LDAP et les services dannuaire
500 : normes définies par l'UIT-T. ? Active Directory : développé par Microsoft pour Windows. ? NIS : Network Information Service développé par SUN. ? LDAP
Identifier les attributs dobjet LDAP Active Directory pour la
Ce document décrit comment identifier les attributs d'objet LDAP Active Directory (AD) pour configurer l'objet d'authentification sur le pour
Active Directory Structure logique
des clients et des serveurs LDAP d'autres origines. Les protocoles d'échange entre serveurs AD sont propriétaires et non publics. Un contrôleur de domaine
Mémoire de fin détudes Thème :
comparer les systèmes d'exploitation serveur et de définir la migration. logiciel utilisant LDAP sera capable de communiquer avec Active Directory : on ...
Itinéraire dun système de gestion didentités numériques au sein d
Le protocole commun entre les annuaires ActiveDirectory et OpenLdap étant le protocole LDAPv3 le service informatique de Lyon a développé un script en Perl.
SINGLE SIGN-ON ACTIVE DIRECTORY
https://www.dmp.com/assets/LT-2455.pdf
LarueePernotJuilletSaintLager-LDAP-rapport.pdf
22 janv. 2006 Avant d'entrer dans l'explication du protocole LDAP ... Les annuaires électroniques permettent
Note technique Recommandations de sécurité relatives à Active
19 août 2014 2.1.1 Sites Active Directory. Lorsque les ordinateurs d'une forêt sont répartis sur différentes zones géographiques connectées entre.
Active Directory en milieu universitaire : une approche par la sécurité
1 oct. 2019 continue de se faire entre les composantes et le pôle AD du service ... étendre le schéma LDAP permettant de stocker le mot de passe et la ...
Mise en place dun système de sécurité basé sur le serveur d
Comparaison entre TACACS+ et RADIUS . LDAP (Lightweight Directory Access Protocol) . ... Création des différents objets d'Active Directory .
OpenLDAP Software 24 Administrator's Guide
Table of Contents
What is the difference between OpenLDAP and Active Directory?
Here are some differences I know off the top of my head. OpenLDAP could be called a generic LDAP server similar to many other vendor's LDAP servers (Fedora DS 389, Oracle Internet Directory, IBM Tivoli Directory Server). Active Directory is a bit more customized for a Microsoft product suite (ie: running a Microsoft domain).
What are the advantages of OpenLDAP?
The main advantages of OpenLDAP are its cost (zero) and flexibility. It is far easier to manage OpenLDAP on-premises and in the cloud than Active Directory. As long as you have a solid team of engineers, they can configure OpenLDAP based on your corporate policies and security requirements.
What is LDAP authentication in Active Directory?
Based on multiple levels of permissions on Active Directory, users get access to information and resources through LDAP authentication. LDAP administrators require elevated permissions to add or manipulate information in your AD repository database.
Should AD or OpenLDAP be used for identity management?
In many cases, neither AD nor OpenLDAP is the right sole option for an organization’s identity management infrastructure. Although OpenLDAP and AD both have their proponents, the truth is that they are outdated systems and need other solutions around them to complete an organization’s cloud IAM architecture .
Public visé:
Développeur
AdministrateurX
RSSIX DSIUtilisateurDAT-NT-17/ANSSI/SDE
P R E M I E R M I N I S T R E
Secrétariat général Paris, le 10 septembre 2014 de la défense et de la sécurité nationale N oDAT-NT-17/ANSSI/SDE/NP Agence nationale de la sécuritéNombre de pages du document des systèmes d"information(y compris cette page) : 49 Note techniqueRecommandations de sécurité relativesà Active Directory.
