Windows 2000

Dès le début, NT a utilisé une structure d'authentification propriétaire nommée NTLM (NT Lan Manager).

Dans Windows 2000, Microsoft a adopté un système d'authentification du domaine public (Kerberos), développé au MIT (Massachussetst Institute of Technology) dans le cadre du projet Athena.

Windows 2000 utilise la version 5 de ce protocole d'authentification et Active Directory pour assurer la sécurité réseau dans les domaines Windows 2000.

La mise en oeuvre de ce protocole dans Windows 2000 est basée sur la RFC 1510.

Il faut noter que l'implémentation de ce protocole par Microsoft inclut des extensions autorisées de la norme. Cela signifie que, dans la pratique, cette implémentation prend en charge tous les clients compatibles avec la RFC 1510, mais qu'il sera nécessaire d'utiliser cette implémentation semi-propriétaire pour une prise en charge totale des réseaux Windows 2000, au sens ou l'entend Microsoft.

Kerberos n'est pas le seul protocole de sécurité pris en charge par dans Windows 2000. En effet, afin de garantir une certaine compatibilité, d'autres protocoles sont implémentés:

• NTLM pour la compatibilité ascendante
• SSL et IETF TLS (Transport Layer Security) pour l'authentification par clés publiques
• SPNEGO (Simple Protected Negotiation) pour les mécanismes de sécurité
• IPsec pour la sécurité de couche réseau utilisant l'authentification par clés publiques

Cependant, comme pour NT4, la compatibilité (installée par défaut) avec les anciens systèmes posent des problèmes évidents de sécurité. Il convient donc, encore une fois, de limiter autant que possible l'utilisation des protocoles inutiles en modifiant les clés de registre correspondantes.

Kerberos

Kerberos est un système d'authentification qui met en jeu 3 types d'acteurs:

• le serveur Kerberos
• des serveurs fournissant divers services classiques (telnet, ftp, mail, ...)
• des clients demandant à accéder à ces services.

Le principe générale est assez simple : il s'agit pour un client souhaitant accéder à un service d'un serveur S, de commencer par utiliser le serveur Kerberos pour s'identifier auprès de S.

Pour entrer, un peu plus dans les détails:

Kerberos s'appuie sur l'utilisation de clés privées (avec un cryptage basé sur DES).

Du point de vue du serveur Kerberos, il existe 2 types de clients:

• les clients (utilisateurs ou programmes) souhaitant accéder à des services d'autres serveurs (telnet, ftp, mail, ...)
• les serveurs fournissant ces divers services.

Kerberos possède une base de données pour établir la correspondance Client / Clé privée. Cette clé privé est connue seulement du client auquel elle appartient et de Kerberos.

Kerberos fournit également des clés de session (session keys) qui permettent à 2 clients de dialoguer ensemble en cryptant leurs messages.

En réalité, le serveur Kerberos se compose de 2 serveurs:

• un serveur d'administration (KDBM server) qui founit un accès en lecture & écriture sur la base de données de Kerberos. Ce serveur permet notamment la mise à jour des clients.
• un serveur d'authentification (Kerberos server) qui fournit un accès uniquement en lecture à la base de données. C'est le serveur auquel s'adresse les clients Kerberos.

Enfin, Kerberos utilise une convention particulière de nommage de ses clients:

convention: name.instance@realm

exemple: rlogin.etudiant@igm.univ-mlv.fr (service rlogin de l'hôte etudiant du realm igm.univ-mlv.fr)

Un realm est un ensemble de machines protégées par Kerberos.

Pour en savoir plus sur Kerberos:

Exposé de Nouvelles Technologies Réseaux "Kerberos - Concepts et Mise en Oeuvre" (à venir...fin février 2002)