only not-accessible

read-only 3 3 1 1

read-write 3 2 4 1

o les classes sont dfinies par :

1 no right 3 get, get-next, trap

2 get, get-next, set, trap 4 set, trap


171

INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE SILIANA 172



Documents

ADMINISTRATION DES SERVICES RÉSEAUX - …m.academiepro.com/uploads/cours/2015_10_02_cours... · ADMINISTRATION DES SERVICES RÉSEAUX [email protected] ... peut entraîner