Informations
Avertissement
Ce document rédigé par l"ANSSI présente les" Recommandations de sécurité relativesà Active Directory. ». Il est téléchargeable sur le sitew ww.ssi.gouv.fr. Il constitue une
production originale de l"ANSSI. Il est à ce titre placé sous le régime de la " Licence ouverte »
publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diffusable sans restriction. Ces recommandations sont livrées en l"état et adaptées aux menaces au jour de leur pub- lication. Au regard de la diversité des systèmes d"information, l"ANSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d"information cibles.Dans tous les cas, la pertinence de l"implémentation des éléments proposés par l"ANSSI doit
être soumise, au préalable, à la validation de l"administrateur du système et/ou des personnes
en charge de la sécurité des systèmes d"information.Personnes ayant contribué à la rédaction de ce document:
ContributeursRédigé parApprouvé parDate
BAI, SISBSSSDE10 septembre 2014
Évolutions du document :
VersionDateNature des modifications
1.019 août 2014Version initiale
1.110 septembre 2014Corrections mineures
Pour toute remarque:
ContactAdresse@mélTéléphone
Bureau Communication
de l"ANSSI51 bd de LaTour-Maubourg
75700 Paris Cedex
07 SPcommunication@ssi.gouv.fr01 71 75 84 04
N oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 1 sur48Table des matières
1 Introduction41.1 Quels risques de sécurité?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Objectifs et périmètre du document
41.3 Priorisation des recommandations
41.4 Concepts
51.4.1 Annuaire Active Directory
51.4.2 Forêt et domaine
62 Prérequis à la sécurisation de l"Active Directory
6 2.1 Architecture physique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.1.1 Sites Active Directory
72.1.2 La réplication
72.1.2.1 Port utilisé par la réplication
82.1.2.2 Utilisation du KCC
82.1.2.3 Planification et fréquence de la réplication
92.1.3 Placement des contrôleurs de domaine
92.2 Architecture réseau
1 02.2.1 DNS
102.2.1.1 Rappel sur la méthode de résolution des noms d"hôtes
112.2.1.2 Rappel sur les zones de recherche
112.2.1.3 Rappel sur les types de zones
112.3 Santé des contrôleurs de domaine
122.3.1 Journalisation
122.4 Accès à distance
142.5 Environnement logiciel
143 Éléments de sécurité Active Directory
15 3.1 Niveaux fonctionnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2 Schéma
163.3 Architecture logique
173.3.1 Relations d"approbation
173.3.1.1 Types des relations d"approbation
173.3.1.2 Transitivité des relations d"approbation
183.3.1.3 Direction des relations d"approbation
183.3.1.4 Étendue de l"authentification des utilisateurs
183.3.1.5 Historique des SIDs
193.3.1.6 Filtrage des SIDs
193.3.2 Les unités organisationnelles
193.3.3 Rôles de maître d"opérations
203.4 Les stratégies de groupe
213.4.1 Règles de nommage
233.4.2 Règles d"implémentation
233.5 Groupes de sécurité
23 NoDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 2 sur48
3.5.1 Périmètre des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.5.2 Utilisation des groupes de Domaine local
253.5.3 Utilisation des groupes Globaux
253.5.4 Utilisation des groupes Universels
253.5.5 Modification de l"étendue de groupe
253.5.6 Bouclage
263.5.7 Contrôle d"accès basé sur des rôles
263.5.8 Taille du ticket Kerberos
263.5.9 Règles de nommage
273.6 Gestion des comptes
273.6.1 Stockage des secrets d"authentification
283.6.2 Authentification
293.6.2.1 Protocoles
293.6.2.2 Authentification multi-facteurs
303.6.3 Catégorisation des comptes
303.6.3.1 Comptes privilégiés
323.6.4 Règles de nommage
323.6.5 Scripts
333.6.6 Sécurité des comptes
333.6.6.1 Mots de passe
333.6.6.2 Comptes inactifs
344 Mesures organisationnelles préventives
34 4.1 Gestion des ressources humaines. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.2 Intégrer la gestion des comptes dans les processus métier
354.3 Audits et amélioration continue
35Annexes38N
oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 3 sur481 Introduction
Active Directory (AD) est un annuaire introduit par Windows 2000 Server. Son implémentationpermet de centraliser des informations relatives aux utilisateurs et aux ressources d"une entreprise en
fournissant des mécanismes d"identification et d"authentification tout en sécurisant l"accès aux données.
1.1 Quels risques de sécurité?
La diversité des informations qu"un annuaire AD contient et le rôle central qu"il occupe dans le
système d"information ont induit la création d"un véritable écosystème applicatif pour l"administrer, le
maintenir et le surveiller. Il est important de souligner qu"un annuaire Active Directory contient des
secrets des utilisateurs, comme, par exemple, leurs informations d"identification. De fait, il constitue
une cible privilégiée pour une personne malveillante.En effet, s"il dispose des droits d"administration du domaine, un attaquant est libre de mener toutes
les opérations souhaitées telles que l"exfiltration de données ou le sabotage. La compromission d"un seul
compte avec des droits privilégiés peut ainsi faire perdre la maîtrise totale du système d"information.
