dynamic host configuration protocol dhcp [rfc 2131 - 1997 ]...dynamic host configuration protocol...

DHCP

Dynamic Host Configuration Protocol

DHCP [RFC 2131 - 1997 ]

2

Administration Services RX Nizar chaabani

BUT

Permet à un ordinateur qui se connecte sur un réseau local d'obtenir et de configurer dynamiquement et automatiquement :

Son adresse IP

masque de son sous-réseau

passerelle par défaut

adresse IP du serveur DNS

nom de son domaine

3


Pourquoi utiliser le protocole DHCP ?

Le protocole DHCP simplifie et réduit le travail administratif grâce

à l'usage de la configuration automatique du protocole TCP/IP

Configuration manuelle du protocole TCP/IP

Les adresses IP sont entrées manuellement sur chaque ordinateur client

Risque d'entrer une adresse IP incorrecte ou non valide

Une configuration incorrecte peut entraîner des problèmes de réseau

Surcharge administrative sur les réseaux dont les ordinateurs sont souvent déplacés

Configuration automatique du protocole TCP/IP

Les adresses IP sont automatiquement fournies aux ordinateurs clients

Les clients utilisent toujours es informations de configuration correctes

La configuration du client est automatiquement mise à jour pour refléter les modifications dans la structure du réseau

4


Fonctionnement

Lorsque vous connectez un ordinateur sur le réseau il n’a

aucune connaissance de son adresse IP

Par contre il connait:

son adresse Mac

L’adresse de broadcast

5


Ordinateur A

Serveur DHCP

Réseau IP 192.168.10.0

Fonctionnement : étape 1

Le client A démarre, il n’a pas d’adresse IP

6


Ordinateur A

Serveur DHCP

Réseau IP 192.168.10.0


L’ordinateur A émet un paquet de

découverte d’un serveur DHCP

DHCP Discovery

7


Ordinateur A

Serveur DHCP


Le serveur DHCP propose une

configuration IP au client

DHCP Offer 192.168.10.9

DHCP Discovery

8


Ordinateur A

Serveur DHCP

Réseau IP 192.168.10.0


L’ordinateur annonce (par diffusion)

accepter ou non la configuration IP

DHCP Request

DHCP Offer 192.168.10.9

9


Ordinateur A

Serveur DHCP


Le serveur acquitte ou non la réponse du

client

192.168.10.9

DHCP Ack

DHCP NAck

10


Fonctionnement


11

Fonctionnement


12

Fonctionnement du DHCP


13

Gestion des adresses IP

Une adresse obtenue par DHCP est valide :

pour une période donnée (bail, lease)

La durée du bail est paramétrable :

en général 48 heures (minimum : 1h)

possibilité de prolonger le bail

14


Gestion des adresses IP

Possibilité de réserver des adresses IP à

certaines adresses MAC

Le serveur DHCP peut fournir dans son

offre de nombreux paramètres IP :

@ passerelle

@ serveurs : DNS, WINS

…

15


Mise en œuvre de DHCP

Côté client :

Sélectionner l’attribution automatique d’adresse

IP (on parle de « client DHCP »)

Côté serveur :

Installer le service DHCP

Autoriser le serveur DHCP (le rendre actif)

Définir la ou les plages d’adresses (étendues), les

exclusions d’adresses et la durée du bail …

16


Demande de bail/adresse IP

Le poste client vient de se connecter, il n’a pas

d’adresse IP

En DHCP une adresse IP n’est fournit que pour un

temps donné : Le bail. C’est pourquoi on parle de

demande de bail plutôt que d’adresse IP

Un bail a une durée : lease-time

17


Comment le protocole DHCP alloue des adresses IP

Serveur DHCP

Adresse1 IP : Louée au Client1 DHCP

Adresse2 IP : Louée au Client2 DHCP

Adresse3 IP : Disponible pour un bail

Client2 DHCP :

Configuration IP

du serveur DHCP

Client non-DHCP :

Configuration

IP statique

Client1 DHCP :

Configuration IP

du serveur DHCP

Renouvellement

d'un bail

Création d'un bail

DHCP

Base de données

18


Comment fonctionne le processus de création d'un

bail DHCP

Le client DHCP diffuse un paquet DHCPDISCOVER 1

Le client DHCP diffuse un paquet DHCPOFFER 2 Le client DHCP diffuse un paquet DHCPREQUEST 3 Le serveur DHCP Server1 diffuse un paquet DHCPACK 4

Client

DHCP

Serveur

DHCP

Server1

Serveur

DHCP

Server2

19


Comment fonctionne le processus de renouvellement d'un

bail DHCP

Le serveur DHCP Server1 envoie un paquet DHCPACK 2

Le client DHCP envoie un paquet DHCPREQUEST 1

Client DHCP Serveur

DHCP

Server1

Serveur

DHCP

Server2

50% de la durée du bail s'est écoulée

87.5% de la durée du bail s'est écoulée


Si le client n'est pas parvenu à renouveler son bail

lorsque

50% de la durée du bail s'est écoulée, la procédure de

renouvellement du bail DHCP commence lorsque

87,5%

de la durée du bail s'est écoulée

Si le client n'est pas parvenu à renouveler son bail lorsque 87,5% de la durée du bail s'est écoulée, la procédure de création de bail DHCP recommence avec un client DHCP diffusant un DHCPDISCOVER

Client DHCP Serveur

DHCP

Server1

Serveur

DHCP

Server2


Le client DHCP envoie un paquet DHCPREQUEST 1

Le serveur DHCP Server1 envoie un paquet DHCPACK 2

20


Demande de bail - UN serveur DHCP

C’est SEULEMENT après t0 que le client peut utiliser l’adresse IP communiquée par le serveur jusqu’à t0 + lease-time

time DHCPDiscover

2 DHCPOffer

1

DHCPRequest 3

4 DHCPAck

client

serveur

t0

21


Trames DHCP

DHCPDISCOVER :Permet de trouver un serveur DHCP. La trame est une trame de « broadcast », elle est envoyée à l’adresse 255.255.255.255. Le client n’ayant pas d’adresse prend l’adresse 0.0.0.0

DHCPOFFER : contient une proposition de bail, l’adresse IP du serveur et l’adresse Mac du client.

