none
explication sur la copie de fichiers entre deux pc d'un même domaine ?

    Question

  • Bonjour,

    Me heurtant à un problème de perte de droits lors de la copie de fichiers entre 2 PC, je cherche à comprendre le fonctionnement de la copie de fichiers entre 2 PC sous windows XP Pro (quelque soit le SP) d'un même domaine.

    Plus précisement, j'ai un PC A qui va copier des fichiers dans un répertoire partagé sur un PC B.
    Les 2 PC sont sous NTFS et le paramétrage des répertoires utilise donc l'onglet partage et l'onglet sécurité.
    Les comptes autorisés à écrire, sont issu d'un annuaire réseau (LDAP).
    La copie des fichiers se fait via une application développée en Windev.
    Et les 2 PC sont donc sous le même domaine.

    Mes questions portent principalement sur la nature des échanges d'information entre les 2 PC et éventuellement le CPD ainsi que sur le protocole réseau utilisé.

    Dans mon cas de figure, est ce que, quand le PC A va lancer sa copie de fichier sur B, y a t-il des requêtes qui partent vers le CPD pour déterminer les droits d'accès au répertoire partagé ? Si oui, qui fait les requêtes au serveur (A ou B) ?
    Quid du propriétaire des fichiers copiés ?
    Quel est le protocole réseau utilisé pour la copie ? Est-ce uniquement du TCP/IP, du RDP ?

    ...

    Merci d'avance pour vos réponses,

    Cordialement,

    Y
    mardi 24 mars 2009 08:55

Réponses

  • Bonjour,

    voici de façon un peu simplifiée comment se déroule l'authentification entre un client membre d'un domaine et un serveur :

    Lorsqu'un utilisateur se logue sur un domaine, le DC étant KDC lui fournit un TGT (Ticket Granting Ticket) pour le service demandé.
    Ce TGT contient le SID de l'utilisateur et celui des groupes auxquels il appartient.

    Lorsque tu tentes d'accéder à un partage sur un serveur, ton client interroge le KDC pour lui demander de lui générer une paire de clés (dont une clé destinée au serveur distant demandé par le client et qui ne pourra être decryptée que par ce serveur, afin donc de l'identifier). Il s'agit d'un "Session Ticket(contenant le SID del'utilisateur et de ses groupes entre autres).
    Le client envoie alors le ticket de session généré au serveur distant.


    Le serveur de ressource recoit alors le ticket, décrypte sa partie et interprète la partie destinée au client. (tout ça avec une notion de "timestamp" limité pour éviter d'avoir le temps de générer un faux ticket de session).


    Ce ST est alors présenté au serveur de fichiers et celui-ci l'interprète pour décider s'il donne accès ou non à la ressource suivant les DACL définis. Le Session Ticket a une durée de vie de quelques heures (8h par défaut de mémoire). Ce qui veut dire que l'authentification citée plus haut ne sera pas rejouée dans une fenêtre de 8h après la 1ere authentification. (Le temps est paramétrable par GPO).

    Tu trouveras plus d'infos ici :

    http://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx
    http://technet.microsoft.com/en-us/library/bb727080.aspx

    Le protocole utilisé pour le partage de fichiers est généralement du netbios ou netbios sur tcpip. Les ports utilisés sont 137/udp 138/udp 139/tcp et 445/tcp

    A bientôt
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mardi 24 mars 2009 09:56
  •  Je décris ici l'authentification Kerberos en fait, utilisé au sein d'un domaine Active Directory et donc oui c'est le même principe pour des ressources accédés entre deux postes clients.
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    • Marqué comme réponse yerosnimus mardi 24 mars 2009 12:50
    mardi 24 mars 2009 10:09
  • Si tu as un doute effectue une analyse réseau mais je suis quasi sûr que tu utilises du Kerberos.

    Et sinon tous les DC sont KDC donc pas de souci de ce coté là non plus ;)
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    • Marqué comme réponse yerosnimus mardi 24 mars 2009 16:40
    mardi 24 mars 2009 15:44

Toutes les réponses

  • Bonjour,

    voici de façon un peu simplifiée comment se déroule l'authentification entre un client membre d'un domaine et un serveur :

    Lorsqu'un utilisateur se logue sur un domaine, le DC étant KDC lui fournit un TGT (Ticket Granting Ticket) pour le service demandé.
    Ce TGT contient le SID de l'utilisateur et celui des groupes auxquels il appartient.

