Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les services AD LDS
  3. Introduction aux services AD LDS
Extrait - Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019
Extraits du livre
Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019 Revenir à la page d'achat du livre

Introduction aux services AD LDS

Introduction

Depuis quelques années, nous assistons à l’apparition de nouveaux services d’annuaire qui font une certaine concurrence à l’annuaire Active Directory. De nombreuses entreprises ont déployé des solutions alternatives qui possèdent presque les mêmes fonctionnalités que l’Active Directory.

Peu de temps après que Microsoft a publié la première version de l’Active Directory, des ingénieurs système, des développeurs d’applications et des professionnels de l’informatique lui ont demandé la possibilité de développer une version plus légère de ce service d’annuaire. Cette version devait permettre une prise en charge flexible des applications tierces, sans les dépendances que requièrent les services de domaine Active Directory.

Suite à ces sollicitations, Microsoft a lancé en 2003 un nouveau service d’annuaire, nommé ADAM (Active Directory Application Mode), basé lui aussi sur le protocole LDAP. L’idée est de fournir un système de stockage simple pour l’ensemble des informations relatives à l’authentification : mots de passe, groupes, droits utilisateur… et aussi d’apporter de la souplesse et des facilités aux développeurs d’applications.

Avec...

Présentation des services AD LDS

L’AD LDS, le service d’annuaire numéro deux de Microsoft, permet de stocker des informations et fournit un moyen d’authentification centralisé aux applications de l’entreprise.

AD LDS est aussi un annuaire, mais sa particularité est d’être basé sur des instances indépendantes qui s’exécutent en tant que services Windows et qui peuvent être configurées de manière personnalisée pour chaque application. Il est également capable de contenir plusieurs informations comme :

  • Utilisateurs

  • Groupes

  • Unités d’organisation

L’AD LDS ne stocke pas les entités de sécurité Windows mais peut les utiliser pour l’authentification et les contrôles d’accès.

Un annuaire AD LDS permet de distinguer trois types d’authentification :

  • L’authentification AD LDS, qui consiste à authentifier les comptes locaux créés dans l’instance AD LDS. Ces comptes sont distincts de ceux utilisés pour se connecter au système d’exploitation ou au domaine AD DS. Si le serveur AD LDS est membre du domaine, les paramètres de stratégie de comptes (complexité du mot de passe, verrouillage…) sont appliqués via les GPO.

  • L’authentification Windows connue...

Différences entre un AD LDS et un AD DS

Les services AD DS et AD LDS partagent la même technologie et les mêmes concepts fondamentaux, mais il existe quelques différences des points de vue fonctionnel et technique.

AD DS et AD LDS reposent sur le système de réplication multimaître pour propager les modifications de données vers les autres serveurs membres. Ils supportent le chiffrement SSL/TLS (connexion LDAPS) ainsi que la délégation d’administration. Bien que les services AD DS et AD LDS puissent s’exécuter sur la même machine, Microsoft recommande d’installer le rôle AD LDS sur un serveur membre ou un serveur autonome.

À la différence d’AD DS, plusieurs instances d’AD LDS peuvent s’exécuter sur le même serveur. Chacune d’elles dispose d’un schéma d’annuaire indépendant et peut être installée ou supprimée sans redémarrage du serveur. Toutes ces instances doivent utiliser des ports TCP/IP distincts afin d’éviter les conflits.

Contrairement à AD DS, AD LDS ne peut stocker les objets représentant les ordinateurs ou les serveurs membres d’un domaine et il ne peut prendre en charge ni les stratégies de groupe (GPO) ni les relations d’approbation de domaines ou...

Historique des services AD LDS

Depuis son lancement, il y a près de deux décennies, Microsoft n’a cessé d’améliorer les fonctionnalités de l’AD LDS et de l’enrichir de nouveautés.

AD LDS est étroitement lié au développement des systèmes d’exploitation Windows. Les sections suivantes présentent les principales nouveautés apportées par Windows Server 2008 et 2012.

1. AD LDS sous Windows Server 2008 et 2008 R2

Certes, Windows Server 2008 n’est plus supporté par Microsoft, mais il est utile de rappeler les débuts des services AD LDS. Dans Windows Server 2008, AD LDS peut être installé dans un mode appelé mode core ou minimal, c’est-à-dire sans interface graphique de gestion (GUI, pour Graphical User Interface). Le but est de réduire la surface d’attaque du serveur et de supprimer les programmes qui pourraient être exploités par une personne mal attentionnée.

Les services AD LDS utilisent la fonctionnalité de Corbeille AD apparue avec Windows Server 2008, laquelle permet de restaurer, en cas de suppression accidentelle, les objets d’annuaire.

images/04RI02.png

Lorsqu’un objet AD LDS est supprimé, il est déplacé dans le conteneur « CN=Deleted Objects ». L’attribut...