DHCPREQUEST : indique à tous les serveurs quel bail il a accepté et/ou demande de renouvellement de bail

DHCPACK : le serveur confirme le bail.

22


Demande de renouvellement de bail

Le client peut utiliser l’adresse IP communiquée

par le serveur jusqu’à t1+lease-time

time

DHCPRequest 3

4 DHCPAck

client

serveur

t1

23


Les paquets IP échangés Lors d’un

renouvellement de bail

Source Destination Protocol Info

192.168.0.9 192.168.0.253 DHCPRequest

192.168.0.253 192.168.0.9 DHCPAck

24


Message DHCP

25


Message DHCP

Envoyé par le Client

DHCPDISCOVER demande de localisation des serveurs

DHCP

DHCPREQUEST demande de bail

DHCPDECLINE refus d’adresse IP, elle est déjà utilisée

DHCPRELEASE libération son bail

DHCPINFORM demande de paramètres locaux (autre

qu’une adresse IP)

26


Message DHCP

Envoyé par le Serveur

DHCPOFFER réponse à un DHCPDISCOVER

DHCPACK contient des paramètres et l'adresse IP du

client

DHCPNAK refus de bail

27


Encapsulation d’un message DHCP

IP

par exemple Ethernet

DHCP BOOTP

UDP

Message DHCP

UDP IP Eth

Trame contenant un

message « DHCP »

28


BOOTP: Protocole de démarrage Une station récupère les informations pour s’amorcer (« booter ») sur un serveur

« d’amorçage » distant

Trame contenant un message DHCP

Message DHCP

Port source

Port destination du datagramme

Adresse IP source

Adresse IP destinataire du paquet IP

Adresse physique de l’émetteur

Adresse physique du destinataire de

la trame

UDP

IP

Ethernet

29


Le Problème de l’oeuf et la

poule

A moment de la demande de bail,

Est-ce que le client connaît son adresse physique ?

Est-ce que le client connaît l’adresse physique du serveur

DHCP ?

QUE FAIRE ???

Niveau

physique 30


Le Problème de l’oeuf et la

poule A moment de la demande de bail,

Est-ce que le client connaît l’adresse IP du serveur DHCP ?

Est-ce que le client connaît son adresse IP ?

Est-ce que le serveur DHCP connaît l’adresse

IP du client?

QUE FAIRE ???

Niveau

réseau 31


DIFFUSION niveau physique

Diffusion (broadcast) distribution de la requête DHCP à

tous les postes connectés

Client

DHCP Adresse de

diffusion:

ff:ff:ff:ff:ff:ff

32


DIFFUSION niveau réseau

Diffusion (broadcast) distribution de la requête DHCP à

tous les postes connectés

Client

DHCP Utilsation de

l’adresse IP de

diffusion générique

255.255.255.255

33


Niveau Transport - requêtes

Le client DHCP envoie la requête sur le port 67. Le

serveur DHCP écoute sur le port 67.

Serveur DHCP 67

Client

DHCP

34


Niveau Transport - réponses

Le serveur DHCP envoie la requête sur le port 68.

Le client DHCP écoute sur le port 68.

Serveur DHCP 68

Client

DHCP

35


DHCP : le client utilise un port réservé

Port serveur DHCP 67

Port Client DHCP 68

Client

DHCP

65

66

67

68

69

Serveur

DHCP

65

66

67

68

69

36


Trame contenant un DHCPDiscover

Message DHCPDiscover

68

67

0.0.0.0

255.255.255.255

00:20.8f:b9:49:37

ff:ff:ff:ff:ff:ff

UDP

IP

Ethernet

37


Trame contenant

DHCPDiscover

Message DHCPDiscover

68

67

0.0.0.0

255.255.255.255

00:20.8f:b9:49:37

ff:ff:ff:ff:ff:ff adresse

physique de

diffusion

Adresse IP

de

diffusion

générique

Adresse

physique du

client DHCP

Port

source datagamm

e

Adresse

IP

« neutre »

38


Trame contenant un DHCPOffer

Message DHCPOffer

67

68

192.168.0.253

00.00.b4:bb:7d:ee

00:20.8f:b9:49:37

UDP

IP

Ethernet

39


DHCPOffer

Message DHCPOffer

67

68

192.168.0.253

00.00.b4:bb:7d:ee

00:20.8f:b9:49:37

adresse

physique

du client

Adresse

physique du

serveur DHCP

Port

source datagamm

e

Adresse

IP serveur

DHCP

40


Trame contenant un DHCPRequest

Message DHCPRequest

68

67

0.0.0.0

255.255.255.255

00:20.8f:b9:49:37

ff:ff:ff:ff:ff:ff

UDP

IP

Ethernet

41


Demande de baux DES serveurs DHCP

DHCPDiscover

DHCPOffer

DHCPRequest

DHCPAck

time

client serveur serveur

DHCPDiscover

DHCPOffer

DHCPRequest

Le client refuse

mon offre

42


Bilan des échanges lors d’une

demande de bail

43


Les paquets IP échangés

Source Destination Protocol Info

0.0.0.0 255.255.255.255 DHCPDiscover

# le serveur DHCP vérifie que l’adresse IP qu’il veut offrir n’est pas utilisée

Serveur DHCP Broadcast ARP 192.168.0.9?

