> Tech > Vision d’avenir

Vision d’avenir

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

Microsoft a amélioré le processus d'authentification de Windows 2000 grâce à la mise en oeuvre de Kerberos. Grâce à ses bases de cryptographie symétrique, Kerberos est un protocole d'authentification orienté LAN et intranet typique. Toutefois l'introduction de PKINIT est une première étape vers une augmentation de l'authentification basée sur clé

publique de Kerberos et ouvre la porte à de nouvelles applications.

Types d’approbations transitives de Kerberos
Type d’approbation	Création	Caractéristiques
Approbation de racines (entre deux domaines racines de la même forêt)	Implicitement, dcpromo	Transitive, bidirectionnelle
Approbation parent-enfant (entre domaines parent-enfant de la même arborescence)	Implicitement, dcpromo	Transitive, bidirectionnelle
Raccourci ou approbation inter-liaisons (entre tous les domaines de la même forêt)	Explicitement	Transitive, mono ou bidirectionnelle
Approbation externe (entre domaines de différentes forêts)	Explicitement	Non transitive, mono ou bidirectionnelle
Approbation non Windows (entre deux KDC Kerberos, tels qu’un domaine Windows 2000 et un domaine basé sur le Kerberos du MIT)	Explicitement	Non transitive, mono ou bidirectionnelle

Examen de l’approbation transitive de Kerberos

Supposons qu’Alice se connecte à nord.fr108.soc108.com
avec son compte d’utilisateur et veut accéder à une ressource située sur
un serveur de ouest.it108.soc108.com. Les étapes suivantes vont vous faire
parcourir le cheminement du processus d’authentification Kerberos dans
une arborescence contenant cinq domaines :

Alice utilise son TGT (ticket-granting ticket) pour obtenir un ticket
de KDC1 pour le serveur de ressources du domaine ouest. KDC1 n’est pas
l’autorité pour le domaine ouest du serveur de ressources, il renvoie
donc Alice au domaine le plus proche du domaine cible avec lequel le
domaine nord a une relation d’approbation Kerberos. Ce domaine est fr.108.
le KDC2 renvoie Alice au KDC3
le KDC3 renvoie Alice au KDC4
le KDC4 renvoie Alice au KDC5.
le KDC5 est l’autorité du domaine ouest, il génère donc un ticket
pour Alice.
Alice utilise le ticket du KDC5 pour accéder au serveur de ressources.

Si vous utilisez l’utilitaire Klist du SDK de Windows
2000 pour regarder le cache du ticket sur la machine d’Alice, vous découvrez
un TGT pour chaque domaine, un ticket pour la machine d’Alice (partie
du domaine nord) et un ticket pour le serveur de ressources.

Vous pouvez réduire
ce processus d’orientation en créant une relation d’approbation explicite
(c’est-à -dire une relation raccourcie) entre les domaines nord et ouest.
Dans ce cas, Alice devra parcourir les étapes suivantes pour accéder à
la ressource localisée dans le domaine ouest.

Alice utilise son TGT pour obtenir un ticket de KDC1 pour le serveur
de ressources du domaine ouest. KDC1 n’est pas l’autorité pour le domaine
ouest du serveur de ressources, il renvoie donc Alice au domaine le
plus proche du domaine cible avec lequel le domaine nord a une relation
d’approbation Kerberos. Ce domaine est ouest.
KDC5 est l’autorité pour le domaine ouest du serveur de ressources,
il génère donc un ticket pour Alice.
Alice utilise le ticket de KDC5 pour accéder au serveur de ressources.

Si vous regardez le cache du ticket sur la machine
d’Alice après ce processus, vous ne trouvez que quatre tickets : un TGT
pour le domaine nord, un TGT pour le domaine ouest, un ticket pour la
machine d’Alice et un ticket pour le serveur de ressources. Une approbation
raccourcie réduit le trafic d’authentification entre domaines et le nombre
de tickets Kerberos émis.

Téléchargez cette ressource

Sécuriser Microsoft 365 avec une approche Zero-Trust

Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.

Les articles les plus consultés

A travers cette chaîne

A travers ITPro

Les plus consultés sur iTPro.fr

Articles les + lus

Analyse Patch Tuesday Mai 2026

Les coûts cachés des merge requests générées par l’IA

Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants

Moderniser le développement logiciel : de la fragmentation à l’intégration

Analyse Patch Tuesday Avril 2026

A lire aussi sur le site

Ready For IT 2026 : le salon IT premium dédié aux décideurs des ETI

Pensé comme un véritable catalyseur business, l’événement s’adresse aux DSI, RSSI, CTO et directions innovation des ETI françaises engagées dans des arbitrages structurants : cloud, data, IA, infrastructures, conformité et sécurité. Un format sélectif orienté décision Ready For IT repose sur un principe simple : privilégier la qualité des échanges à la quantité des contacts. […]

À la une de la chaîne Tech

Préparez votre entreprise à l’ère de l’IA avec Windows 11

Alors que l’intelligence artificielle s’impose comme un levier majeur de transformation, Lenovo, Microsoft et inmac wstore invitent les entreprises à franchir le pas vers Windows 11.

A la Une des Ressources IT

Inscrivez-vous !

Actualités, Dossiers et Ressources IT Professionnelles - mercredi 20 mai 2026

Vision d’avenir

Type d’approbation