WEBVTT 00:00.090 --> 00:00.930 Instructeur : Dans 00:00.930 --> 00:03.360 cette leçon, nous allons parler des serveurs AAA, qui signifient 00:03.360 --> 00:06.210 authentification, autorisation et comptabilité, et pour comprendre 00:06.210 --> 00:09.000 les serveurs AAA, la première chose à faire est de comprendre comment 00:09.000 --> 00:12.327 la norme 802. 1X fonctionne comme un cadre. 00:12.327 --> 00:15.240 Instructeur : 802. 1X est un cadre normalisé utilisé 00:15.240 --> 00:17.040 pour l'authentification basée sur 00:17.040 --> 00:19.650 les ports sur les réseaux câblés et sans fil. 00:19.650 --> 00:22.800 Maintenant, puisque 802. 1X n'est que le cadre, il va en fait 00:22.800 --> 00:24.840 utiliser d'autres mécanismes pour effectuer 00:24.840 --> 00:27.210 l'authentification réelle pour nous. 00:27.210 --> 00:28.140 Par exemple, le Remote 00:28.140 --> 00:30.690 Authentication Dial-In User Service, connu sous 00:30.690 --> 00:31.800 le nom de RADIUS, et le Terminal 00:31.800 --> 00:33.510 Access Controller Access-Control 00:33.510 --> 00:36.510 System Plus, ou TACACS+, peuvent tous deux être utilisés pour 00:36.510 --> 00:39.000 procéder à l'authentification à l'aide de la norme 00:39.000 --> 00:41.700 802. Protocole 1X. 00:41.700 --> 00:43.410 Trois rôles sont nécessaires pour qu'une authentification 00:43.410 --> 00:46.920 puisse avoir lieu dans le cadre de la norme 802. 1X. 00:46.920 --> 00:49.830 Le premier est le suppliant, c'est-à-dire l'appareil 00:49.830 --> 00:51.660 ou l'utilisateur qui demande l'accès 00:51.660 --> 00:54.030 au réseau, comme le PC1 sur cette image. 00:54.030 --> 00:56.430 Il y a ensuite un authentificateur, qui est le dispositif 00:56.430 --> 00:58.080 par lequel le suppliant tente d'accéder 00:58.080 --> 00:59.370 au réseau. 00:59.370 --> 01:01.620 Normalement, il s'agit d'un commutateur, 01:01.620 --> 01:04.860 d'un point d'accès sans fil ou d'un concentrateur VPN. 01:04.860 --> 01:07.230 Enfin, il y a le serveur d'authentification, qui 01:07.230 --> 01:08.760 sera le dispositif centralisé 01:08.760 --> 01:10.350 qui effectue l'authentification, 01:10.350 --> 01:11.970 et qui sera généralement votre serveur 01:11.970 --> 01:13.920 RADIUS ou TACACS+. 01:13.920 --> 01:16.230 Il y a authentification lorsque l'identité d'une 01:16.230 --> 01:19.500 personne est établie à l'aide de preuves et confirmée par le système. 01:19.500 --> 01:21.180 C'est ce que vous faites tous les jours. 01:21.180 --> 01:23.850 En fait, vous l'avez fait en vous connectant à ce cours. 01:23.850 --> 01:26.340 Lorsque vous avez saisi votre adresse électronique et votre 01:26.340 --> 01:28.380 mot de passe, vous avez déclaré être l'étudiant 01:28.380 --> 01:30.660 qui a payé pour ce cours et, ce faisant, le système a vérifié 01:30.660 --> 01:33.150 votre identité et vous a accordé l'accès. 01:33.150 --> 01:36.330 Il existe aujourd'hui différentes manières d'authentifier son identité. 01:36.330 --> 01:38.700 Dans le monde réel, par exemple, si un policier vous arrête 01:38.700 --> 01:40.380 pour excès de vitesse, vous pouvez sortir 01:40.380 --> 01:42.000 votre permis de conduire et lui montrer 01:42.000 --> 01:43.860 que c'est bien vous et que vous êtes bien la personne 01:43.860 --> 01:45.780 que vous prétendez être. 01:45.780 --> 01:47.220 C'est votre preuve. 01:47.220 --> 01:48.600 Aujourd'hui, dans le monde numérique, 01:48.600 --> 01:51.000 nous disposons de cinq méthodes d'authentification. 