192.168.0.253 DHCPOffer

0.0.0.0 255.255.255.255 DHCPRequest

192.168.0.253 192.168.0.9 DHCPACK

# le client vérifie via ARP que personne n’utilisa sa nouvelle adresse

Client DHCP Broadcast ARP 192.168.0.9?

44


45

La configuration IP obtenue par un client Windows n'apparaît pas

dans l'interface graphique elle peut être visualisée avec la

commande IPCONFIG :

IPCONFIG –ALL : Affiche toutes les informations de la

configuration TCP/IP

IPCONFIG –RELEASE : Supprime les informations de la


IPCONFIG -RENEW : Renouvelle les informations de la


Les options RELEASE et RENEW peuvent s'appliquer à toutes ou à

certaines interfaces

Client DHCP

Configuration d'un agent de

relais DHCP

Qu'est-ce qu'un agent de relais DHCP ?

Comment fonctionne un agent de relais DHCP

Comment un agent de relais DHCP utilise le nombre

de tronçons

Comment un agent de relais DHCP utilise le seuil de

démarrage

Comment configurer un agent de relais DHCP

46


Agent relais DHCP

Il est possible d'éviter d'avoir 2 serveurs DHCP en installant un

"Agent relais DHCP"

Matériellement la fonction "Agent relais DHCP" peut être

assurée par une machine du réseau ou un routeur qui autorise

la retransmission du trafic broadcast.


47

Réseau B

Réseau A

Serveur

DHCP

Machine

Relais DHCP

Routeur

relais

DHCP

Qu'est-ce qu'un agent de relais DHCP ?

Un agent de relais DHCP est un ordinateur ou un routeur configuré pour écouter les messages DHCP/BOOTP des clients DHCP et les transmettre aux serveurs DHCP sur différents sous-réseaux

Serveur DHCP

Client

Agent de relais DHCP

Client Client Client

Routeurs

Monodiffusion

Diffusion

Sous-

réseau A

Sous-

réseau B

Diffusion

48



Router Routeur Client

1

Client

2


Client1 Client2

DHCP

Server

Client

3

Serveur DHCP

Client

3

Comment fonctionne un agent de relais DHCP

Client3 Client2

Client1 Router Routeur Client

1

Client

2


Client

1

Client

2

DHCP

Server

Client

3

Serveur

DHCP

Client

3

Serveur DHCP

Client3


Client2 Client1

Routeur

Client1 diffuse un paquet DHCPDISCOVER 1 L'agent de relais transmet le message DHCPDISCOVER au

serveur DHCP 2

Le serveur envoie un message DHCPOFFER à l'agent de relais

DHCP 3

L'agent de relais diffuse le paquet DHCPOFFER 4

Client1 diffuse un paquet DHCPREQUEST 5 L'agent de relais transmet le message DHCPREQUEST au

serveur DHCP 6

Le serveur envoie un message DHCPACK à l'agent de relais

DHCP 7

L'agent de relais diffuse le paquet DHCPACK 8

49


Comment un agent de relais DHCP utilise le nombre de

tronçons

Le seuil du nombre de tronçons représente le nombre de routeurs à travers lesquels le paquet peut être transmis avant d'être rejeté

Agent de relais DHCP 2

Serveur DHCP

Nombre de tronçons= 2

Agent de relais DHCP 1

50


Serveur DHCP 2

Serveur DHCP 3

Serveur DHCP Local


Seuil de démarrage

= 10 secondes

Comment un agent de relais DHCP utilise le seuil de

démarrage

Serveur DHCP 2

Serveur DHCP 3

Serveur DHCP Local


Seuil de démarrage

= 10 secondes

Le seuil de démarrage est la durée en secondes pendant laquelle l'agent de relais DHCP attend qu'un serveur DHCP local réponde aux requêtes des clients avant de transmettre la requête

51


Format d’un message BOOTP

OP

serveur adresse IP

HLEN

adresse IP client (écrit par le client)

gaterway adresse IP

adresse physique du client

secs

identifiant session

HTYPE HOPS

flags

nom du serveur

Fichier d’amorçage

OPTION

adresse IP client (proposée par le serveur)

52


Format d’un message DHCP

OP

serveur adresse IP

HLEN

adresse IP client (écrit par le client)

gaterway adresse IP

adresse physique du client

secs

identifiant session

HTYPE HOPS

flags

nom du serveur

Fichier d’amorçage

OPTIONS définies dans DHCP

adresse IP client (proposée par le serveur)

53


SERVICES DNS

Admin Serv RX

http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html

54 Administration Services RX Nizar chaabani

http://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.htmlhttp://www.academiepro.com/enseignants-104-Chaabani.Nizar.html

Résolution de Noms et Résolution inverse

Depuis 1984, les systèmes ont recours principalement à DNS pour la résolution de noms

Adresse sous forme de nom plus agréable à manipuler qu’une adresse IP

a résolution de nom (forward lookup) permet de trouver une adresse IP à partir d'un nom

la résolution inverse (reverse lookup) permet de trouver un nom à partir d'une adresse IP

55


Vue d'ensemble du système DNS

DNS est une base de données distribuée hiérarchisée qui contient les mappages de noms de domaine DNS à divers types de données, notamment des adresses IP

DNS est à la base du système de noms Internet, mais aussi du système de noms d'une organisation

DNS prend en charge l'accès aux ressources à l'aide de noms alphanumériques

Le système DNS a été conçu pour résoudre les problèmes posés par une augmentation :

du nombre d'hôtes sur Internet

du trafic généré par le processus de mise à jour

de la taille du fichier Hosts

56


D.N.S. Signifie, selon les cas, plusieurs choses

Domain Name System : l'ensemble des organismes qui

gèrent les noms de domaine.

