|
Introduction
Authentification des clients
Mise en place du serveur Telnet
Configuration du serveur Telnet
Administration des client
Conclusion
Introduction
L'intégration d'un
serveur Telnet sous Windows 2000 (toutes versions) fait partie des nouvelles
fonctionnalités incitant à la migration de Windows NT vers Windows 2000. Si vous avez déjà
travaillé en environnement Unix, vous savez à quel point il est
appréciable de pouvoir administrer un serveur à distance.
Certes, il est possible d'administrer
Windows 2000 via Terminal Server, mais l'utilisation
du protocole Telnet est bien plus commode car bénéficiant d'une
compatibilité inter-environnements. Depuis n'importe quel client compatible
avec le protocole Telnet (quasiment tous les OS incluent un client de connexion Telnet), vous
pouvez lancer des programmes à distance comme si vous étiez
devant le serveur.
Le Ressource Kit de
Windows NT 4 proposait déjà une version bêta d'un serveur Telnet.
De plus, des solutions tierces (payantes) étaient disponibles.
Toutefois, il faut garder en tête qu'investir dans une solution Telnet
pour
administrer un petit
nombre de serveurs est une chose, mais qu'acheter des licences pour
l'ensemble des stations d'un parc informatique afin d'en faciliter
la maintenance en est une autre. En ce sens, l'intégration
d'un serveur Telnet sous Windows 2000 est un grand pas en avant
dans la maintenance de sites.
Authentification
des clients
Les
serveurs Telnet Unix ont un inconvénient majeur au niveau sécurité
:
les données ainsi que les
mots de passe transitent en clair via le réseau. Par
conséquent, n'importe quel
sniffer de réseau peut à loisir récupérer les mots de passe
des comptes qu'il désire, ce qui est inacceptable sur un
site sensible ! Les
solutions commerciales sous NT4 proposaient d'intégrer
optionnellement la sécurité NT lors des transactions. L'implémentation du serveur
Telnet de Windows 2000
bénéficie, quand à elle, du support natif de la sécurité de Windows
2000. En
effet, les transactions utilisent en standard la méthode de
cryptage employée sur la machine (Kerberos ou NTLM). Quand aux
clients sous Windows 2000, ils sont bien évidement compatibles avec
ces méthodes de cryptage.
Le
service Telnet fourni avec Windows 2000 requiert par défaut une
authentification NTLM (NT Lan Manager). Cependant, si Windows 2000 est
configuré pour utiliser Kerberos comme méthode
d'authentification par défaut, les utilisateurs connectés via Telnet
risquent de ne pas pouvoir accéder aux ressources du domaine (et
de l'Active Directory) ou d'être reconnus
sur le réseau. En outre, dans le cas d'un environnement hétérogène
Unix/Windows 2000, il faudra impérativement désactiver cette
méthode de connexion et ainsi transférer les données en
clair pour assurer la compatibilité.
Mise
en place du serveur Telnet
Par défaut, le service Telnet n'est pas démarré. Il existe
trois méthodes pour le
lancer manuellement :
- En utilisant la console d'administration du serveur Telnet grâce
à l'icône du menu des outils d'administration ou directement
à l'aide de la commande tlntadmn.exe, en prenant soin d'activer l'option
4.
- En démarrant le service "Telnet" grâce à la MMC
(Microsoft Managment Console) de gestion de services,
accessible à partir de la gestion de l'ordinateur
("Propriétés" du "Poste de travail") ou
directement à partir du menu "Exécuter..." en
lançant "services.msc" (on pourra ici spécifier le
démarrage automatique du service).
- En démarrant le service grâce à la commande "net start
Telnet".
Configuration
du serveur Telnet
1. Menu de base
Le gestionnaire de
serveur Telnet (tlntadmn.exe) permet de définir aisément les propriétés
de ce dernier. Ainsi via une interface simple, on accède aux options de base:
0 - Quitter cette application: ferme la
fenêtre d'administration du serveur Telnet
1 - Afficher les utilisateurs en cours: affiche la liste des utilisateurs connectés ainsi que le domaine,
l'IP de la machine depuis laquelle ils se connectent, le numéro
de session et l'heure de connexion.
2 - Terminer une session utilisateur...: termine la session dont on fournit d'ID.
3 - Afficher / modifier les paramètres du Registre...: affiche des options du Registre permettant de configurer le serveur
(détaillée plus loin).