01:51.000 --> 01:52.800 Nous avons quelque chose que vous connaissez, 01:52.800 --> 01:55.050 comme un mot de passe ou un nom d'utilisateur, 01:55.050 --> 01:57.150 quelque chose que vous êtes, comme votre 01:57.150 --> 02:00.390 empreinte digitale ou un scan de l'œil ou de la rétine, quelque 02:00.390 --> 02:02.280 chose que vous avez, comme un jeton, 02:02.280 --> 02:05.430 un permis de conduire ou une carte de crédit, quelque chose que 02:05.430 --> 02:07.410 vous faites, comme votre façon de parler 02:07.410 --> 02:10.020 ou de signer votre nom, et quelque chose que vous êtes, 02:10.020 --> 02:12.540 que nous appelons votre facteur de localisation, 02:12.540 --> 02:15.930 basé sur votre position GPS. 02:15.930 --> 02:19.080 LDAP est le Lightweight Directory Access Protocol (protocole d'accès aux annuaires légers). 02:19.080 --> 02:21.630 Il s'agit d'une base de données utilisée pour centraliser les 02:21.630 --> 02:24.510 informations relatives à vos clients et à vos objets sur le réseau. 02:24.510 --> 02:28.050 LDAP est essentiellement une version simplifiée de X. 500, qui est un service d'annuaire, 02:28.050 --> 02:29.490 et qui contient une organisation 02:29.490 --> 02:32.460 hiérarchique des utilisateurs, des groupes, des 02:32.460 --> 02:36.360 serveurs et des systèmes au sein de votre réseau. 02:36.360 --> 02:39.000 LDAP communique sur le port 389 lorsqu'il 02:39.000 --> 02:41.400 n'est pas crypté, et si vous décidez 02:41.400 --> 02:46.290 de le crypter à l'aide de SSL ou de TLS, il utilisera le port 636. 02:46.290 --> 02:48.960 Bien que LDAP soit considéré comme multiplateforme, 02:48.960 --> 02:51.390 Microsoft a créé sa propre implémentation, connue 02:51.390 --> 02:54.060 sous le nom d'AD ou Active Directory. 02:54.060 --> 02:56.370 Dans le domaine Windows, Active Directory est utilisé 02:56.370 --> 02:58.710 pour organiser et gérer tout ce qui se trouve sur le réseau, 02:58.710 --> 03:00.570 y compris les clients, les serveurs, les appareils, 03:00.570 --> 03:02.730 les utilisateurs et les groupes. 03:02.730 --> 03:04.650 Désormais, Active Directory peut également être utilisé 03:04.650 --> 03:07.410 dans le cadre de vos politiques de sécurité ou de contrôle d'accès par le biais 03:07.410 --> 03:08.883 de vos politiques de groupe. 03:09.990 --> 03:13.770 RADIUS est le service d'authentification à distance des utilisateurs (Remote Authentication Dial-In User Service). 03:13.770 --> 03:17.130 Il permet une administration centralisée de l'accès à distance, du VPN et de l'authentification 03:17.130 --> 03:18.750 sans fil, de sorte que vous puissiez l'utiliser 03:18.750 --> 03:21.660 avec les deux systèmes 802. 1X et le protocole 03:21.660 --> 03:25.350 d'authentification extensible (EAP). 03:25.350 --> 03:27.870 RADIUS est un protocole client-serveur qui s'exécute 03:27.870 --> 03:29.940 sur la septième couche du modèle OSI, la 03:29.940 --> 03:31.470 couche application. 03:31.470 --> 03:34.470 RADIUS est généralement configuré pour être exécuté sur un serveur séparé, 03:34.470 --> 03:36.810 mais il peut également être chargé sur un serveur Windows dans 03:36.810 --> 03:38.880 des environnements de domaines plus petits. 03:38.880 --> 03:40.950 RADIUS est utilisé pour authentifier les utilisateurs, 03:40.950 --> 03:42.390 les autoriser à accéder aux services 03:42.390 --> 03:44.970 et rendre compte de leur utilisation de ces services. 03:44.970 --> 03:48.120 RADIUS utilise également le protocole UDP pour établir ses connexions, 03:48.120 --> 03:49.470 ce qui le rend assez rapide pour 03:49.470 --> 03:52.380 ses fonctions d'authentification et d'autorisation. 03:52.380 --> 03:55.140 Si RADIUS est une norme multiplateforme, il existe 03:55.140 --> 03:58.590 un protocole propriétaire de Cisco appelé TACACS+. 