Domain Name Service : le protocole qui permet

d'échanger des informations à propos des domaines.

Domain Name Server : un ordinateur sur lequel fonctionne un

logiciel serveur qui comprend le protocole DNS et qui peut

répondre à des questions concernant un domaine.

57


Qu'est-ce qu'un espace de noms de

domaines ?

Domaine racine

Sous-domaines

Domaine de

second niveau

Domaine de

niveau supérieur

FQDN : server1.sales.rfid.edipax.com

rfid

Edipax

com

sales

west east

org net

Hôte : server1

58


Lecture des noms de domaine

A l’inverse de l’adressage IP la partie la plus significative si situe à gauche de la syntaxe :

sun2.ethernet1.centralweb.fr / 193.148.37.201

vers le plus significatif vers le plus significatif

sun2. ethernet1. centralweb.fr

domaine français (.fr)

domaine de l’organisation CentralWeb

sous-domaine CentralWeb

machine sun2 du domaine ethernet1. centralweb.fr

59


Principes de résolution

La communication entre clients et serveurs des services des noms utilise le protocole dns à partir des protocoles udp et tcp, usuellement le port 53.

Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (réponse).

60


Parcours de l’arborescence

Pour déterminer l’adresse ip correspondant au nom :

www.security.com.fr.

Il faut trouver :

un NS (serveur de noms) de la racine .

interroger pour un obtenir NS de fr.

Interroger pour un NS de com.fr.

Le NS de security.com.fr. identifie www.

61


Quels sont les composants d'une solution

DNS ?

Serveurs DNS sur Internet Serveurs DNS Clients DNS

Racine « . »

.com

.edu Enregistrements

de ressources

Enregistrements

de ressources

62


Qu'est-ce qu'une requête DNS ?

Les clients DNS comme les serveurs DNS peuvent lancer des requêtes de résolution de noms

Un serveur DNS qui fait autorité pour l'espace de noms de la requête peut :

Consulter le cache et la zone, puis renvoyer l'adresse IP demandée

Renvoyer une réponse négative qui fait autorité

Un serveur DNS qui ne fait pas autorité pour l'espace de noms de la requête peut :

Transmettre la requête qu'il ne sait pas résoudre à un serveur spécifique appelé redirecteur

Utiliser les indications de racine pour trouver une réponse à la requête

Une requête est une demande de résolution de noms envoyée à un

serveur DNS. Il existe deux types de requêtes : requêtes récursives

et requêtes itératives

63


Fonctionnement des requêtes récursives

Computer1

Requête récursive

pour

mail1.edipax.com

172.16.64.11

Une requête récursive est une requête envoyée à un serveur DNS dans laquelle le client DNS demande au serveur de fournir une réponse complète

Le serveur DNS essaie de trouver une réponse dans

la zone de recherche directe et dans le cache

Base de

données

Serveur DNS local

64


Fonctionnement des indications de

racine Les indications de racine sont des enregistrements de ressources DNS stockés sur un serveur DNS qui répertorient les adresses IP des serveurs racines du système DNS

microsoft

Cluster de serveurs DNS

Indications de racine

local

Cluster de serveurs racines (.)

com

Computer1

65


Fonctionnement des requêtes

itératives Une requête itérative est une requête envoyée à un serveur DNS dans laquelle le client DNS demande la meilleure réponse que peut fournir le serveur DNS sans faire appel à d'autres serveurs DNS. Le résultat d'une requête itérative est souvent une référence à un autre serveur DNS situé plus bas dans l'arborescence DNS

Computer1

Serveur

DNS local

edipax.com

Indication de racine (.)

.com

Requête itérative

Interroger .com

3

2

1

66


Fonctionnement des redirecteurs

Un redirecteur est un serveur DNS que d'autres serveurs DNS internes désignent comme responsable du transfert des requêtes pour la résolution de noms de domaines DNS externes ou hors site

Computer1

edipax.com

Indication de racine (.)

.com

Requête itérative

Interroger .com

Serveur DNS

local

Redirecteur

67


Fonctionnement de la mise en cache du

serveur DNS

La mise en cache est le processus qui consiste à stocker temporairement

dans un sous-système de mémoire spécial des informations ayant fait

l'objet d'un accès récent pour y accéder plus rapidement ensuite

Où se

trouve

ClientA ?

Client1

Client2

ClientA

ClientA est à l'adresse

192.168.8.44

Où se

trouve

ClientA ?

ClientA est à

l'adresse

192.168.8.44

Table de mise en cache

Nom d'hôte Adresse IP Durée de vie

clientA.edipax.com. 192.168.8.44 28 secondes

68


Configuration des zones DNS

Stockage et maintenance des données DNS

Que sont les enregistrements de ressources et les

types d'enregistrements ?

Qu'est-ce qu'une zone DNS ?

Quels sont les types de zones DNS ?

Que sont les zones de recherche directe et inversée ?

Comment configurer des zones de recherche directe

et inversée

69


Stockage et maintenance des données DNS

local

Fichier de zone :

rfid.edipax.eu.dns

ClientA DNS

Enregistrements de ressources pour la zone rfid.edipax.eu

Nom d'hôte Adresse IP

ClientA DNS 192.168.2.45

ClientB DNS 192.168.2.46

ClientC DNS 192.168.2.47

ClientB DNS ClientC DNS

Espace de noms : rfid.edipax.eu

Un enregistrement de ressource est une structure de base de données DNS standard qui contient des informations utilisées pour traiter les requêtes DNS

Une zone est une portion de la base de données DNS qui contient les enregistrements de ressources dans lesquels le nom du propriétaire appartient à la portion contiguë de l'espace de noms DNS

70


Que sont les enregistrements de ressources et

les types d'enregistrements ?