La complexité de cet annuaire est telle qu"un individu malveillant peut y dissimuler sa présence de
différentes manières plus ou moins subtiles et, pour certaines, difficilement détectables. Un tel individu
se trouve alors en mesure de laisser des portes dérobées dans de multiples services et applicatifs du
système d"information. Il en résulte un risque important d"attaques complexes persistantes. Un système
d"information ayant fait l"objet d"une telle compromission est parfois impossible ànettoyeret doit faire
l"objet d"une reconstruction complète nécessitant d"importants moyens financiers et humains. Par conséquent, il est primordial de maîtriser et de bien sécuriser son annuaire AD.1.2 Objectifs et périmètre du document
Ce document a pour objectif de fournir des recommandations et des procédures permettant la sécurisation d"un annuaire AD.Il est nécessaire de disposer de notions élémentaires du fonctionnement d"AD pour les appréhender;
Microsoft a publié des articles de référence sur ce sujet1. Cependant, afin de présenter ces recomman-
dations, de brèves explications sur le fonctionnement de l"AD ou de ses composants sont apportées
lorsque cela est nécessaire.1.3 Priorisation des recommandations
Les recommandations liées à la sécurisation de l"annuaire AD sont priorisées en fonction de la
criticité de leur périmètre de protection ainsi que de leur complexité de mise en oeuvre.1.http://technet.microsoft.com/fr-fr/library/cc780336.aspx.N
oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 4 sur48 Priorité 1La recommandation proposée permet de mettre en place une protection contre l"exploitation de vulnérabilités pouvant engendrer une compro-mission de l"AD.Priorité 2L"application de la recommandation est utile pour protéger l"AD contre
les accès non autorisés.Priorité 3La recommandation est motivée par la protection de l"intégrité des don-
nées contenues dans l"AD et leur non-divulgation.Priorité 4Le périmètre de protection de la recommandation ne couvre pas d"élé-
ments critiques ou sa complexité de mise en oeuvre la rend moins priori- taire.Table1 - Priorisation des recommandationsLes coûts de mise en oeuvre de certaines recommandations peuvent s"avérer élevés mais ils restent
néanmoins minimes comparés aux coûts qui découleraient d"une compromission de l"AD.1.4 Concepts
1.4.1 Annuaire Active Directory
Le service d"annuaire AD utilise une base de données (ayant un moteur ESE) pour stocker toutesles informations d"annuaire. Ce dernier contient des informations sur les objets tels que les utilisateurs,
les groupes, les ordinateurs, les domaines, les unités d"organisation et les stratégies de sécurité. Sa taille
peut varier de quelques centaines d"objets pour de petites installations à plusieurs millions pour des
configurations volumineuses.AD comprend également :
un ensem blede règles, le schéma, qui définit les classes d"objets et d"attributs contenus dans
l"annuaire, les contraintes et limites qui s"appliquent aux instances de ces objets et le format de leurs noms; un catalogue globalqui contient des informations sur chaque objet de l"annuaire. Ceci permet aux utilisateurs et aux administrateurs de retrouver des informations de l"annuaire quel que soit le domaine de l"annuaire qui stocke réellement les données; un mécanisme de requ êteet d"index utilisan tp rincipalementle proto coleLD APq uip ermetauxutilisateurs et aux applications du réseau de publier et de retrouver les objets et leurs propriétés;
un service de r éplicationqui di stribuel esdonnées de l"ann uairesur un réseau. T ousles con-
trôleurs de domaine(DC) en écriture d"un domaine participent à la réplication et stockent une
copie complète de toutes les informations de l"annuaire concernant leur domaine (les contrôleurs
de domaine en lecture seule ne possèdent que des informations partielles). L"annuaire est stocké sur des DC : chacun dispose d"une copie de l"annuaire pour l"ensemble deson domaine. Les modifications apportées à l"annuaire sur un DC sont répliquées sur les autres DC du
domaine, de l"arborescence de domaine ou de la forêt (les notions de domaine et de forêt sont abordées
dans la section 1.4.2 AD utilise quatre types de partitions d"annuaire distinctes pour stocker et copier les différentstypes de données. Cette structure de stockage et le mécanisme de réplication permet aux utilisateurs
de disposer des informations d"annuaire n"importe où dans le domaine. Les partitions sont les suivantes :
Données du domaineLes données du domaine contiennent des informations sur les objets d"un do- maine. Il s"agit notamment des attributs de compte d"utilisateur et d"ordinateur et des ressources publiées.N oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 5 sur48Données de configurationLes données de configuration décrivent la topologie de l"annuaire. Ces
données de configuration comprennent une liste complète des domaines, arborescences et forêts
ainsi que les emplacements des contrôleurs de domaines et des catalogues globaux.Données du schémaLe schéma est la définition formelle de toutes les données relatives aux objets et
attributs pour les objets existants. Les objets du schéma sont protégés par des listes de contrôle
d"accès. Ainsi, seuls les utilisateurs autorisés peuvent modifier le schéma.Données d"applicationLes données stockées dans la partition d"application sont répliquées, mais pas
nécessairement à l"échelle globale. Les partitions d"annuaire destinées aux applications ne font pas
partie de l"annuaire par défaut; elles doivent être créées, configurées et gérées par l"administrateur.