4 - Démarrer le service: permet de lancer le service.
5 - Arrêter le service: arrête le service Telnet.
2. Menu des options du Registre
Via l'option 3 du menu principal (Afficher / modifier les paramètres du
Registre), on accède à la
configuration des clés du Registre liées au service Telnet. Voici
leur descriptif:
0 - Quitter ce menu : retourne au menu principal
1 - AllowTrustedDomain: La valeur 0 autorise l'accès au serveur uniquement via des comptes locaux de la machine sur laquelle est
hébergé le serveur Telnet.
La valeur 1 en autorise l'accès via les comptes locaux ou les comptes des domaines avec lesquels il existe une relation d'approbation.
2 - AltKeyMapping: Permet l'utilisation de la touche ALT (uniquement pour VT100).
Si la valeur est 0, CTRL-A n'est pas mappé.
Si la valeur est 1, CTRL-A est mappé et génère ALT.
3 - DefaultDomain: Permet de définir le domaine par défaut avec lequel la machine qui
héberge le serveur Telnet entretient une relation d'approbation.
Pour spécifier le domaine local lorsque la clé AllowTrustedDomain est
à 1, il faut utiliser la valeur
' . ' .
4 - DefaultShell: permet de définir le chemin d'accès du Shell
(et éventuellement de lui ajouter des paramètres).
5 - LoginScript: permet de définir le chemin et le script utilisé lors de l'ouverture de session.
Grâce à ce script local au serveur, on peut exécuter un certain nombre de taches lors de chaque ouverture de
session comme par exemple une bannière ou encore un script permettant de mapper des lecteurs
(authentification grâce au login
de connexion Telnet). Ce script est commun à tous les
utilisateurs et est localisé sur le serveur à
l'emplacement par défaut suivant : "%systemroot%\System32\login.cmd". L'utilisation dans
ce script de la variable %username% permet de le personnaliser.
Par défaut le script affiche une simple bannière avec le texte
"Bienvenue à Microsoft Telnet Server" et place
l'utilisateur dans son répertoire de base ( à l'aide des variables
d'environnement %homedrive% et %homepath%).
6 - MaxFailedLogins: définition du nombre de tentatives de login infructueuses.
7 - NTLM: Définit l'utilisation de NTLM.
La valeur 0 désactive l'authentification NTLM (authentification par login/mot de passe).
La valeur 1 spécifie que l'authentification NTLM est tentée en premier. Si elle
échoue, un login et un mot de passe sont demandés.
La valeur 2 spécifie l'utilisation exclusive de l'authentification NTLM.
8 - TelnetPort: permet de définir le port d'écoute du serveur
Telnet.
L'accès au serveur Telnet peut être restreint
via la création du groupe local nommé "TelnetClients".
Seuls les membres de ce groupe seront autorisés à se connecter au
serveur.
Administration
des clients
Le serveur Telnet étant démarré, les clients peuvent directement
s'y connecter
via la commande "Telnet <ip_serveur>".
On peut spécifier un autre port de connexion après l'IP si celui
défini sur le serveur est différent de 23.
Si l'authentification NTLM a échoué ou si elle a été
désactivée, on est invité à s'authentifier via la fenêtre
suivante:
.
Après s'être authentifié (de façon transparente avec NTLM ou
avec son login/pass), on se retrouve devant une véritable console
via laquelle
on peut réaliser toutes les tâches administratives accessibles en
ligne de commande (cacls, at, net use,...).
Conclusion
Le serveur Telnet Microsoft est parfaitement intégré au système. Il interagit de
façon efficace avec la base des
utilisateurs permettant ainsi de garantir une sécurité d'accès
optimale. Le cryptage des données est une fonctionnalité
appréciable permettant d'administrer de façon sûre des machines
critiques, sans recourir à d'autres protocoles tels SSH.
Sa mise en place ne prend que quelques minutes et son
administration est intuitive. Cependant, l'interface uniquement en
mode texte distingue cet utilitaire des autres outils
d'administration du système reposant tous sur les MMC (Microsoft
Management Console). il est évident que les client qui souhaitent
administrer le serveur Telnet ne pourront le faire qu'en mode
texte, ce qui nous permet de comprendre ce choix. Néanmoins, il aurait été appréciable de disposer en plus d'une
MMC d'administration.
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Serveur Telnet sous Windows 2000
