A qui faire confiance ?

Fred, ait un compte Domain dans Domain A. Fred peut utiliser ce compte pour accéder aux ressources de Domain A. Mais pour accéder aux ressources de Domain A et de Domain B, il lui faut deux comptes utilisateurs – un pour chaque domaine. Mais, du point de vue sécurité, il n’est pas conseillé de créer des comptes utilisateurs multiples pour une personne comme je l’ai expliqué dans « NT : les fonda-mentaux de la sécurité »).

  Pour résoudre le problème de Fred sans créer des comptes utilisateurs multiples, on peut créer une relation de confiance entre Domain A et Domain B. Domain A est le domaine trusted (à  qui l’on fait confiance) et Domain B est le domaine « trusting » (celui qui fait confiance). Quand un utilisateur avec un compte utilisateur dans un domaine trusted sollicite l’accès à  une ressource qui se trouve dans un domaine trusting, les domaines de ce dernier comptent sur les DC du domaine trusted pour garantir l’authenticité de ce compte utilisateur.

  On peut utiliser la relation de confiance entre Domain A et Domain B pour accorder au compte utilisateur de Fred (dans Domain A) l’accès aux ressources dans les deux domaines. Quand Fred associe un lecteur à  un serveur membre dans Domain B, sa station de travail envoie ses références utilisateur de Domain A au serveur membre. Celui-ci retransmet les références à  un DC dans Domain B. Ce DC reconnaît que les références émanent d’un domaine trusted et les retransmet à  un DC dans Domain A. Ce DC contrôle les références par rapport au SAM du domaine et renvoie le résultat au DC de Domain B, lequel relaie le résultat au serveur membre.

  Cette relation de confiance accorde aux utilisateurs de Domain A l’accès aux ressources de Domain B, mais n’accorde pas aux utilisateurs de Domain B l’accès aux ressources de Domain A. Pour permettre ce type d’accès, il faudrait créer une autre relation de confiance se déroulant en sens inverse. Pour gérer les relations de confiance, ouvrir User Manager for Domains et sélectionner Policy, Trust Relationships. La boîte de dialogue Trust Relationships ainsi obtenue contient la liste des domaines trusted et trusting pour le domaine nommé.

  La création d’une relation de confiance est une opération en deux étapes qui implique les administrateurs des deux domaines. En principe, un administrateur du domaine qui veut être trusted, est à  l’origine de l’opération de confiance. Pour cela, il crée d’abord la moitié de la confiance dans son domaine. Dans notre exemple, un administrateur de Domain A ouvrirait la boîte de dialogue Trust Relationships et cliquerait sur Add, à  droite de la liste Trusting Domains. NT invite alors l’administrateur à  entrer le nom du domaine (c’est-à -dire Domain B), à  ajouter à  la liste Trusting de Domain A, et à  entrer un mot de passe. Ce mot de passe n’a rien à  voir avec le compte utilisateur de l’administrateur : c’est un mot de passe séparé servant à  authentifier la création initiale de la confiance.

  Une fois que l’administrateur de Domain A a exécuté ces opérations, il indique à  l’administrateur de Domain B qu’il a fait sa part de la relation de confiance et il donne à  l’administrateur de Domain B le mot de passe pour authentifier la relation. L’administrateur de Domain B ouvre la boîte de dialogue Trust Relationships et clique sur Add, à  droite de la liste Trusted Domains. NT invite alors l’administrateur de Domain B à  entrer le nom du domaine (c’est-à -dire Domain A) à  ajouter à  la liste Trusted de Domain B et à  entrer un mot de passe. L’administrateur de Domain B doit entrer le même mot de passe que celui qu’a utilisé l’administrateur de Domain A. Si les mots de passe correspondent, NT termine la relation de confiance et indique que tout s’est bien passé.

  La création d’une relation de confiance n’ouvre pas toutes les ressources dans le domaine trusting, pour qu’elles soient accessibles par les utilisateurs du domaine trusted. Les administrateurs du domaine trusting doivent encore accorder explicitement l’accès par un utilisateur ou à  un groupe, à  telle ou telle ressource. Et les administrateurs dans un domaine n’ont pas d’accès administrateur à  d’autres domaines, même quand les deux domaines sont reliés par des relations de confiance. En revanche, quand on accorde l’accès au groupe Everyone, on en fait bénéficier tous les utilisateurs présents dans n’importe quel domaine trusted, ainsi que tous les utilisateurs de votre domaine. Ce faisant, vous faites confiance au-delà  des DC du domaine trusted – vous faites confiance aux administrateurs de ce domaine. Vous comptez sur eux pour gérer leurs comptes utilisateurs en toute sécurité et honnêteté. Ainsi, si les administrateurs du domaine trusted n’ont pas besoin de mots de passe complexes (et donc difficiles à  percer) pour établir une politique de verrouillage stricte, des pirates pourraient envahir des comptes dans ce domaine puis accéder aux ressources de votre domaine. Et, bien sûr, un administrateur peu scrupuleux dans un domaine trusted pourrait se faire passer pour un utilisateur de son domaine et accéder ainsi à  vos ressources. Si les normes de sécurité d’un autre administrateur de domaine ne sont pas aux moins égales aux vôtres, il vaut mieux ne pas faire confiance à  ce domaine.

  Une fois la logistique des relations de confiance maîtrisée, on pourra s’en servir pour créer un modèle de domaines adapté aux besoins de sécurité et aux risques du réseau. Ce processus fera l’objet de mon prochain article.