Chaque organisation possède une structure bien définie qui définit les rôles et les responsabilités des employés dans les différents départements tels que les ventes, le marketing et l’informatique. Afin d’utiliser efficacement les ressources de l’entreprise et rester productives, les organisations doivent élaborer des mesures de contrôle d’accès.
L’authentification Active Directory (AD) est l’une des mesures que vous pouvez utiliser pour gérer les utilisateurs, les applications et les autres actifs au sein de l’entreprise. Une fois déployée, l’authentification Active Directory peut simplifier l’administration informatique et améliorer la posture de sécurité globale de l’entreprise. Apprenez-en davantage sur l’authentification AD, son fonctionnement et comment JumpCloud peut vous aider à améliorer ses opérations.
Qu’est-ce que l’authentification Active Directory?
L’authentification AD est un système fonctionnant sur Windows qui authentifie et autorise les utilisateurs, les terminaux et les services à Active Directory. Les équipes informatiques peuvent utiliser l’authentification AD pour rationaliser la gestion des utilisateurs et des droits tout en bénéficiant d’un contrôle centralisé des périphériques et des configurations des utilisateurs grâce à la fonction « Politique de groupe » d’AD.
Elle offre également une fonctionnalité d’authentification unique (SSO), permettant aux utilisateurs de s’authentifier une seule fois et d’accéder ensuite de manière transparente à toutes les ressources de l’entreprise dans le domaine pour lequel ils sont autorisés. L’authentification AD succède à LAN Manager (LM) et NT LAN Manager (NTLM), des protocoles qui étaient facilement exploitables.
Par exemple, LM utilisait un schéma cryptographique fragile que les processeurs modernes pouvaient facilement craquer. Bien que NTLM – qui a succédé à LM – ait apporté quelques améliorations de sécurité autour de la force de la cryptographie, il ne pouvait pas fournir les services d’authentification mutuelle et d’authentification par carte à puce. En raison de ces faiblesses, Microsoft a remplacé les protocoles LM et NTLM par AD à partir des systèmes d’exploitation (OS) Windows 2000 Server.
Comment fonctionne l’authentification dans Active Directory?
Active Directory est un processus qui prend en charge deux normes : Kerberos et Lightweight Directory Access Protocol (LDAP).
1. Protocole Kerberos
Dans une authentification AD basée sur Kerberos, les utilisateurs ne se connectent qu’une seule fois pour avoir accès aux ressources de l’entreprise. Plutôt que de transmettre les informations de connexion sur le réseau, comme c’est le cas avec les protocoles LM et NTLM, le système Kerberos génère une clé de session pour l’utilisateur. La clé de session générée est valable pour une période déterminée, ce qui offre une certaine souplesse aux utilisateurs en matière d’authentification.
Outre la clé de session, le système Kerberos génère également un jeton contenant toutes les politiques et tous les droits d’accès associés à l’utilisateur. Cela garantit que les utilisateurs n’accèdent qu’aux ressources auxquelles ils sont autorisés.
Si un client veut se connecter au serveur AD ou au contrôleur de domaine (DC) dans ce cas, il doit s’authentifier auprès d’un centre de distribution de clés (KDC), qui est un tiers de confiance. Le KDC se compose de deux serveurs : le serveur d’authentification (AS) et le serveur d’octroi de tickets (TGS). Le serveur d’authentification chiffre les informations de connexion des clients en utilisant la clé secrète de leur mot de passe. C’est ainsi que l’AS authentifie les clients sur le réseau.
Après avoir authentifié l’utilisateur, l’AS lui envoie un ticket d’accès (TGT), qui est crypté avec une autre clé secrète. Lorsque le client reçoit le TGT, il le transmet au TGS avec une demande d’autorisation pour accéder à la ressource cible sur le serveur. Le TGS déchiffre alors le TGT avec sa clé secrète qu’il partage avec l’AS.
Ensuite, le TGS émet un jeton au client qu’il chiffre avec une autre clé. La troisième clé secrète est partagée entre le serveur cible et le TGS. Enfin, le client transmet le jeton reçu au serveur cible. Lorsque le serveur cible reçoit le jeton, il le déchiffre avec la clé partagée par le TGS pour permettre au client d’accéder aux ressources pendant une durée limitée (session).
2. Le protocole LDAP (Lightweight Directory Access Protocol)
LDAP est un protocole open source et multiplateforme qui fournit des services d’authentification AD. Il existe deux options associées à l’authentification basée sur LDAP dans AD :
- Authentification simple. Dans le cadre d’une authentification simple, LDAP s’appuie sur les identifiants de connexion pour créer une requête au serveur. Il prend également en charge les requêtes anonymes et non authentifiées vers les ressources de l’entreprise.
- Couche de sécurité et authentification simple (SASL). L’approche SASL utilise d’autres services d’authentification tels que Kerberos pour se connecter au serveur LDAP. Les équipes informatiques peuvent utiliser cette méthode pour renforcer la sécurité car elle sépare les méthodes d’authentification des protocoles d’application.
