| |
Avant de démarrer l'installation du pilote, vous devez déterminer l'emplacement et les paramètres de sécurité de l'installation.
Le pilote doit être exécuté sous Windows* 2000. Toutefois, il n'est pas nécessaire d'installer le moteur DirXML sur la même machine. À l'aide du chargeur distant, vous pouvez séparer le moteur et le pilote, ce qui vous permet d'équilibrer la charge sur une seule machine ou de vous adapter aux instructions de la société.
Le pilote AD peut être exécuté conformément à l'un des scénarios suivants :
Un contrôleur de domaine Windows 2000 unique héberge eDirectory, le moteur DirXML et le pilote.
Cette configuration convient aux organisations qui souhaitent faire des économies sur le coût du matériel. Il s'agit également de la configuration la plus performante car le trafic réseau est inexistant entre DirXML et Active Directory.
Toutefois, l'hébergement de eDirectory et de DirXML sur le contrôleur de domaine augmente la charge totale au niveau du contrôleur, et par conséquent le risque de défaillance de ce dernier. Les contrôleurs de domaine jouant un rôle crucial dans le réseau Microsoft, de nombreuses organisations sont davantage concernées par la rapidité d'authentification du domaine et par les risques associés à une panne du contrôleur de domaine que par le coût d'un matériel supplémentaire.
Figure 1
Serveur unique - Installation
Il existe deux méthodes d'installation des configurations à double serveur. Dans le cadre de la première configuration, eDirectory, le moteur DirXML et le pilote sont installés sur un ordinateur différent de celui sur lequel se trouve le contrôleur de domaine Active Directory. Figure 2
Dans le cadre de la seconde configuration, eDirectory et le moteur DirXML sont installés sur un ordinateur, le pilote et le chargeur distant étant installés sur le contrôleur de domaine Active Directory. Figure 3
Ces deux configurations suppriment le problème de baisse de performance qu'est susceptible d'entraîner l'hébergement de eDirectory et du moteur DirXML sur le contrôleur de domaine. La première configuration est intéressante si les règles de votre entreprise n'autorisent pas l'exécution du pilote sur le contrôleur de domaine. La deuxième solution est intéressante en cas d'installation de eDirectory et de DirXML sur une plate-forme autre que Windows 2000.
Configuration à double serveur (1)
Configuration à double serveur (2)
Une configuration à trois serveurs peut être utilisée si vous êtes obligé de recourir à des plates-formes spécifiques ou de respecter des limites de contrôleur de domaine. Cette configuration est plus difficile à mettre en oeuvre, mais elle permet de s'adapter aux contraintes de certaines organisations. Elle implique d'exécuter eDirectory et DirXML sur un ordinateur, le chargeur distant et le pilote sur un deuxième ordinateur Windows 2000 et le contrôleur de domaine Active Directory sur une troisième machine. Figure 4
Configuration à triple serveur
Le pilote peut être exécuté suivant plusieurs modes de sécurité. Les principaux facteurs à prendre en compte sont l'authentification, le codage et l'utilisation du chargeur distant DirXML. Si vous utilisez le chargeur distant, vous devez considérer les paramètres de sécurité applicables sur le canal Chargeur distant entre DirXML et le pilote, ainsi que les paramètres applicables entre le pilote et Active Directory. Si vous disposez d'une version récente de Windows 2000, vous pouvez également prendre en compte l'option de sécurité qu'est la signature.
En matière de gestion de la sécurité, une simple recommandation est impossible, car le profil de sécurité disponible avec Windows 2000 change en fonction du service pack, de l'infrastructure du serveur DNS, ainsi que des paramètres des règles du domaine et des règles locales sur les serveurs Windows 2000. Les sections suivantes expliquent les options de sécurité et suggèrent des configurations. Veillez attentivement à la sécurité lors de l'implémentation de votre pilote et de la mise à jour des composants.
Vous pouvez définir les paramètres d'installation suivants pendant ou après l'installation, dans la page Paramètres du pilote. Pour garantir les meilleures conditions de sécurité en matière de synchronisation des données XML, vous devez comprendre comment les paramètres fonctionnent en relation les uns avec les autres et en relation avec le système d'exploitation.
ID d'authentification : compte utilisé par le pilote pour accéder aux données du domaine. Les formats de nom d'utilisateur valides sont les suivants :
| Nom d'utilisateur | Format |
|---|---|
Nom de l'utilisateur principal |
utilisateur@domaine.com |
Nom du domaine |
utilisateur |
Nom de domaine complet |
domaine\utilisateur |
Si vous ne définissez pas d'ID d'authentification, le pilote utilise son identité locale pour son authentification.
Mot de passe de l'application : mot de passe du compte de l'ID d'authentification. Définissez un mot de passe lorsque vous utilisez un ID d'authentification.
Contexte d'authentification : URL LDAP qui code le nom DNS du contrôleur de domaine Active Directory. Par exemple : LDAP://moncontrôleur.mondomaine.com. Vous pouvez utiliser une adresse IP à la place d'un nom DNS, mais ce choix entraîne le retrait du pilote de Kerberos et l'authentification peut échouer. Pour configurer une communication sécurisée SSL, ajoutez le numéro de port SSL LDAP au nom d'hôte du serveur DNS (par exemple : LDAP://moncontrôleur.mondomaine.com:636). Sachez que la technologie SSL fonctionne uniquement si vous avez défini une infrastructure à base de certificats et que vous avez importé les certificats sur vos serveurs Windows 2000. Pour plus d'informations, consultez la documentation Microsoft sur les services de certificats. Si vous ne spécifiez aucun contexte, le pilote adresse sa connexion à la machine locale.
