3. Approbations raccourcis
Nous rentrons dans une nouvelle partie puisqu'il ne
s'agît plus de relation prédéfinies créées automatiquement mais de
relations créées manuellement afin d'améliorer la qualité du réseau et
surtout de faire gagner du temps aux utilisateurs. C'est le cas de la
relation d'approbation raccourcis. Il faut savoir
qu'avant de pouvoir accéder à un domaine distant sur lequel nous
souhaitons profiter des ressources, Windows calcule "le chemin
d'approbation" entre le DC (Contrôleur de Domaine) source (celui auquel
appartient le compte) et le domaine cible (celui avec les ressources
auxquelles on veut accéder). Le chemin d'approbation représente tout
simplement la liste de toutes les relations d'approbation que la
sécurité de Windows doit traverser afin de permettre à un utilisateur de
s'authentifier. Il arrive souvent, dans le cas de structure Active
Directory complexe, c'est à dire une forêt composé de nombreuses
arborescences avec plusieurs domaines, que le calcul du chemin
d'approbation puisse prendre un certain temps (plusieurs minutes).
Dans un soucis d'amélioration des qualités du réseau, il est possible de
créer explicitement une relation d'approbation raccourci entre deux
domaines éloignés d'une même forêt. Ces relations
raccourcis sont par défaut des relations unidirectionnelles et transitives
qui permettent de diminuer la longueur du chemin d'approbation. Voyons
le schéma de notre implémentation :
-
En noir sont représentées les
relations d'approbations prédéfinies (vu précédemment). C'est à dire
d'une part la relation de type "Racine d'arborescence" entre
les domaines Waryx.lan et Anhinga.lan, et d'autre part
des relations du type "Parents/Enfants" entre le domaine
Waryx.lan et Sud.Waryx.lan ainsi qu'entre les domaines
Anhinga.lan et Sud.Anhinga.lan
Voyons maintenant la procédure à suivre pour créer cette
relation :
|
1. Sur l'un des deux domaines enfants (soit
Sud.Waryx.lan soit
Sud.Anhinga.lan) ouvrez la console "Domaine
et approbations Active Directory" dans les outils
d'administration. Nous avons donc la structure suivante : |
 |
 |
2.
Dans les propriétés Sud.Anhinga.lan,
cliquez sur l'onglet "Approbations". Nous avons
déjà étudié cet fenêtre dans le chapitre précèdent, donc nous ne
rentrerons pas dans tous les détails.
Cependant nous allons cliquer
sur le bouton "Nouvelle approbation..." en bas de la fenêtre
!
|
3. Un assistant de lance alors. Celui vous
indique que vous pourrez créer trois type de relation d'approbation
:
-
De ce domaine vers un autre domaine Windows de
cette forêt (c'est notre cas ici) ou d'une autre forêt (c'est ce que
nous verrons dans la prochaine partie avec les relations inter
forêts)
-
De ce domaine vers un domaine Windows NT 4.0
(nous n'étudierons pas ce cas d'étude)
-
Une approbation de domaine Kerberos V5 (Cf
dernière partie de l'article)
Nous n'avons pas d'autre choix que de cliquer sur "Suivant"
pour le moment...
4. Maintenant l'écran suivant nous demande de rentrer le nom d'un
domaine, d'une forêt ou d'un domaine Kerberos. Si nous souhaitons créer
une relation inter forêt il faudra obligatoirement entrer un nom DNS.
Nous complèterons quand même le champs par le nom DNS de
Sud.Waryx.lan. C'est le nom que nous rentrons ici qui détermina le
type d'approbation qui serra créé.
5. A ce moment là, il faut que tous les contrôleurs de domaine
soient disponibles pour créer la relation puisque le domaine
Sud.Anhinga.lan passe par son domaine parent c'est à dire
Anhinga.lan puis celui-ci contact le domaine racine Waryx.lan
puis interroge son domaine enfant Sud.Waryx.lan. L'écran "Direction
de l'approbation", nous demande de sélectionner parmi les trois
possibilité de direction.
Nous avons dans la première partie de
l'article que la direction est l'un des caractéristique principale
définissant une relation d'approbation. Sous chaque possibilité vous
pouvez lire un petit descriptif, c'est pourquoi ne nous rentrerons pas
dans les détails.
Nous choisirons l'option "Bidirectionnel" ce
qui créera automatiquement une relation dans le sens "entrée" et
une relation dans le sens "sortie".
6. Il est nécessaire que la relation d'approbation soit
configurée sur les deux domaines pour que l'authentification
fonctionne correctement. Même si la relation d'approbation est
unidirectionnelle, il faut créer sur l'un des domaines une approbation
entrante et sur l'autre une approbation sortante. Windows 2003 Server
nous propose maintenant un système qui permet à partir d'un seul domaine
de créer les deux relations d'approbation.
