Chaque organisation poss\u00e8de une structure bien d\u00e9finie qui d\u00e9finit les r\u00f4les et les responsabilit\u00e9s des employ\u00e9s dans les diff\u00e9rents d\u00e9partements tels que les ventes, le marketing et l’informatique. Afin d\u2019utiliser efficacement les ressources de l’entreprise et rester productives, les organisations doivent \u00e9laborer des mesures de contr\u00f4le d’acc\u00e8s.<\/p>\n\n\n\n
L’authentification Active Directory (AD)<\/a> est l’une des mesures que vous pouvez utiliser pour g\u00e9rer les utilisateurs, les applications et les autres actifs au sein de l’entreprise. Une fois d\u00e9ploy\u00e9e, l’authentification Active Directory peut simplifier l’administration informatique et am\u00e9liorer la posture de s\u00e9curit\u00e9 globale de l’entreprise. Apprenez-en davantage sur l’authentification AD, son fonctionnement et comment JumpCloud peut vous aider \u00e0 am\u00e9liorer ses op\u00e9rations. <\/p>\n\n\n\n L’authentification AD est un syst\u00e8me fonctionnant sur Windows qui authentifie et autorise les utilisateurs, les terminaux et les services \u00e0 Active Directory. Les \u00e9quipes informatiques peuvent utiliser l’authentification AD pour rationaliser la gestion des utilisateurs et des droits tout en b\u00e9n\u00e9ficiant d\u2019un contr\u00f4le centralis\u00e9 des p\u00e9riph\u00e9riques et des configurations des utilisateurs gr\u00e2ce \u00e0 la fonction \u00ab Politique de groupe \u00bb d\u2019AD. <\/p>\n\n\n\n Elle offre \u00e9galement une fonctionnalit\u00e9 d’authentification unique (SSO)<\/a>, permettant aux utilisateurs de s’authentifier une seule fois et d’acc\u00e9der ensuite de mani\u00e8re transparente \u00e0 toutes les ressources de l’entreprise dans le domaine pour lequel ils sont autoris\u00e9s. L’authentification AD succ\u00e8de \u00e0 LAN Manager (LM) et NT LAN Manager (NTLM), des protocoles qui \u00e9taient facilement exploitables.<\/p>\n\n\n\n Par exemple, LM utilisait un sch\u00e9ma cryptographique fragile que les processeurs modernes pouvaient facilement craquer. Bien que NTLM – qui a succ\u00e9d\u00e9 \u00e0 LM – ait apport\u00e9 quelques am\u00e9liorations de s\u00e9curit\u00e9 autour de la force de la cryptographie, il ne pouvait pas fournir les services d’authentification mutuelle et d’authentification par carte \u00e0 puce. En raison de ces faiblesses, Microsoft a remplac\u00e9 les protocoles LM et NTLM par AD \u00e0 partir des syst\u00e8mes d’exploitation (OS) Windows 2000 Server. <\/p>\n\n\n\n Active Directory est un processus qui prend en charge deux normes : Kerberos et Lightweight Directory Access Protocol (LDAP)<\/a>. <\/p>\n\n\n\n Dans une authentification AD bas\u00e9e sur Kerberos, les utilisateurs ne se connectent qu’une seule fois pour avoir acc\u00e8s aux ressources de l’entreprise. Plut\u00f4t que de transmettre les informations de connexion sur le r\u00e9seau, comme c’est le cas avec les protocoles LM et NTLM, le syst\u00e8me Kerberos g\u00e9n\u00e8re une cl\u00e9 de session pour l’utilisateur. La cl\u00e9 de session g\u00e9n\u00e9r\u00e9e est valable pour une p\u00e9riode d\u00e9termin\u00e9e, ce qui offre une certaine souplesse aux utilisateurs en mati\u00e8re d’authentification. <\/p>\n\n\n\n Outre la cl\u00e9 de session, le syst\u00e8me Kerberos g\u00e9n\u00e8re \u00e9galement un jeton contenant toutes les politiques et tous les droits d’acc\u00e8s associ\u00e9s \u00e0 l’utilisateur. Cela garantit que les utilisateurs n’acc\u00e8dent qu’aux ressources auxquelles ils sont autoris\u00e9s.