Scénarios métier et cas d’usage avec AD LDS

La mise en place des services AD LDS est une des solutions qui peut être choisie par les entreprises pour améliorer la sécurité de leurs infrastructures. Voici quelques scénarios métier qui permettront de comprendre l’importance fonctionnelle des services AD LDS.

1. AD LDS et le serveur de transport Edge d’Exchange

Microsoft Exchange est devenu la solution de messagerie la plus populaire dans le monde. Cette plateforme de gestion d’e-mails inclut des fonctionnalités performantes qui facilitent la communication entre les différents départements de l’entreprise ainsi que le travail en équipe entre les collaborateurs.

L’architecture d’Exchange est basée sur des rôles de serveurs. À partir d’Exchange 2016, seuls deux rôles ont été conservés : le rôle serveur de boîte aux lettres et le rôle serveur de transport Edge.

Mis à part le stockage et la gestion des bases de données de boîtes aux lettres, le rôle serveur de boîte aux lettres s’appuie sur les services de domaine Active Directory pour fonctionner. Il y stocke toute sa configuration et y accède pour récupérer les informations des destinataires.

Le rôle du serveur de transport Edge est la protection...

Architecture AD LDS

L’architecture de l’annuaire AD LDS est caractérisée par la présence de différents composants. Chacun est conçu pour assumer un rôle bien spécifique. Cette architecture physique des services AD LDS est illustrée ci-dessous :

images/04RI07.png

1. Interfaces

Les interfaces fournissent un moyen d’administration des services AD LDS. Elles comprennent :

  • une interface LDAP qui prend en charge les différentes opérations du protocole LDAP (authentification, recherche, mise à jour) ;

  • une interface REPL qui permet de gérer les opérations de réplication de l’annuaire. Cette interface est basée sur le protocole RPC.

2. DSA

Le DSA (Directory System Agent, pour Agent de système d’annuaire) est un service qui permet d’accéder aux données de l’annuaire. Il se présente sous la forme d’un fichier DLL (Adamdsa.dll) sur chaque serveur AD LDS. Ce fichier est utilisé par toutes les instances du même serveur.

Le DSA s’exécute dans le contexte de sécurité d’un compte de service sous lequel l’instance AD LDS tourne. Les clients peuvent utiliser les interfaces LDAP et REPL pour se connecter au DSA, puis afficher et modifier les objets AD LDS ainsi que leurs attributs.

Le DSA peut interagir avec d’autres DSA pour obtenir les informations dont il a besoin.

Dans la partition de configuration de l’annuaire AD LDS, l’objet NTDS Settings contient toutes...

Intégration de l’infrastructure AD LDS au système d’information

Le déploiement des services AD LDS doit être considéré comme un véritable projet d’infrastructure. Sa mise en place s’articule autour de deux étapes principales : l’organisation des données et le déploiement.

1. Organisation des données

L’organisation de données est l’aspect le plus important dans la mise en place d’un annuaire AD LDS. Elle doit inclure :

  • l’inventaire des applications nécessitant un annuaire AD LDS et leurs besoins en matière de données ;

  • l’identification des différentes sources de collecte de données, comme par exemple : la base de données des ressources humaines, les systèmes de messagerie, l’annuaire Active Directory… ;

  • le choix des classes d’objets et des d’attributs qui seront utilisés pour représenter les données de l’annuaire ;

  • l’assignation de propriétaire de données, c’est-à-dire qui est chargé de s’assurer que les données sont à jour.

Si vous prévoyez d’importer les données à partir d’autres sources, vous devez définir une stratégie pour les importations en masse des enregistrements et les mises à jour incrémentielles. Vous devez également limiter le nombre de personnes et d’applications pouvant modifier les données de l’annuaire, ce qui permet de maintenir son intégrité.

La nature des données stockées dans l’annuaire AD LDS dépend du contexte d’utilisation de ce dernier. Cependant, ces données doivent tout de même correspondre à certaines caractéristiques qui les rendront mieux adaptées aux spécificités des services d’annuaire.

Les données doivent généralement être consultées beaucoup plus souvent qu’elles ne sont écrites. Cela est dû au fait que l’annuaire AD LDS...

Conclusion

Dans ce chapitre, nous avons présenté les objectifs des services AD LDS, puis les concepts et fonctionnalités essentiels de ce système. Afin de concrétiser nos propos, nous avons présenté différents scénarios d’utilisation en fonction des besoins de l’entreprise.

Le modèle d’implémentation de l’annuaire AD LDS illustre la même architecture physique que les services AD DS. Il permet de mieux comprendre l’échange d’information entre les différents composants. AD LDS, comme présenté dans ce chapitre, s’appuie au niveau interne sur le moteur ESE. Celui-ci est présent dans plusieurs produits Microsoft. Il a fait ses preuves depuis plus de vingt ans.

Il est important de rappeler qu’AD LDS offre un espace de stockage et de récupération des données pour les applications d’entreprise. Il s’agit d’un service d’annuaire LDAP beaucoup moins contraignant que les services de domaine Active Directory.