03:58.590 --> 04:00.300 Il s'agit du Terminal Access Controller 04:00.300 --> 04:03.060 Access-Control System Plus, qui peut jouer le rôle d'authentificateur 04:03.060 --> 04:06.300 dans un système 802. 1X réseau. 04:06.300 --> 04:08.640 Il vous appartient maintenant de déterminer celui qui convient 04:08.640 --> 04:10.500 le mieux aux besoins de votre organisation. 04:10.500 --> 04:12.810 Personnellement, j'ai utilisé RADIUS presque exclusivement 04:12.810 --> 04:14.370 au sein de mes organisations. 04:14.370 --> 04:17.490 J'ai constaté que TACACS+ est un peu plus lent à fonctionner 04:17.490 --> 04:20.100 parce qu'il s'appuie sur TCP au lieu d'UDP, mais 04:20.100 --> 04:22.620 TACACS+ présente certains avantages. 04:22.620 --> 04:24.090 Il vous offre une sécurité supplémentaire 04:24.090 --> 04:26.550 et mène de manière indépendante ses processus d'authentification, 04:26.550 --> 04:29.070 d'autorisation et de comptabilité. 04:29.070 --> 04:31.560 TACACS+ prend en charge tous les protocoles réseau, mais 04:31.560 --> 04:32.880 RADIUS, en revanche, ne prend 04:32.880 --> 04:35.070 pas en charge le protocole d'accès à distance, 04:35.070 --> 04:38.850 le protocole de trame NetBIOS, X. 25 raccords à vis, et quelques 04:38.850 --> 04:39.840 autres. 04:39.840 --> 04:42.480 Dans l'ensemble, TACACS+ est un excellent choix, mais uniquement 04:42.480 --> 04:44.490 si vous utilisez des appareils Cisco sur votre 04:44.490 --> 04:45.630 réseau, car si vous souhaitez 04:45.630 --> 04:48.270 disposer de cette capacité multiplateforme, vous devrez 04:48.270 --> 04:49.770 utiliser RADIUS, comme je l'ai fait 04:49.770 --> 04:51.840 par le passé. 04:51.840 --> 04:54.360 Le deuxième A est l'autorisation. 04:54.360 --> 04:57.000 Il y a autorisation lorsqu'un utilisateur se voit 04:57.000 --> 05:00.990 accorder l'accès à certaines données ou à certaines zones du bâtiment. 05:00.990 --> 05:03.120 Vous est-il déjà arrivé d'entrer dans un bâtiment et 05:03.120 --> 05:06.570 de voir un panneau indiquant un accès restreint, réservé au personnel autorisé ? 05:06.570 --> 05:09.180 Cela signifie que vous ne pouvez pas aller dans cette zone. 05:09.180 --> 05:11.100 Il peut s'agir d'une salle de maintenance ou 05:11.100 --> 05:12.840 d'un endroit où il y a des générateurs et 05:12.840 --> 05:14.790 où seuls les mécaniciens peuvent entrer. 05:14.790 --> 05:16.650 Ils possèdent des clés ou des badges spéciaux 05:16.650 --> 05:18.450 qui leur permettent d'accéder à ces zones. 05:18.450 --> 05:21.900 Cette zone est un endroit où vous n'êtes pas autorisé à aller. 05:21.900 --> 05:25.170 Kerberos est axé sur l'authentification et l'autorisation. 05:25.170 --> 05:27.570 Cette opération s'effectue par le biais de notre système de billetterie 05:27.570 --> 05:29.280 Kerberos dans un domaine Windows. 05:29.280 --> 05:31.860 Kerberos est un protocole d'authentification qui permet 05:31.860 --> 05:34.350 une authentification mutuelle ou bidirectionnelle. 05:34.350 --> 05:36.330 Lorsque l'utilisateur se connecte au domaine, 05:36.330 --> 05:38.400 il contacte d'abord le contrôleur de domaine, 05:38.400 --> 05:42.120 qui fait office de centre de distribution de clés, ou KDC. 05:42.120 --> 05:44.550 Ce KDC a deux fonctions de base : l'authentification 05:44.550 --> 05:46.980 et l'octroi de tickets. 05:46.980 --> 05:49.410 Si votre client est correctement 05:49.410 --> 05:51.990 authentifié, le KDC lui délivrera 05:51.990 --> 05:54.570 un TGT (Ticket Granting Ticket). 05:54.570 --> 05:56.520 Ce Ticket Granting Ticket est ensuite fourni 05:56.520 --> 05:58.740 au contrôleur de domaine chaque fois que l'utilisateur 05:58.740 --> 06:00.060 veut accéder à une ressource, et 06:00.060 --> 06:02.460 le contrôleur de domaine peut alors fournir à cet utilisateur 06:02.460 --> 06:04.920 un ticket de service ou une clé de session à utiliser, selon 06:04.920 --> 06:07.260 ce qui convient le mieux à ses besoins. 