    Lorsque tu tentes d'accéder à un partage sur un serveur, ton client interroge le KDC pour lui demander de lui générer une paire de clés (dont une clé destinée au serveur distant demandé par le client et qui ne pourra être decryptée que par ce serveur, afin donc de l'identifier). Il s'agit d'un "Session Ticket(contenant le SID del'utilisateur et de ses groupes entre autres).
    Le client envoie alors le ticket de session généré au serveur distant.


    Le serveur de ressource recoit alors le ticket, décrypte sa partie et interprète la partie destinée au client. (tout ça avec une notion de "timestamp" limité pour éviter d'avoir le temps de générer un faux ticket de session).


    Ce ST est alors présenté au serveur de fichiers et celui-ci l'interprète pour décider s'il donne accès ou non à la ressource suivant les DACL définis. Le Session Ticket a une durée de vie de quelques heures (8h par défaut de mémoire). Ce qui veut dire que l'authentification citée plus haut ne sera pas rejouée dans une fenêtre de 8h après la 1ere authentification. (Le temps est paramétrable par GPO).

    Tu trouveras plus d'infos ici :

    http://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx
    http://technet.microsoft.com/en-us/library/bb727080.aspx

    Le protocole utilisé pour le partage de fichiers est généralement du netbios ou netbios sur tcpip. Les ports utilisés sont 137/udp 138/udp 139/tcp et 445/tcp

    A bientôt
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mardi 24 mars 2009 09:56
  • Tout d'abord merci pour cette explication et pour les liens, voilà une saine lecture et de quoi me faire travailler mon anglais :-)

    Est-ce que le fonctionnement que tu décris est le même quand il s'agit d'un poste client qui tente d'accéder à un partage situé sur un autre poste client, tous les deux membres du domaine ? Le partage étant configuré avec des comptes utilisateurs issus d'un annuaire réseau (et non pas en local) ?

    Cordialement,

    Y.
    mardi 24 mars 2009 10:04
  •  Je décris ici l'authentification Kerberos en fait, utilisé au sein d'un domaine Active Directory et donc oui c'est le même principe pour des ressources accédés entre deux postes clients.
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    • Marqué comme réponse yerosnimus mardi 24 mars 2009 12:50
    mardi 24 mars 2009 10:09
  • D'accord, en fait notre serveur qui fait office de CPD est un serveur linux avec un annuaire LDAP, la partie "émulation CPD"est assurée par le classique SAMBA. Sommes nous dans le cadre de l'authentification Kerberos ou existe t-il d'autres schemas ?

    Coordialement,

    Y.
    mardi 24 mars 2009 10:35
  •  Je n'ai pas vérifié avec un serveur Samba mais la norme Kerberos est la meme pour tous donc uu es toujours dans le meme cadre à priori ;)
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mardi 24 mars 2009 10:39
  • Encore merci pour ces réponses, je vais chercher des infos sur l'implémentation Kerberos dans SAMBA, j'ai commencé à lire un des liens que tu m'as fournis, c'est très intéressant et instructif.

    @+

    Y.
    mardi 24 mars 2009 10:45
  • Content de t'avoir aidé :)

    Tu peux "Marquer comme réponse" les posts que tu as jugé utile pour que le forum y gagne en lisibilité s'il te plait ?

    A bientôt
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mardi 24 mars 2009 10:48
  • Bonjour,

    je reviens pour apporter une précision à ma demande, dans notre environnement, le DC n'est pas KDC, l'authentification ne se faisant pas par Kerberos mais par LDAP (sans TLS non plus).
    Avec cette précisions, quelles sont les différences par rapport à la première réponse (cas d'un serveur Kerberos) ?

    Cordialement,

    Y.
    mardi 24 mars 2009 15:12
  • Si tu as un doute effectue une analyse réseau mais je suis quasi sûr que tu utilises du Kerberos.

    Et sinon tous les DC sont KDC donc pas de souci de ce coté là non plus ;)
    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    • Marqué comme réponse yerosnimus mardi 24 mars 2009 16:40
    mardi 24 mars 2009 15:44