Type d'enregistrement

Description

A Résout un nom d'hôte en adresse IP

PTR Résout une adresse IP en nom d'hôte

SOA Premier enregistrement dans tout fichier de zone

SRV Résout les noms des serveurs qui fournissent des services

NS Identifie le serveur DNS associé à chaque zone

MX Serveur de messagerie

CNAME Résout un nom d'hôte en nom d'hôte

71


Qu'est-ce qu'une zone DNS ?

edipax

West rfid

Support Sales rfid

North

72


Quels sont les types de zones DNS ?

Zones Description

Principale

Copie en lecture/écriture d'une base de

données DNS

Secondaire

Copie en lecture seule d'une base de données DNS

Stub

Copie d'une zone contenant certains

enregistrements seulement

Lecture/

écriture

Lecture

seule

Copie de

certains

enregistrements

73


Que sont les zones de recherche directe

et inversée ? Espace de noms : rfid.edipax.eu

Client1 DNS Client2 DNS

Client3 DNS

Serveur DNS autorisé pour rfid

Zone directe

rfid

Client1 DNS 192.168.2.45

Client2 DNS 192.168.2.46

Client3 DNS 192.168.2.47

Zone

inversée

1.168.192.in

-addr.arpa

192.168.2.45 Client1 DNS

192.168.2.46 Client2 DNS

192.168.2.47 Client3 DNS

Client2 DNS = ?

192.168.2.46 = ?

74


Fonctionnement des serveurs DNS préférés

et auxiliaires

1. Le serveur DNS préféré est celui que le client contacte en premier

2. Si le serveur préféré échoue, le client essaie le serveur DNS auxiliaire

3. Il est possible de spécifier toute une liste de serveurs DNS auxiliaires

4. Les serveurs préférés et auxiliaires spécifiés dans la page Propriétés sont automatiquement placés en tête de liste et sont interrogés dans l'ordre de la liste

75


Application des suffixes

Option de sélection de suffixe

Liste de recherche de suffixes de domaine

Suffixe spécifique à la connexion

Requête de nom =

server1

server1.sales.rfid.edipax.com

server1.rfid.edipax.com

server1.edipax.com

76


La commande dig permet d'interroger des

serveurs DNS (man dig), elle accepte des

paramètres plus fins que la

commande nslookup (man nslookup) qui existe

également sous windows, mais un peu différente

Les commandes Netsh pour DHCP offre un outil de

ligne de commande utile à l'administration des

serveurs DHCP et fournit une solution alternative

équivalente à la gestion sur console. Elles sont utiles

dans les cas suivants :

80


LDAP

LIGHTWEIGTH DIRECTORY ACCESS

PROTOCOL




Définitions et concepts

Un annuaire est un conteneur d’informations organisées.

Exemples d’annuaires courants

annuaire téléphonique : Les Pages Jaunes

carnet d’adresses

catalogue de vente

Un annuaire global célèbre très utilisé : DNS

82


Un annuaire est une base de données, mais

une base de données n’est pas un annuaire

Qu’est-ce qu’un annuaire

Répertoire en ligne, dynamique

Possibilité de faire des recherches

Contrôle d’accès à l’information

Ce n’est pas:

destiné à manipuler des données volumineuses

un substitut à un serveur FTP, un système de

fichiers,...

83


Domaine

OU1

Ordinateurs

Ordinateur 1

Utilisateurs

Utilisateur 1

Utilisateurs

Utilisateurs 2

OU2

Imprimantes

Imprimante 1

Définition d'un service d'annuaire

Un référentiel d'informations structuré sur les

personnes et les ressources d'une organisation

Rosalie Mignon

Attributs Valeurs

Nom

Bâtiment

Étage

Rosalie Mignon

117

1

84


85


LDAP : Protocole Qui utilise le Port TCP 389

Facettes de LDAP

LDAP définit :

le protocole -- comment accéder à l’information contenue dans l’annuaire,

un modèle d’information -- le type d’information contenu dans l’annuaire,

un modèle de nommage -- comment l’information est organisée et référencée,

un modèle fonctionnel -- comment on accède à l’information,

un modèle de sécurité -- comment données et accès sont protégés,

un modèle de duplication -- comment la base est répartie entre serveurs,

des API -- pour développer des applications clientes,

LDIF -- un format d’échange de données.

86


Protocole (2): client-serveur

bind

status

requête

Réponse 1

Réponse 2

résultat

unbind

L’authentification est faite pendant le bind.

87


Modèle de nommage / modèle

d’information

Le modèle de nommage définit comment

sont organisées les entrées de l’annuaire

et comment elles sont référencées.

Le modèle d’information définit le type de

données pouvant être stockées dans

l’annuaire.

88


Modèle de nommage /

modèle d’information

c=fr

o=ventes

ou=aspirateurs

cn=maurice_duplantier

country

must c

may description

may searchguide

organization

must o

may businessCategory

may postalAddress

organizationalUnit

must ou

may businessCategory

may registeredAddress

person

must cn,sn

may description

89

Administration Services RX

Nizar chaabani

Le modèle de nommage

Organisation des entrées : structure logique arborescente,

le directory information tree (DIT)

Chaque objet est une instance d’objet

Chaque entrée est identifiée par un nom, le

DN=distinguished name

Le “suffix” définit l’espace de nommage dont le serveur a

la gestion

Un noeud de l’arbre (entrée de l’annuaire) est appelé DSE

(directory service entry)

Sommet de l’arbre: BaseDN ou rootDSE racine de l’arbre

90


Duplication: replication

Le modèle de duplication (replication service) définit comment

dupliquer l’annuaire sur plusieurs serveurs.