C'est l'option que nous
choisirons ici afin de gagner du temps et diminuer le temps de main
d'oeuvre nécessaire à la création de notre relation.
7. Bien évidemment pour pouvoir créer automatiquement la relation
sur le domaine distant, vous devez entrer un compte possédant les
privilèges administratifs suffisants. Dans notre cas, nous travaillons
sur le DC : Sud.Anhinga.lan c'est pour cela que nous devons
entrer un compte du domaine spécifié c'est à dire : Sud.Waryx.lan
afin de continuer la procédure.
8. Ensuite nous arrivons sur l'écran suivant : "Fin de la
sélection des approbations". Windows nous indique un résumé des
différents paramètres que nous avons sélectionné dans les écrans
précédents afin d'être certain que la relation qui va être créée
correspond bien à nos attentes.
Nous retrouvons par exemple les noms des
deux domaines concernés : Sud.Anhinga.lan et Sud.Waryx.lan,
ainsi que la direction : Bidirectionnelle et bien évidemment le
type d'approbation qui va être installé : Raccourci. Si tous les
paramètres sont corrects cliquez sur Suivant.
9. Après une très courte période d'attente un nouvel écran
apparaît et nous pouvons voir le message suivant : "La création
d'approbation a réussi". En effet la création d'une relation
d'approbation est très rapide et ne nécessite pas de ressource
importante. Cliquez donc sur Suivant.
10. Ensuite, nous avons une succession de deux écrans nous
demandant de confirmer les deux approbations : celle sortante et
celle entrante. Vous avec la possibilité de leur faire
maintenant, ainsi elle seront directement utilisable, ou alors de les
confirmer ultérieurement, dans le cas où vous souhaitez qu'elles ne
soient pas accessible pour le moment.
11. Enfin nous arrivons sur l'écran final, avec une confirmation
de succès : "La relation d'approbation a été créée et confirmée".
Cliquez sur Terminer pour quitter l'assistant.
Maintenant vous pouvez voir que dans les propriétés du domaine
Sud.Waryx.lan nous avons nos deux relations d'approbation (entrante
et sortante) qui se sont rajoutées. Vous remarquerez également que
celle-ci est transitif au même titre que que les relations de type
Parent et Racine d'arborescence. Si nous allons dans les
propriétés du domaine distants Sud.Waryx.lan nous verrons exactement la
même chose puisque lors de la procédure de création nous avons choisi
cette option.
Suppression de la relation d'approbation :
Contrairement aux deux types d'approbation prédéfinis, il est possible
maintenant de supprimer la relation si on le souhaite. Il suffit de
sélectionner dans la fenêtre la relation que l'on désire faire
disparaître puis de cliquer sur "Supprimer". Cette fenêtre s'ouvre
alors. Elle vous demande si vous souhaitez supprimer uniquement la
relation sur ce domaine ou également celle sur le domaine distant. Comme
lors de la création si choisissez la deuxième option vous devrez alors
entrer un compte ayant les privilèges administratifs suffisant sur le
domaine distant !
Un message de confirmation vous demande si vous souhaitez bien supprimer
l'approbation sur le domaine distant (dans notre cas Sud.Waryx.lan).
A ce stade la relation local a déjà été supprimée !
Nous avons vu dans cette partie tout ce qui concerne les relations
d'approbation de type "Raccourci". Pour rappel celle-ci peut être
unidirectionnelle ou bidirectionnelle et est transitive.
Son but est de créer une relation direct entre deux domaines distants
afin de raccourcir au maximum le chemin d'approbation et ainsi
d'accélérer l'authentification est l'accès aux ressources distantes.
Voyons maintenant les relations de type "Externe".
 Introduction
1. Définition des termes utilisés
1.1 Domaines
1.2 Arborescences
1.3 Forêts
1.4 Relations d'approbation
2. Relations d'approbation prédéfinies
2.1 Parents/Enfants
2.2 Racine d'arborescence
3. Approbations raccourcies
4. Approbations externes
4.1 Présentation
4.2 Relation d'approbation externe entre deux forêts
4.3 Relation d'approbation externe entre entre un domaine Windows 2000/2003 et un domaine Windows NT4
4.4 Création de relations d'approbations externes
4.5 Vérification et rappel des relations d'approbations externes
5. Approbations de forêt
5.1 Présentation
5.2 Création d'une approbation de forêt
5.3 Routage de suffixe UPN
5.4 Authentification sélective
5.5 Filtrage SID
6. Compatibilité avec des services d'annuaire non-Microsoft à l'aide de Kerberos v5
6.1 Présentation
6.2 Principe de compatibilité entre un environnement Windows, Linux et Mac avec Kerberos v5
6.3 Mise en relation d'un environnement Windows et Apple
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout sur les relations d'approbations (Trust Relationship)