<\/p>\n\n\n\n Si un client veut se connecter au serveur AD ou au contr\u00f4leur de domaine (DC) dans ce cas, il doit s’authentifier aupr\u00e8s d’un centre de distribution de cl\u00e9s (KDC), qui est un tiers de confiance. Le KDC se compose de deux serveurs : le serveur d’authentification (AS) et le serveur d’octroi de tickets (TGS). Le serveur d’authentification chiffre les informations de connexion des clients en utilisant la cl\u00e9 secr\u00e8te de leur mot de passe. C’est ainsi que l’AS authentifie les clients sur le r\u00e9seau.<\/p>\n\n\n\n Apr\u00e8s avoir authentifi\u00e9 l’utilisateur, l’AS lui envoie un ticket d’acc\u00e8s (TGT), qui est crypt\u00e9 avec une autre cl\u00e9 secr\u00e8te. Lorsque le client re\u00e7oit le TGT, il le transmet au TGS avec une demande d’autorisation pour acc\u00e9der \u00e0 la ressource cible sur le serveur. Le TGS d\u00e9chiffre alors le TGT avec sa cl\u00e9 secr\u00e8te qu’il partage avec l’AS. <\/p>\n\n\n\n Ensuite, le TGS \u00e9met un jeton au client qu’il chiffre avec une autre cl\u00e9. La troisi\u00e8me cl\u00e9 secr\u00e8te est partag\u00e9e entre le serveur cible et le TGS. Enfin, le client transmet le jeton re\u00e7u au serveur cible. Lorsque le serveur cible re\u00e7oit le jeton, il le d\u00e9chiffre avec la cl\u00e9 partag\u00e9e par le TGS pour permettre au client d’acc\u00e9der aux ressources pendant une dur\u00e9e limit\u00e9e (session).<\/p>\n\n\n\n LDAP est un protocole open source et multiplateforme qui fournit des services d’authentification AD. Il existe deux options associ\u00e9es \u00e0 l’authentification bas\u00e9e sur LDAP dans AD :<\/p>\n\n\n\n AD fonctionne de mani\u00e8re transparente avec les syst\u00e8mes et services bas\u00e9s sur Windows. Celui-ci dominait peut-\u00eatre le march\u00e9 des syst\u00e8mes d’exploitation dans les ann\u00e9es 1990, mais il nous est forc\u00e9 d’admettre qu’aujourd’hui les choses ont chang\u00e9. Linux et macOS font d\u00e9sormais partie int\u00e9grante de toute infrastructure informatique. Comme les entreprises continuent \u00e0 exploiter diff\u00e9rents syst\u00e8mes d’exploitation, la pression pour fournir une gestion centralis\u00e9e des acc\u00e8s devient r\u00e9elle. <\/p>\n\n\n\n Il existe deux m\u00e9thodes principales pouvant \u00eatre utilis\u00e9es pour connecter les appareils bas\u00e9s sur Linux \u00e0 AD.<\/p>\n\n\n\n Cette approche exige que les \u00e9quipes informatiques reconfigurent les appareils bas\u00e9s sur Linux pour exploiter le module d’authentification enfichable (PAM) de LDAP. L’authentification AD \u00e9tant largement ax\u00e9e sur le protocole Kerberos, les \u00e9quipes informatiques doivent g\u00e9rer manuellement l’ensemble du processus d’authentification.<\/p>\n\n\n\n Il s’agit d’un outil d’interop\u00e9rabilit\u00e9 standard de Windows pour les syst\u00e8mes Linux. Les \u00e9quipes informatiques peuvent utiliser Samba comme interm\u00e9diaire pour prendre en charge l’authentification AD dans les machines Linux. Par exemple, les \u00e9quipes informatiques peuvent utiliser le service pour cr\u00e9er des domaines, configurer un serveur d’impression partag\u00e9 et configurer PAM pour permettre aux utilisateurs de s’authentifier aupr\u00e8s des services install\u00e9s localement.<\/p>\n\n\n\nQu’est-ce que l’authentification Active Directory?<\/strong><\/h2>\n\n\n\n
Comment fonctionne l’authentification dans Active Directory?<\/strong><\/h2>\n\n\n\n
1. Protocole Kerberos<\/strong><\/h3>\n\n\n\n
2. Le protocole LDAP (Lightweight Directory Access Protocol)<\/strong><\/h3>\n\n\n\n
\n
Authentification des p\u00e9riph\u00e9riques Linux via Active Directory<\/strong><\/h2>\n\n\n\n
LDAP<\/strong><\/h3>\n\n\n\n
Samba<\/strong><\/h3>\n\n\n\n
Authentification des Macs avec Active Directory<\/strong><\/h2>\n\n\n\n