Question authentification Windows [Résolu]

Signaler
-
 Moulinette -
Bonjour,

Je suis débutant en informatique et je commence à apprendre Kerberos et les différentes authentifications Windows.
J'ai compris que Kerberos servait de système centrale d'authentification et permettait de faire du SSO.
Seulement je me pose une question :

Dans le cas d'un AD, quand je me connecte sur un ordinateur du domaine (ouverte de session) avec mon compte utilisateur, j'ai du mal à comprendre quels protocoles interviennent... Kerberos, NTLM ? J'ai aussi entendu parler du service netlogon mais étant actuellement plutôt mauvais en anglais, j'ai du mal à trouver de la documentation claire.
Et dans le cas d'un ordinateur personnel qui se connecte appartenant à un WORKGROUP, comment se passe l'authentification sur le système ?

Merci

4 réponses

Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
391
Hello,

Il va falloir se forcer pour lire en anglais ;-)
ça prend du temps, mais il vaut mieux commencer maintenant.
Le souci en français : les traductions peuvent être mauvaises et on a du mal à trouver de l'info.

https://answers.microsoft.com/en-us/msoffice/forum/all/ntlm-vs-kerberos/d8b139bf-6b5a-4a53-9a00-bb75d4e219eb

https://blog.varonis.fr/explication-de-lauthentification-kerberos/


Rapidement ce qu'il faut retenir :
- Si Kerberos n'est pas possible, alors ça bascule sur NTLM. Cela se traduit par un popup qui demande un compte et un mot de passe.
On a souvent le cas du popup lorsqu'on utilise les IP dans les accès aux serveurs par exemple : \\192.168.10.10 au lieu de \\serveur01.domain.local.
Cela est du au Service Principal Name (SPN), l'adresse IP n'y est pas inscrite pour l'objet machine Serveur01.
D'où l'importance d'utiliser des noms longs FQDN pour Kerberos.
--> Notion à chercher : SPN.


- NTLM : le client qui s'authentifie n'a pas besoin d'avoir accès aux Domain Controllers (DC). C'est le serveur en face qui contactera les DCs pour vérifier l'authent.
Alors qu'en Kerberos, le client doit avoir accès direct aux DCs ; cela a un impact sur les flux réseaux.

- On dit que Kerberos est plus sécurisé que NTLM. Et de plus NTLM expose le mot de passe, puisque l'on doit en saisir un à chaque nouvelle authentification.

- NTLM est un protocole propriétaire de Microsoft, alors que Kerberos est un protocole Standard (on en fait sur Unix/Linux aussi).

-

Pour le cas des machines en Workgroup, ça sera du NTLM. Le serveur en cible va vérifier dans sa base locale, les infos compte/mot de passe. (on parle de base SAM).

-

Le processus à regarder pour l'authentification : LSASS coté Domain Controller
Le service Netlogon s'occupe de faire les authentifications en "gros" ; à regarder aussi winlogon.exe ...


Merci pour ces infos, je vais regarder tout ça en profondeur.

Quelque chose qui me chipote énormément et que je n'arrive pas à comprendre avant toute chose c'est cette notion de protocole... Ceux-ci n'interviennent que lors des communications réseau ou bien également localement ? Par exemple, dans le cas d'une machine qui se connecte purement localement (mon pc à la maison par exemple), il va y avoir vérification de mon mot de passe dans la base SAM mais cela se fait-il via un protocole ou pas ? Je cale réellement là-dessus...
Ce qui me fait tellement douter c'est que chaque fois que je regarde ce qu'est un protocole, ça parle de protocole réseau donc cela me fait supposer que localement, il n'y a pas de protocole utilisé (en imaginant par exemple que je n'ai pas de carte réseau)
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
391
Hello,

Localement une machine dispose de "localhost" (127.0.0.0/8) ; carte réseau ou pas, cette "boucle locale" existe... et donc les services et/ou protocoles fonctionnent aussi localement sur la machine elle même.

Vous pouvez très bien avec un serveur Web installé sur la machine, qui écoute sur 127.0.0.1 port 80 et y aller avec un navigateur... Il n'y a pas d'échange avec un réseau extérieur, mais ça reste une communication réseau.

il va y avoir vérification de mon mot de passe dans la base SAM mais cela se fait-il via un protocole ou pas ?
C'est la même cinématique, au lieu de viser une ressource externe, on vise une base locale, avec les mêmes composants (services/protocoles).
Merci énormément pour vos réponses, ça me soulage énormément. Il fallait que je pose ces bêtes questions haha !

Bonne soirée