> Tech > Quand les clés ne vont pas dans les serrures

Quand les clés ne vont pas dans les serrures

Tech - Par iTPro - Publié le 24 juin 2010
email

Les problèmes de sécurité peuvent certes se produire lors de la connexion de deux systèmes identiques (c'est-à -dire NT à  NT ou Unix à  Unix), mais ils augmentent considérablement lorsqu'il s'agit de systèmes différents. Les clés ne vont plus dans les serrures ; c'est-à -dire qu'il n'existe aucun mécanisme standard pour le

Quand les clés ne vont pas dans les serrures

partage des informations des utilisateurs entre les deux systèmes. Les deux
problèmes évidents qui en résultent sont difficiles à  surmonter. Le premier est
la différence de définition de l’accès à  des ressources particulières. Il n’existe
aucune relation bi-univoque entre les définitions propres à  l’un et l’autre système.
Le second réside dans le fait que chaque système stocke et gère différemment les
informations sur les utilisateurs. Il est donc extrêmement difficile de partager
les informations des utilisateurs entre les systèmes.

Windows 2000 traitera le second problème dans une certaine mesure avec le protocole
d’authentification Kerberos, qui assure l’authentification via une base de données.
Pour utiliser Kerberos, les clients chiffrent les mots de passe, ce qui augmente
la sécurité. L’administration est plus facile car Kerberos fournit une base de
données d’utilisateurs centralisée pour NT et Unix. Beaucoup d’applications reconnaissent
déjà  ce protocole.Si vous fournissez des ressources Unix aux clients NT via NFS,
vos systèmes NT ont besoin d’un client NFS et doivent convertir le compte utilisateur
NT en un profil Unix. Certains produits de connectivité fournissent un programme
de logon pour connecter des clients NT au serveur NFS.
Ces outils sauvegardent souvent le mot de passe séparément sur la machine locale,
en assurant une connexion invisible de l’ordinateur NT au serveur NFS. Ils permettent
ainsi d’avoir un logon unique et le mapping bi-univoque entre un utilisateur NT
et Unix.
De plus certains de ces produits supportent NIS. Lorsque les utilisateurs se connectent
à  un ordinateur NT, le serveurs NIS peut automatiquement les authentifier. Beaucoup
de produits de connectivité ont des tables de mapping, les utilisateurs se connectant
à  une machine NT sont donc associés aux bons utilisateurs Unix.
Avec ces produits, si le serveur Unix exécute le démon pcnfsd, les utilisateurs
NT ne devront plus taper que leur profil et leur mot de passe NT. Le serveur Unix
peut alors les connecter, en fournissant un UID et un GID. Si le serveur Unix
n’exécute pas le démon, les utilisateurs NT doivent entrer manuellement l’UID
et le GID.Le problème du partage des informations des utilisateurs entre les systèmes
reste le même lorsqu’une machine Unix fournit la connectivité via CIFS, mais la
situation peut se présenter différemment. Avec NFS, le serveur Unix est pratiquement
le seul à  assurer le service de connectivité.
Mais avec CIFS, un serveur NT du réseau peut très bien assurer l’authentification.Les
différents produits de connectivité adoptent des approches différentes de cette
situation.

Par exemple, le serveur AFPS (Advanced File and Print Server) de SCO OpenServer
peut assumer des fonctions de PDC ou de BDC NT. AFPS contient une base de données
d’utilisateurs complète, comme on peut en trouver sur un serveur NT et ne mappe
pas les utilisateurs, parce qu’il considère les utilisateurs NT et Unix comme
identiques. Lorsque ceux-ci se connectent au domaine à  partir d’un poste de travail
NT, le serveur AFPS les authentifie, même s’il fonctionne comme BDC.AFPS présente
deux autres avantages.

D’abord il fournit des outils serveur identiques à  ceux d’une machine NT (par
exemple le Gestionnaire des utilisateurs, la Gestionnaire des serveurs), qui peuvent
s’installer sur des clients. Le Gestionnaire des utilisateurs AFPS peut créer
des utilisateurs, exactement comme celui de NT.

Deuxièmement, lorsque vous créez des utilisateurs avec l’interface OpenServer,
ils deviennent automatiquement des utilisateurs AFPS. AFPS donne aux utilisateurs
l’accès aux ressources Unix via NFS et aux ressources NT via CIFS.Samba peut assumer
beaucoup des fonctions du PDC NT.

Par exemple, il peut fournir des services d’authentification et des scripts de
connexion. Pour utiliser Samba, il faut créer des utilisateurs sur la machine
Unix locale et, par ailleurs, Samba ne supporte pas l’ACL sur les fichiers NT.
Mais il permet de désigner un autre serveur (par exemple NT ou AFPS) pour fournir
l’authentification. Samba assure aussi le mapping bi-univoque entre les utilisateurs
NT et Unix et peut mapper plusieurs utilisateurs et groupes d’utilisateurs.
Par exemple, à  partir d’une machine vous pouvez assimiler l’administrateur NT
à  un utilisateur de base Unix, ce qui vous donne l’accès de base à  tous les fichiers
du serveur. Vous pouvez également créer un groupe d’utilisateurs NT devant accéder
à  un répertoire et les mapper à  un utilisateur Unix.

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro - Publié le 24 juin 2010