Utiliser une authentification sécurisée : lorsque la valeur de cette option est Yes, le pilote négocie l'authentification Kerberos ou NTLM vers Active Directory. Lorsque la valeur de cette option est No, le pilote utilise une liaison simple LDAP. Une liaison simple n'est généralement pas acceptable car elle transmet les mots de passe en texte clair sur le réseau. Toutefois, si vous avez configuré une communication sécurisée SSL, le mot de passe est envoyé sur un canal codé SSL et est donc sécurisé.
Utiliser SSL : ce paramètre contrôle le codage si vous vous connectez à Active Directory à l'aide du numéro de port SSL LDAP. Par défaut, la valeur du paramètre est No, ce qui signifie que la communication sécurisée SSL est abandonnée lorsque l'authentification de la liaison simple est terminée. Une fois l'authentification effectuée, la communication s'effectue en texte clair. Si vous définissez la valeur Yes, le canal SSL est codé pendant toute la conversation. Un canal codé est préférable car le pilote synchronise généralement les informations sensibles. Cependant, le codage ralentit les performances générales de vos serveurs. Ce paramètre peut être configuré à la page Paramètres du pilote après l'importation du pilote.
Utiliser la signature/le sceau : cet indicateur active la signature et le sceau de la connexion Active Directory si vous n'utilisez pas le port SSL LDAP. La signature permet de s'assurer que les données ne sont pas interceptées par un ordinateur malveillant. Le sceau code les données de sorte qu'elles ne puissent pas s'afficher sur un moniteur réseau. Ce paramètre fonctionne uniquement si vous exécutez Windows 2000 SRP1 (Security Rollout Package SP1) ou Windows 2000 SP3, avec Internet Explorer 5.5 SP2 installé sur les deux serveurs Windows 2000. Il active la signature et le codage sur une connexion authentifiée Kerberos ou NTLM. Comme pour le mode SSL, ce paramètre n'est pas disponible lors de l'importation initiale ; il est défini via la page Paramètres du pilote une fois l'installation terminée.
Conserver les références : ce paramètre indique au pilote d'utiliser une méthode d'authentification mise à jour pour conserver sa connexion à Active Directory. La méthode mise à jour est importante sur les systèmes qui ont été mis à niveau vers Windows 2000 SRP1 (Security Rollout Package 1) ou Windows 2000 SP3. Si vous utilisez une version antérieure de Windows et que vous êtes satisfait du mécanisme d'authentification existant, définissez la valeur No pour ce paramètre.
Les trois méthodes d'authentification utilisées par le pilote sont listées ci-dessous. Si vous avez installé un progiciel de sécurité différent dans l'infrastructure SSPI Microsoft, vous disposez d'options supplémentaires.
Utiliser l'identité du processus : ce mode est sélectionné lorsque vous laissez le champ ID d'authentification vide. En général, eDirectory s'exécute en tant que service et vous recevez les droits LSA (Local Service Account) pour Active Directory. Ce niveau de droits fonctionne lorsque vous exécutez le pilote sur votre serveur Active Directory, sauf si une règle ou les paramètres de sécurité Active Directory locaux n'autorisent pas l'accès pour le LSA. Il fonctionne pour les configurations sur un seul serveur.
Liaison simple : transmet le nom d'utilisateur et le mot de passe en texte clair. Cette option doit être utilisée uniquement avec SSL.
Authentification Kerberos / NTLM : NTLM est l'authentification de domaine standard utilisée par Windows NT 4. Cette méthode est moins performante que Kerberos (les clés sont moins longues et l'authentification mutuelle n'est pas prise en charge). Toutefois, l'authentification NTLM, qui a été utilisée pendant des années avec l'authentification de domaine, est acceptable pour la plupart des utilisations. Kerberos est la nouvelle authentification Windows 2000 et la méthode préférée pour les futures authentifications avec Microsoft. Elle met en oeuvre un schéma d'authentification mutuelle tiers et est généralement plus performante que NTLM. Le pilote n'est pas averti du schéma d'authentification utilisé.
Étant donné que l'authentification dépend de plusieurs paramètres tels que le support pack Windows 2000, votre infrastructure DNS, les paramètres des règles et de registre, la méthode d'authentification la plus fiable consiste à installer le pilote sur l'ordinateur qui héberge Active Directory, puis d'utiliser le chargeur distant DirXML pour connecter le moteur DirXML, comme illustré dans la Configuration à double serveur (2). Cette configuration sera encore plus performante si vous définissez les paramètres du pilote comme suit.
Si vous ne souhaitez pas exécuter le pilote sur votre contrôleur de domaine Active Directory, comme illustré dans la Configuration à double serveur (1) et dans la Configuration à triple serveur, définissez les paramètres du pilote comme suit :
SSL est une option intéressante si vous avez déjà créé une infrastructure de services de certificats et que vous avez importé les certificats adéquats. Il n'est pas nécessaire d'installer les services de certificats uniquement pour la synchronisation des données DirXML, car les options précédentes garantissent des communications sécurisées.
| |