{"id":2236,"date":"2023-03-15T17:16:18","date_gmt":"2023-03-15T17:16:18","guid":{"rendered":"https:\/\/jumpcloud.com\/fr\/?p=2236"},"modified":"2023-04-25T17:44:44","modified_gmt":"2023-04-25T17:44:44","slug":"active-directory-authentication","status":"publish","type":"post","link":"https:\/\/jumpcloud.com\/fr\/blog\/active-directory-authentication","title":{"rendered":"Guide complet de l’authentification Active Directory"},"content":{"rendered":"\n

Chaque organisation poss\u00e8de une structure bien d\u00e9finie qui d\u00e9finit les r\u00f4les et les responsabilit\u00e9s des employ\u00e9s dans les diff\u00e9rents d\u00e9partements tels que les ventes, le marketing et l’informatique. Afin d\u2019utiliser efficacement les ressources de l’entreprise et rester productives, les organisations doivent \u00e9laborer des mesures de contr\u00f4le d’acc\u00e8s.<\/p>\n\n\n\n

L’authentification Active Directory (AD)<\/a> est l’une des mesures que vous pouvez utiliser pour g\u00e9rer les utilisateurs, les applications et les autres actifs au sein de l’entreprise. Une fois d\u00e9ploy\u00e9e, l’authentification Active Directory peut simplifier l’administration informatique et am\u00e9liorer la posture de s\u00e9curit\u00e9 globale de l’entreprise. Apprenez-en davantage sur l’authentification AD, son fonctionnement et comment JumpCloud peut vous aider \u00e0 am\u00e9liorer ses op\u00e9rations. <\/p>\n\n\n\n

Qu’est-ce que l’authentification Active Directory?<\/strong><\/h2>\n\n\n\n

L’authentification AD est un syst\u00e8me fonctionnant sur Windows qui authentifie et autorise les utilisateurs, les terminaux et les services \u00e0 Active Directory. Les \u00e9quipes informatiques peuvent utiliser l’authentification AD pour rationaliser la gestion des utilisateurs et des droits tout en b\u00e9n\u00e9ficiant d\u2019un contr\u00f4le centralis\u00e9 des p\u00e9riph\u00e9riques et des configurations des utilisateurs gr\u00e2ce \u00e0 la fonction \u00ab Politique de groupe \u00bb d\u2019AD. <\/p>\n\n\n\n

Elle offre \u00e9galement une fonctionnalit\u00e9 d’authentification unique (SSO)<\/a>, permettant aux utilisateurs de s’authentifier une seule fois et d’acc\u00e9der ensuite de mani\u00e8re transparente \u00e0 toutes les ressources de l’entreprise dans le domaine pour lequel ils sont autoris\u00e9s. L’authentification AD succ\u00e8de \u00e0 LAN Manager (LM) et NT LAN Manager (NTLM), des protocoles qui \u00e9taient facilement exploitables.<\/p>\n\n\n\n

Par exemple, LM utilisait un sch\u00e9ma cryptographique fragile que les processeurs modernes pouvaient facilement craquer. Bien que NTLM – qui a succ\u00e9d\u00e9 \u00e0 LM – ait apport\u00e9 quelques am\u00e9liorations de s\u00e9curit\u00e9 autour de la force de la cryptographie, il ne pouvait pas fournir les services d’authentification mutuelle et d’authentification par carte \u00e0 puce. En raison de ces faiblesses, Microsoft a remplac\u00e9 les protocoles LM et NTLM par AD \u00e0 partir des syst\u00e8mes d’exploitation (OS) Windows 2000 Server. <\/p>\n\n\n\n

Comment fonctionne l’authentification dans Active Directory?<\/strong><\/h2>\n\n\n\n

Active Directory est un processus qui prend en charge deux normes : Kerberos et Lightweight Directory Access Protocol (LDAP)<\/a>. <\/p>\n\n\n\n

1. Protocole Kerberos<\/strong><\/h3>\n\n\n\n

Dans une authentification AD bas\u00e9e sur Kerberos, les utilisateurs ne se connectent qu’une seule fois pour avoir acc\u00e8s aux ressources de l’entreprise. Plut\u00f4t que de transmettre les informations de connexion sur le r\u00e9seau, comme c’est le cas avec les protocoles LM et NTLM, le syst\u00e8me Kerberos g\u00e9n\u00e8re une cl\u00e9 de session pour l’utilisateur. La cl\u00e9 de session g\u00e9n\u00e9r\u00e9e est valable pour une p\u00e9riode d\u00e9termin\u00e9e, ce qui offre une certaine souplesse aux utilisateurs en mati\u00e8re d’authentification. <\/p>\n\n\n\n

Outre la cl\u00e9 de session, le syst\u00e8me Kerberos g\u00e9n\u00e8re \u00e9galement un jeton contenant toutes les politiques et tous les droits d’acc\u00e8s associ\u00e9s \u00e0 l’utilisateur. Cela garantit que les utilisateurs n’acc\u00e8dent qu’aux ressources auxquelles ils sont autoris\u00e9s.<\/p>\n\n\n\n

Si un client veut se connecter au serveur AD ou au contr\u00f4leur de domaine (DC) dans ce cas, il doit s’authentifier aupr\u00e8s d’un centre de distribution de cl\u00e9s (KDC), qui est un tiers de confiance. Le KDC se compose de deux serveurs : le serveur d’authentification (AS) et le serveur d’octroi de tickets (TGS). Le serveur d’authentification chiffre les informations de connexion des clients en utilisant la cl\u00e9 secr\u00e8te de leur mot de passe. C’est ainsi que l’AS authentifie les clients sur le r\u00e9seau.<\/p>\n\n\n\n

Apr\u00e8s avoir authentifi\u00e9 l’utilisateur, l’AS lui envoie un ticket d’acc\u00e8s (TGT), qui est crypt\u00e9 avec une autre cl\u00e9 secr\u00e8te. Lorsque le client re\u00e7oit le TGT, il le transmet au TGS avec une demande d’autorisation pour acc\u00e9der \u00e0 la ressource cible sur le serveur. Le TGS d\u00e9chiffre alors le TGT avec sa cl\u00e9 secr\u00e8te qu’il partage avec l’AS. <\/p>\n\n\n\n

Ensuite, le TGS \u00e9met un jeton au client qu’il chiffre avec une autre cl\u00e9. La troisi\u00e8me cl\u00e9 secr\u00e8te est partag\u00e9e entre le serveur cible et le TGS. Enfin, le client transmet le jeton re\u00e7u au serveur cible. Lorsque le serveur cible re\u00e7oit le jeton, il le d\u00e9chiffre avec la cl\u00e9 partag\u00e9e par le TGS pour permettre au client d’acc\u00e9der aux ressources pendant une dur\u00e9e limit\u00e9e (session).<\/p>\n\n\n\n

2. Le protocole LDAP (Lightweight Directory Access Protocol)<\/strong><\/h3>\n\n\n\n

LDAP est un protocole open source et multiplateforme qui fournit des services d’authentification AD. Il existe deux options associ\u00e9es \u00e0 l’authentification bas\u00e9e sur LDAP dans AD :<\/p>\n\n\n\n