Pas encore standard, mais est proposé par la plupart des serveurs.

L’IETF prépare le protocole LDUP.

Master slapd

slave slapd

91


Dupliquer l’annuaire :

Pallier à une panne de

l’un des serveurs, une

coupure du réseau,

surcharge du service.

vulnérabilités

Déni de service

Codes BER semi-valides, requete malformées => freeze

Mesures compensatoires

Firewall

Opérations signées

Buffer overflow

Attaquant récupère les privilèges système, ou privilège de la database

Mesures compensatoires

Tourner ldap en chroot

92


CONFIGURATION DE

WINDOWS SERVER

ACTIVE DIRECTORY




La mise en place d'un domaine Windows 200x passe

par l'installation :

D'un annuaire appelé par Microsoft "Active Directory"

D'un serveur DNS

(Le serveur DHCP n'est pas nécessaire dans un premier

temps)

L'Active Directory 94


L'Active Directory

L'Active Directory de Microsoft est le service

d'annuaire fourni par Windows 200x Server

(abandon de la notion de base de comptes

intégrée dans la base de registre)

L'Active Directory supporte les protocoles suivants :

TCP/IP : protocole réseau

DNS : la gestion des noms de domaine Windows

200x repose sur ce service.

95


L'Active Directory supporte les protocoles suivants :

DHCP : Distribution d'adresses IP. Il renseigne le

DNS sur les adresses distribuées (DHCP

dynamique).

SNTP : protocole de distribution de l'heure.

Toutes les machines W2k doivent être

synchronisées car l'authentification Kerberos se

base sur un ticket horodaté.



L'Active Directory supporte les protocoles

suivants :

LDAP : protocole d'accès à l'annuaire

KERBEROS : permet l'authentification

LDIF : permet la synchronisation de l'annuaire

(Lightweight Data Interchange Format)



L'Active Directory Racine .lyc

Un domaine Windows 2000 comprendra un ou

plusieurs serveurs. Les objets du domaine sont décrits

dans l'Active Directory.

Domaine tsinfo.lyc

Serveur : infosrv1

(infosrv1.tsinfo.lyc)

Serveur : infosrv2

(infosrv2.tsinfo.lyc) Domaine

tscompta.lyc

Serveur : cptsrv

(cptsrv.tscompta.lyc) Domaine

stage.tsinfo.lyc

Serveur : st1

(st1.stage.tsinfo.lyc)

D'autres domaines peuvent

être créés. Ils sont reliés

entre eux hiérarchiquement

par des relations des

d'approbation

bidirectionnelles transitives

Les domaines ainsi reliés forment un ARBRE

98


L'Active Directory


99 Racine .adm

Domaine scola.adm

Serveur : sco1

(sco1.scola.adm)

Domaine adminlab.adm

Serveur : jtsrv

(jtsrv.adminlab.adm)

Les ARBRES ainsi reliés forment une FORET

Racine .lyc

Domaine tsinfo.lyc

Serveur : infosrv1

(infosrv1.tsinfo.lyc)

Serveur : infosrv2

(infosrv2.tsinfo.lyc) Domaine

tscompta.lyc

Serveur : cptsrv

(cptsrv.tscompta.lyc) Domaine

stage.tsinfo.lyc

Serveur : st1

(st1.stage.tsinfo.ly

c)

Les objets de l'Active Directory sont : Un compte d'utilisateur

Un ordinateur

Un dossier partagé publié

Un groupe

Une imprimante publiée

Un contact Un objet contact est un compte qui ne dispose d’aucune autorisation de sécurité. Vous ne pouvez pas

vous connecter au réseau en tant que contact. Les contacts représentent les utilisateurs externes dans le cadre de la messagerie par exemple



Les objets de l'Active Directory sont Une unité organisationnelle

Les unités d’organisation sont utilisées comme

conteneurs pour organiser de façon logique des

objets d’annuaire tels que les utilisateurs, les

groupes et les ordinateurs …



Tous les objets ont des attributs, par exemple :

Nom et prénom d'un utilisateur

Nom de partage d'un dossier

Certains attributs sont obligatoires (nom de l'utilisateur)

d'autres sont facultatifs (son numéro de téléphone)



L'ensemble des attributs sont définis dans le SCHEMA

Le composant enfichable Schema Active Directory

permet de modifier le schéma pour ajouter des

attributs (attention, il est impossible d'en supprimer).



Exemple de création d'une A.D

L’objectif de cet exemple est de créer 2 forêts bts et

sts.

La forêt bts sera composée de 2 arbres.

Le premier arbre composé :

Du domaine : mozart géré par les serveurs vienne et valse ;

Du sous-domaine : vivaldi géré par le serveur saisons.

104


La forêt bts sera composée de 2 arbres.

L’arbre (domaine) : chopin géré par le serveur danube.

La forêt sts sera composée de l’arbre (domaine) : clapton géré par le serveur eric.


105


mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.150)

vivaldi.mozart.bts

Srv : saisons

(172.16.41.200)

chopin.bts

Srv : danube

(176.16.41.250)

sts

clapton.sts

Srv : eric

(172.16.41.50)

bts


106


Première étape (1)

mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.100)

bts Rappel : Lors de la 1ère partie de

l'installation du système, le

futur serveur à été appelé :

VIENNE

Installation de l'Active Directory sur le serveur

VIENNE

107



108



109



110



111



112



113


Installation d'un second serveur sur le domaine

mozart.bts (serveur VALSE)


mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.100)

bts

114



Configuration préalable :

"Pointer" sur le serveur DNS qui

gère l'Active Directory du

domaine mozart.bts

115



116



117



118



Résultat dans l'Active Directory 119



Résultat dans le serveur DNS (VIENNE) 120


Deuxième étape

chopin.bts

Srv : danube

(176.16.41.250)

bts

Installation d'un second domaine : chopin.bts 121


Deuxième étape




domaine mozart.bts, premier

serveur ayant été installé.