On parle alors de partition NDNC (Non-Domain Naming Context). Cette partition n"existe pas dans AD 2000.Dans un environnement Microsoft, les zones DNS peuvent être intégrées aux partitions du domaine
ou d"applications.1.4.2 Forêt et domaine
La notion de domaine Windows a été introduite avec Windows NT et pouvait être vue comme un ensemble d"ordinateurs partageant une base de données commune pour l"authentification. DepuisWindows 2000, cette notion a évolué. Avant Windows 2000, un domaine Windows NT est une frontière
pour la sécurité : le périmètre d"administration des comptes privilégiés ne dépasse pas les frontières
d"un domaine. Depuis Windows 2000, les comptes d"administration d"un domaine de la forêt ont des privilègesdans tous les domaines de la forêt (cette élévation de privilège est bloquée par l"utilisation des outils
d"administration Microsoft mais est techniquement possible par conception). Les termes d"isolation et
d"autonomie sont utilisés pour qualifier une forêt et un domaine : les privilèges d"administration ne
dépassent pas les frontières de la forêt; un domaine peut être administré indépendamment des autres
mais certains privilèges traversent les frontières des domaines d"une même forêt. D"autres éléments architecturaux caractérisent les forêts et domaines AD :un compte est défini da nsun seul et unique domaine d"une forêt et p eutêtre utilisé dans n"im porte
quel domaine de la forêt (si les droits d"accès le permettent) grâce aux relations d"approbation
implicite entre les domaines;lorsqu"un utilisateur appartena ntà un d omainea ccèdeà une ressource d"un autre domaine de la
même forêt et que l"authentification par Kerberos est utilisée, un DC de confiance pour l"ordina-
teur de l"utilisateur et le serveur de la ressource est utilisé dans le processus d"authentification.
2 Prérequis à la sécurisation de l"Active DirectoryLa sécurisation d"un annuaire AD n"est pas uniquement une question de configuration logicielle;
elle doit être mise en oeuvre dès la conception de l"architecture. Ainsi, les éléments qui suivent doivent
être pris en compte.