06:07.260 --> 06:09.150 Ces tickets sont présentés à la ressource et 06:09.150 --> 06:10.680 l'accès est alors accordé car la ressource 06:10.680 --> 06:12.180 fait toujours confiance aux tickets 06:12.180 --> 06:14.580 fournis par les contrôleurs de domaine. 06:14.580 --> 06:16.860 Comme Kerberos s'appuie sur le contrôleur de domaine 06:16.860 --> 06:19.080 pour servir de centre de distribution des clés, il 06:19.080 --> 06:21.840 s'agit d'un point de défaillance unique dans le domaine. 06:21.840 --> 06:23.550 Si le contrôleur de domaine est hors service, 06:23.550 --> 06:26.190 les services d'attribution de tickets sont également hors service. 06:26.190 --> 06:28.350 Pour éviter cela, la plupart des gens utilisent un contrôleur 06:28.350 --> 06:31.530 de domaine actif principal et un contrôleur de domaine actif secondaire. 06:31.530 --> 06:33.330 Vous disposerez ainsi d'une forme de redondance qui 06:33.330 --> 06:36.900 vous permettra de vous assurer que Kerberos est opérationnel et que LDAP fonctionne toujours. 06:36.900 --> 06:38.790 Le troisième A est la comptabilité. 06:38.790 --> 06:40.980 La comptabilité assure le suivi des données, 06:40.980 --> 06:44.220 de l'utilisation des ordinateurs et des ressources du réseau. 06:44.220 --> 06:46.170 Lorsque nous faisons cela, nous le mettons généralement 06:46.170 --> 06:48.150 dans ce que l'on appelle un fichier journal. 06:48.150 --> 06:49.680 Il s'agit d'un fichier sur un ordinateur 06:49.680 --> 06:51.930 qui n'est autre qu'un gros document texte et qui 06:51.930 --> 06:54.450 garde la trace de toutes sortes de choses. 06:54.450 --> 06:56.340 Il peut s'agir de toutes les connexions 06:56.340 --> 06:58.980 internet qui quittent le réseau, comme indiqué ici à l'écran, 06:58.980 --> 07:01.140 ou d'une liste de toutes les personnes qui ont 07:01.140 --> 07:04.680 essayé de se connecter à un fichier ou à un site web particulier. 07:04.680 --> 07:07.320 Toutes sortes de journaux sont conservés sur votre 07:07.320 --> 07:09.180 ordinateur pour garder une trace de 07:09.180 --> 07:11.100 toutes les actions effectuées, et ce 07:11.100 --> 07:14.250 afin de garantir l'application de bonnes pratiques comptables. 07:14.250 --> 07:16.170 En effet, en cas de violation de données 07:16.170 --> 07:18.270 ou de menace interne, vous pouvez revenir 07:18.270 --> 07:21.090 en arrière et consulter les données de vos fichiers journaux 07:21.090 --> 07:23.880 pour savoir qui a fait quoi et quand. 07:23.880 --> 07:26.310 C'est ce que la comptabilité permet de faire. 07:26.310 --> 07:29.130 Maintenant, si vous avez la preuve que quelqu'un a fait quelque 07:29.130 --> 07:32.850 chose, qu'il a entrepris une action, nous appelons cela la non-répudiation. 07:32.850 --> 07:35.790 La non-répudiation signifie simplement que l'utilisateur ne peut pas 07:35.790 --> 07:39.060 dire qu'il n'a pas effectué l'action, car vous avez la preuve qu'il l'a fait. 07:39.060 --> 07:41.160 Par exemple, si vous m'envoyez un courriel et 07:41.160 --> 07:43.200 que vous le signez avec une signature numérique, 07:43.200 --> 07:45.360 vous êtes la seule personne au monde à posséder 07:45.360 --> 07:47.910 cette clé privée de signature numérique. 07:47.910 --> 07:50.400 Je suis certain que vous avez envoyé ce courriel. 07:50.400 --> 07:52.350 Vous ne pourrez pas me dire plus tard que vous ne l'avez 07:52.350 --> 07:54.060 pas envoyé, car j'en ai maintenant la preuve. 07:54.060 --> 07:55.593 C'est la non-répudiation.