122


Deuxième étape

123


Deuxième étape

124


Deuxième étape

125


Deuxième étape


126

Deuxième étape



Deuxième étape

Résultat dans le serveur DNS (DANUBE) 128


Deuxième étape



Deuxième étape Relations d'approbations entre les domaines

130



131



132


Troisième étape

mozart.bts

Srv : vienne

(172.16.41.100)

Srv : valse

(172.16.41.100)

vivaldi.mozart.bts

Srv : saisons

(172.16.41.200)

bts Création du sous-domaine vivaldi

133


Troisième étape




domaine mozart.bts, premier

serveur ayant été installé.

134


Troisième étape

135


Troisième étape

136


Troisième étape


137

Troisième étape



Relations d'approbations entre les domaines

Troisième étape

140


Quatrième étape

Création de l'arborescence "sts" et du domaine "claption.sts"

sts

clapton.sts

Srv : eric

(172.16.41.50)

141


Quatrième étape

142


Quatrième étape

143


Quatrième étape

144


Quatrième étape

145


Quatrième étape



Quatrième étape

Résultat dans le serveur DNS (ERIC) 147


LE PROTOCOLE SNMP

(SIMPLE NETWORK MANAGEMENT

PROTOCOL)




SNMP : Motivation

Nécessité d ’avoir un protocole permettant de

remonter des informations sur l ’activité des

différentes ressources du réseau (les serveurs, les

routeurs, les hubs, etc).

149


Qu’est ce que le protocole SNMP ?

SNMP est un protocole de gestion réseaux

Il s’appuie sur 4 composantes principales :

Des agents

Un ou plusieurs managers

Une MIB (Management Information Base)

Des trames

150


Modèle d ’administration SNMP

Une administration SNMP est composée de trois types d'éléments :

des agents chargés de superviser un équipement. On parle

d'agent SNMP installé sur tout type d'équipement.

une ou plusieurs stations de gestion capables d'interpréter les

données

une MIB (Management Information Base) décrivant les

informations gérées (objets administrés).

SNMP permet la supervision, le contrôle et la modification

des paramètres des éléments du réseau.


151

Le modèle OSI

152


Présentation de SNMP

Protocole d’administration de machines supportant TCP/IP

SNMP Version 1 (SNMPv1)

Mécanisme de sécurité basé sur la notion de communauté (mot

de passe en clair dans les requêtes et réponses)


Amélioration des performances :

Demande des données en bloc et non plus variable par

variable et Meilleur gestion des erreurs


Remplacement de la communauté par un nom d'utilisateur

Ajout d'un mot de passe

Crypté en DES


153

Présentation de SNMP

Répond à un grand nombre de besoins :

Administrer à distance des machines indépendamment

de leur architecture

Disposer d’une cartographie du réseau

Fournir un inventaire précis de chaque machine

Mesurer la consommation d’une application

Signaler les disfonctionnements


154

L ’architecture de SNMP

SNMP fonctionne au dessus de UDP


155

Les requêtes SNMP

Recherche d’informations :

GetRequest : recherche d’une variable sur un agent.

GetNextRequest : recherche de la variable suivante.

GetBulkRequest : recherche d’un groupe de variables

Modification de valeurs :

SetRequest : permet de changer la valeur d’une variable d’un agent.

Envoie d’informations

Trap : détection d’un incident

156


Les réponses SNMP

Une seule réponse existe.

Elle est différente s’il y a une erreur ou non.

Aucune erreur :

GetResponse : renvoie la ou les valeurs souhaitées

En cas d’erreur :

GetResponse mais accompagné d’un NoSuchObject

157


Les PDUs SNMP


158

Les Ports SNMP


159


160

MIB (Management Information Base)

Ensemble d’objets structurés de manière arborescente

Accès à un objet via un Object Identifier (OID)

Deux MIB normalisées: MIB I et MIB II

Références des informations réseau (interfaces, ip …)

MIB privée sous le nœud enterprises

Une MIB n’est pas une base de données mais une « dispatch table »

161


La MIB (Management Information Base)

1 ressource à gérer = 1 objet

Les objets administrables sont une abstraction des ressources

physiques (interfaces, équipements, etc.) et logiques (connexion

TCP, paquets IP, etc.)

MIB : collection structurée d’objets reconnus par les agents

Chaque noeud dans le système doit maintenir une MIB qui reflète

l’état des ressources gérées

Une entité d'administration peut accéder aux ressources du

noeud en lisant les valeurs de l'objet ou en les modifiant

MIB: 2 objectifs

Un schéma commun : SMI (Structure of Management Information)

Une définition commune des objets et de leur structure


162

Arbre des MIB accessibles


163

Identificateur d ’un objet de la MIB

Identificateur d ’un objet:

Identificateur unique = séquence d ’entiers dont chacun

représente la position de ces successeurs dans l ’arbre.