Authentification des périphériques Linux via Active Directory
AD fonctionne de manière transparente avec les systèmes et services basés sur Windows. Celui-ci dominait peut-être le marché des systèmes d’exploitation dans les années 1990, mais il nous est forcé d’admettre qu’aujourd’hui les choses ont changé. Linux et macOS font désormais partie intégrante de toute infrastructure informatique. Comme les entreprises continuent à exploiter différents systèmes d’exploitation, la pression pour fournir une gestion centralisée des accès devient réelle.
Il existe deux méthodes principales pouvant être utilisées pour connecter les appareils basés sur Linux à AD.
LDAP
Cette approche exige que les équipes informatiques reconfigurent les appareils basés sur Linux pour exploiter le module d’authentification enfichable (PAM) de LDAP. L’authentification AD étant largement axée sur le protocole Kerberos, les équipes informatiques doivent gérer manuellement l’ensemble du processus d’authentification.
Samba
Il s’agit d’un outil d’interopérabilité standard de Windows pour les systèmes Linux. Les équipes informatiques peuvent utiliser Samba comme intermédiaire pour prendre en charge l’authentification AD dans les machines Linux. Par exemple, les équipes informatiques peuvent utiliser le service pour créer des domaines, configurer un serveur d’impression partagé et configurer PAM pour permettre aux utilisateurs de s’authentifier auprès des services installés localement.
Authentification des Macs avec Active Directory
Les équipes informatiques peuvent utiliser un connecteur LDAP et AD pour configurer les Macs leur permettant d’accéder aux détails des comptes de base dans les infrastructures AD DS (Active Directory Domain Services). Ces outils permettent aux équipes informatiques d’exploiter l’authentification AD pour permettre aux utilisateurs d’accéder aux ressources de l’entreprise à partir de leurs Macs lors du déploiement. Le connecteur AD peut également fournir un SSO fédéré en mettant en correspondance les identités AD avec les rôles de gestion des identités et des accès (IAM) de macOS.
Par exemple, le connecteur AD peut générer tous les attributs nécessaires pour authentifier les appareils macOS auprès de l’infrastructure AD. Toutefois, les machines équipées de macOS 10.12 ou d’une version ultérieure ne peuvent rejoindre un domaine AD sans services de domaine Windows Server 2008 ou plus récents. Pour utiliser AD sur de tels appareils, les équipes informatiques doivent activer une cryptographie faible, ce qui met en péril la sécurité de l’organisation.
Les limites de l’authentification Active Directory
Dans les années 1990 et au début des années 2000, la plupart des outils et des systèmes de gestion des périphériques étaient essentiellement basés sur des systèmes d’exploitation Windows sur site, et l’authentification AD fonctionnait bien dans ces environnements informatiques. Cependant, le paysage actuel des systèmes d’exploitation est de plus en plus hétérogène, avec l’apparition de plateformes Linux et macOS ainsi que d’infrastructures cloud.
Par conséquent, fournir des contrôles et une gestion des accès dans un environnement informatique hétérogène est devenu un véritable casse-tête pour les équipes informatiques des entreprises. Si l’authentification AD traditionnelle permet de gérer l’IAM, elle est loin d’être efficace. Dans la plupart des cas, les équipes informatiques sont contraintes d’utiliser LDAP pour authentifier les périphériques Linux et macOS auprès d’AD, forçant ainsi l’intégration et la gestion d’une couche de sécurité supplémentaire.
Essentiellement, les organisations se retrouvent avec de multiples « mini-annuaires » offrant des services d’authentification et d’autorisation plutôt qu’avec une seule plateforme d’annuaire centralisée. Outre les systèmes d’exploitation hétérogènes, le taux d’adoption des applications SaaS (Software-as-a-Service) et d’autres services clouds est monté en flèche ces dernières années.
Cette adoption s’accompagne de son propre lot de défis dans le paysage IAM. Par exemple, la plupart des applications SaaS ont tendance à être cloisonnées, ce qui complique leur gestion du point de vue des autorisations. De plus, l’intégration des utilisateurs dans un environnement SaaS est longue et fastidieuse car elle implique des utilisateurs provenant de plusieurs départements différents.
Exploitez JumpCloud Directory pour étendre l’authentification Active Directory dans des environnements informatiques hétérogènes
JumpCloud est une plateforme d’annuaire cloud complète que les entreprises peuvent exploiter pour pallier les insuffisances de l’authentification AD dans les environnements informatiques hétérogènes. Vous pouvez utiliser la plateforme d’annuaire JumpCloud pour étendre l’authentification AD à pratiquement toutes les ressources informatiques de l’entreprise. Vous pouvez également utiliser JumpCloud pour étendre AD au cloud ou éliminer complètement les DC sur site.