2.1 Architecture physique
La sécurisation d"un annuaire AD doit être prise en compte dès sa phase de conception et lors de
son implémentation.N oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 6 sur482.1.1 Sites Active Directory
Lorsque les ordinateurs d"une forêt sont répartis sur différentes zones géographiques connectées entre
elles par des liens réseaux (hors LAN), il est commun de définir des sites AD. Ainsi, l"implémentation
des sites AD reflète en général l"architecture physique du réseau et implique de prendre en compte les
éléments suivants :
l"implémen tationde sites implique la création de liens de site. Ces derniers impacten tdirectemen t
la topologie de réplication garante de la mise à jour de la base de données de tous les contrôleurs
de domaine;un clien tAD s"authen tifiantsur un domaine v acon tacter,de préférence, un co ntrôleurde do maine
dans le même site AD. La configuration des sites AD influencera donc le trafic sur le réseau ainsi
que la disponibilité des DC.2.1.2 La réplication
La réplication correspond au processus de propagation des mises à jour effectuées sur l"annuaire
entre les différents DC.La topologie de réplication définit comment les informations vont être répliquées entre les différents
DC. Deux types de réplications sont à distinguer :Réplication intra-site
Les informations d"annuaire situées à l"intérieur d"un site sont répliquées automatiquement à
des intervalles réguliers. La topologie de réplication est générée automatiquement par le KCC
(Knowledge Consistency Checker). Ce dernier tente d"établir une topologie qui permet d"avoir au moins deux connexions logiques sur chaque DC.Réplication inter-site
Les informations d"annuaire sont répliquées entre les sites grâce à la topologie de réplication
inter-site. Le KCC utilise les objets de l"annuaire AD tels que lesliens de siteset lesserveurs tête de pontpour définir cette topologie de réplication. Dans le cas de la réplication inter-site, deux types de transport peuvent être utilisés : Transport synchrone par RPC (Remote Procedure Call) au-dessus de TCP/IP Ce mode de transport peut être utilisé pour répliquer n"importe quel type d"information. Transport asynchrone par SMTP (Simple Mail Transport Protocol)Ce mode de transport ne peut être utilisé que pour répliquer les informations de configuration,
du schéma et du catalogue global. SMTP ne peut pas être utilisé pour répliquer les informations
intra-domaine qui sont les données du contexte de domaine échangées entre tous les contrôleurs
de domaine d"un même domaine Windows.N oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 7 sur48Le tableau suivant présente les avantages et les inconvénients liés à chaque type de transport :
Transport synchrone par RPCTransport asynchrone par SMTPAvantages-simplicité de mise en oeuv re.
utilisé p ourla réplication in teret intra-site pour toutes les données.-proto coleadapté à des ban- des passantes limitées; plusieurs transactions peuvent être traitées simultanément. p eutêtre sécurisé, surv eilléet administré à travers un réseau WAN.Inconvénients-utilisation d"un p ortdynamique affecté par le point de terminaisonRPC utilisant le port 135.
inadapté sur les liens à fa ible bande passante.-complexe à mettre en oeu vre. ne p eutpas être utilisé p our répliquer les informations intra- domaine. ne p ermetpas de répl iquerles stratégies de groupes (GPO).Table2 - Types de transport utilisés par la réplication2.1.2.1 Port utilisé par la réplication
Par défaut, la réplication par RPC utilise un port dynamique affecté par le point de terminaison
RPC utilisant le port 135. Il est toutefois possible de fixer le port utilisé par la réplication inter-site en
modifiant sur tous les DCs la valeurTCP/IP Portde la clé de registre :HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.R1- Priorité 4Il est recommandé de fixer les ports de réplication afin de maîtriser au mieux les
flux réseau. La définition de ports statiques est obligatoire si le DC est derrière un pare-feu.2.1.2.2 Utilisation du KCCLe KCC est un service présent sur chaque DC qui ajuste dynamiquement la topologie de réplication
des données lorsque : un D Cest a jouté,supprimé ou indisp onible; un lien de site est créé, mo difiéou supprimé ; la planification de la rép licationdes données a été mo difiée.À partir des objets de l"AD décrivant la topologie réseau (objetsSite,Lien de site,Serveur tête de
pont, ...), le KCC crée des objets de typeConnexionqui vont être utilisés pour définir les réplications
entrantes.Par défaut, toutes les 15 minutes, ce service recalcule la topologie de réplication. Cette fréquence
est configurable en modifiant la valeurRepl topology update period (secs)de la clé de registre : oDAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014Page 8 sur48R2- Priorité 4Il est recommandé de laisser le KCC générer la topologie de réplication, une fois les
coûts des liens de site définis, si la règle mathématique suivante est vraie : (1 +Nombre de domaine) *Nombre de site2<= 100 000. Dans le cas contraire, une réduction du nombre de liens de site, une planification de l"exécution du KCC durant les heures creuses ou une désactivation du KCC (création manuelle des objetsConnexion) peuvent être envisagées pour optimiser la topologiequotesdbs_dbs24.pdfusesText_30[PDF] openldap active directory sync
[PDF] synchronisation d'annuaire active directory et de base ldap
[PDF] ldap synchronization connector
[PDF] cours active directory pdf gratuit
[PDF] active directory pdf windows server 2008
[PDF] cours active directory windows server 2008 pdf
[PDF] active directory francais
[PDF] cours active directory ppt
[PDF] installation et configuration windows server 2012 pdf
[PDF] guide de ladministrateur windows server 2012 pdf
[PDF] toutes les formules excel 2007
[PDF] astuces excel 2007 pdf
[PDF] excel astuces formules
[PDF] excel astuces avancées