> Tech > Comprendre la sécurité sous ADMT

Comprendre la sécurité sous ADMT

Tech - Par iTPro - Publié le 24 juin 2010
email

Avant de poursuivre, il est important de s'arrêter sur la compréhension de la sécurité sous ADMT.
Les « security principals », c'est-à dire les comptes d'utilisateurs, de groupes et d'ordinateurs, sont représentés par un identifiant unique appelé Security Identifier (SID). Le SID d'un compte d'utilisateur est formé de deux parties: la

Comprendre la sécurité sous ADMT

première représente le SID
du domaine, tandis que l’autre partie
représente un RID unique à  l’utilisateur….
Ce SID est totalement indépendant
du nom du compte. Ainsi, le nom
du compte pourra s’appeler Yannick,
le SID lui sera de la forme suivante :
S-1-5-21-397955417-626881126-1884
41444-1234. Il est utilisé pour identifier
les comptes et les contrôles d’accès sur
les ressources.
L’accès aux ressources réseaux (imprimantes,
fichiers et partages) est protégé
par des ACL qui listent les SID de
chaque compte et les permissions qui
leur sont associées pour les comparer
avec les comptes qui les sollicitent.
Quand un utilisateur ouvre une
session avec succès sur le réseau, un jeton
d’accès lui est assigné, listant les
SID primaires et les SID de tous les
groupes desquels il est membre.
Quand un utilisateur essaie d’accéder à 
une ressource, le système de sécurité
compare le SID présent dans le jeton
d’accès et les accès recherchés avec le
SID qui se trouve dans l’ACL de la ressource
convoitée. L’accès est donc autorisé
ou refusé selon le cas. Si l’accès
est autorisé, alors l’utilisateur pourra
accéder aux ressources en fonction des
permissions définies.
Pour migrer un compte d’un domaine
A vers un domaine B, un clone
de ce compte est créé sur le domaine
B. Les SID contiennent un composant
qui spécifie le domaine auquel le
compte appartient et si le nouveau
compte possède le même nom que le
compte d’origine, il n’en ressort pas
moins qu’il a un SID différent.
Le nouveau compte n’est pas un
membre du même groupe, donc le
nouveau compte n’aura pas les mêmes
droits et permissions que le compte d’origine. Afin que ces nouveaux
comptes, créés dans le domaine B, gardent
les même accès sur les ressources
que l’ancien compte sur le domaine A,
le « SID History » est créé.
Le SID History contient les SID précédemment
associés avec le compte
d’origine. Lorsque l’utilisateur ouvre
une session sur le système, le système
retrouve les entrées du SID History et
les ajoute sur le jeton d’accès de l’utilisateur.
Le jeton d’accès contient alors
le SID du nouveau compte et le SID associé
au compte original. Ceci permet
au nouveau compte du domaine B
d’accéder aux mêmes ressources auxquelles
le compte du domaine A avait
accès. Le processus qui permet de modifier
les permissions pour les rendre
disponibles sur le domaine cible est appelé
la traduction de la sécurité
« Security translation » qui est réalisé
par l’assistant de traduction de la sécurité,
« Security Translation Wizard » (Cf.
figure 1).
Pour information, si l’ADMT trouve
un SID du domaine source qu’il ne
peut pas résoudre, comme un SID
d’un compte d’utilisateur qui n’a pas
été migré correctement, ADMT laisse
le SID inchangé.
Dès lors que la sécurité est traduite,
ADMT utilise ses informations
internes sur la migration des comptes
pour décider quelles ACL doivent être
traduites et comment. Il est possible
de passer outre ce fonctionnement à 
l’aide du « SID mapping file » pour
écrire par-dessus cette information issue
de l’ADMT et associé un objet
source vers un objet cible. A l’aide de
ce fichier, il est possible de traduire la
sécurité pour les comptes qui n’ont
pas été migré par ADMT comme les administrateurs
de domaine qui étaient
référencés dans une ACL ou de réaliser
des traductions de sécurité indépendantes
des objets migrés.
Ce fichier spécifie le nom ou le SID
de l’objet du domaine source suivi
d’une virgule et le nom ou le SID d’un
objet du domaine cible. Chaque objet
source/cible doit être mis sur une
même ligne.
Dans l’exemple suivant, on montre
un fichier qui utilise le SID pour identifier
l’objet source et le nom qui identifie
l’objet cible.

S-1-5-21-397955417-626881126-188441444-1234, HAYBUVCharlotteF
S-1-5-21-397955417-626881126-188441444-1234, HBACCTBertrandJ

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010