Exemple: identificateur de l ’objet MIB :


164

Le groupe MIB-2


165

1- 2- 3- 4- 5- 6- 7- 8- 9-IpInDelivers

1 – 3 – 6 – 1 – 2 – 1 – 4 – 9

Addr. Trans. 3

Syst 1

Interface 2

IP 4

ICMP 5

TCP 6

UDP 7

EGP 8

MIB I 1

2

Directory 1

Mgmt 2

Experim. 3

Private 4

Internet 1

2

3

4

1

2

3

4

5

DoD 6

STD 0

ORG 3

2

1

UIT 0

ISO 1

2

166


La structure numérique de la MIB

system 1.3.6.1.2.1.1

interfaces 1.3.6.1.2.1.2

at 1.3.6.1.2.1.3

ip 1.3.6.1.2.1.4

Icmp 1.3.6.1.2.1.5

tcp 1.3.6.1.2.1.6

udp 1.3.6.1.2.1.7

egp 1.3.6.1.2.1.8

rmon 1.3.6.1.2.1.9

transmission 1.3.6.1.2.1.10

snmp 1.3.6.1.2.1.11


167

Les formats des requêtes SNMP sont spécifiées par une

description en ASN.1 (Abstract Syntax Notation 1).

Le principe de la syntaxe de transfert est que chaque

valeur transmise contient trois champs :

Un identificateur

La longueur en octets du champ de données

Le champ de données

Requête SNMP 168


ASN1.ppt

Le format des messages SNMP comprend plusieurs

champs :

Le champ Tag identifie le type de la trame.

Le champ Longueur contient la longueur totale de la trame.

Le champ Version est utilisé pour une compatibilité entre les

différentes versions SNMP.

Le champ community Name contient le nom de la

communauté utilisée dans le processus d'authentification.

Requête SNMP

Tag Longueur

du message

Version

Community Name

Le champ PDU

169



champs :

Le champ PDU comprend 5 valeurs :

La PDU GetRequest

La PDU GetNextRequest

La PDU SetRequest

La PDU GetRespons

La PDU Trap

Requête SNMP

Tag Longueur

du message

Version

Community Name

Le champ PDU

170



champs :

Requête SNMP

Tag Longueur

du message

Version

Community Name

Le champ PDU

VarBindList

Error Index

Error Status

Request ID

Lg PDU

Tag PDU

Format d'une PDU

171


Structure des informations d ’Administration

(SMI)

La MIB contient des éléments simples (scalaire et tableaux à deux

dimensions de scalaires)

SMI (Structure of Management information) : donne les règles de

définition, d'accès et d'ajout des objets dans la MIB (méta-modèle)

Objectifs : encourager la simplicité et l'extension de la base

d ’informations d’Administration :

Représentation identique des objets >>> rendre un objet accessible de la

même manière sur chaque entité du réseau

L ’objet administré peut être considéré d ’être composé d ’un type d ’objet

et une instance.

SMI définit le type d ’objets et non leur instance.


172

Structure des informations d ’Administration (SMI)

Un objet possède :

un nom (Descripteur + identificateur d ’objet)

une syntaxe utilisant ASN.1 (Abstract Syntaxe Notation)

une définition qui est un texte de description de l ’objet

un accès qui spécifie les droits d ’accès à l ’objet (read only,

read-write or not accessibe)

Un statut qui spécifie si l ’objet est courant (mondatory ou

optional) ou obsolète.

un schéma de codage BER (Basic Encoding Rules)


173


(SMI)

Les caractéristiques d ’un objet sont regroupées dans la définition

d ’une macro qui définie la structure d ’un type d ’objet :

OBJECT-TYPE MACRO ::=

BEGIN

TYPE NOTATION ::=

"SYNTAX" type (TYPE ObjectSyntax)

"ACCESS" Access

"STATUS" Status

VALUE NOTATION ::= value (VALUE ObjectName)

Access ::= "read-only »|"read-write" |"write-only" |"not-accessible’’

Status ::= "mandatory« |"optional« |"obsolete" |"deprecated"

END


174


(SMI)

atIndex OBJECT-TYPE

SYNTAX Integer

ACCESS read-write

STATUS mandatory

DESCRIPTION « Numéro d’interface logique."

::= { atEntry 1 }


175

Exemple de fichier ASN.1

Affectation de la branche general à la branche

accelance via l’OID 1

ACCELANCE-MIB DEFINITIONS ::= BEGIN

…

accelance MODULE-IDENTITY

…

::= { enterprises 9697 }

general OBJECT IDENTIFIER ::= { accelance 1 }

…

release OBJECT-TYPE

SYNTAX DisplayString

MAX-ACCESS read-only

STATUS current

DESCRIPTION

"Type d’OS utilisé"

::= { general 1 }

Identification d’un fichier ASN.1

Rattachement de la branche Accelance à la branche enterprises via

l’OID 9697

Définition de la variable realease

&

Rattachement de celle-ci à la branche general

Désormais nous pouvons accéder à la variable release de la manière suivante :

.iso.dod.internet.private.enterprises.accelance.general.release.0

176


Mécanismes de sécurité de SNMP

L ’autorisation est l ’intersection entre le mode d ’accès

défini par la communauté et l ’accès à l ’objet défini

parmi les caractéristiques de l ’objet.

Mode d’accès read-only read-write write-only not-accessible

read-only 3 3 1 1

read-write 3 2 4 1

où les classes sont définies par :

1 no right 3 get, get-next, trap

2 get, get-next, set, trap 4 set, trap


177

outils de supervision

Les logiciels libres

HP OpenView ou Tivoli d'IBM

Les logiciels payants

Microsoft Operations Manager 2005

IBM Tivoli Monitoring

BMC Patrol


178

outils de supervision

Cacti

Zabbix

Nagios

Zenoss


179

INSTITUT SUPERIEUR DES ETUDES TECHNOLOGIQUES DE SILIANA 180



dynamic host configuration protocol dhcp [rfc 2131 - 1997 ]...dynamic host configuration protocol...

Documents