none
Contrôleur de domaine dans une dmz RRS feed

  • Question

  • Bonjour,

    Je suis à la recherche de la meilleure solution à mon problème. 

    Nous avons un domaine (domaine.ch) et celui-ci se situe dans une dmz a. 

    Nous bénéficions d'autre dmz (B,C) lesquelles ont localement les noms d'utilisateurs et mot de passe.

    Mon but est de pouvoir synchroniser les informations d'identifications de certains utilisateurs pour diminuer la charge administratif de travail.

    De ce fait, j'ai créé une dmz (D) entre deux dans le but de sécurisé au maximum le domaine domaine.ch.

    Selon vous, quel rôle serait le plus adapté :

    a) Child domain (two-way trust not secure ?)

    b) RODC (Read only domain controler)

    c) Domain séparé et mise en place d'un trust one way avec la dmz principale

    Qu'en pensez-vous ? Quelle solution seraient la plus adaptée ?

    D'avance merci 

    jeudi 19 novembre 2015 14:39

Réponses

  • nous avons un réseau domaine.ch et d'autres multiples réseau.

    Un domaine peut se trouver sur plusieurs réseaux et un réseau peut contenir plusieurs domaine. Il y a un mélange d'information de nature différente pas facile à suivre...

    Ces "dmz" (DMZ B,C), sont atteintes par les utilisateurs et emploie les utilisateurs locaux.

    ??

    Je suppose que serveur X et Serveur Z contiennent des applications accessibles depuis internet ?

    Je suppose qu'il y a des comptes locaux sur serveur X et à Z et  que tu souhaite utiliser un compte du domaine pour l'accès à l'application. Dans ce cas il faut que tu configure ton application avec l'authentification Kerberos basé sur l'AD, mais cela dépend de l'application.

    Ce sont des applications Web ?

    Au départ j'étais partie sur un domaine enfant, mais celui-ci étant en trust two-way, j'ai préféré oublié cela.

    Je ne comprends ni l'idée de mettre un domaine enfant ni la question de l'approbation bi directionnelle.

    contrôleur de domaine de liaison ?

    Je ne connais pas le contrôleur de domaine de liaison.

    Si tu veux que l'application hébergé dans la DMZ permettent d'utiliser des comptes du domaine, il faut que tu configure l'application pour utiliser de l'authentification AD par exemple Kerberos. Dans ce cas tu peux limiter les flux entre ton serveur applicatif en DMZ et les contrôleurs de domaine.

    • Proposé comme réponse Emile Supiot lundi 23 novembre 2015 12:12
    • Marqué comme réponse Emile Supiot jeudi 26 novembre 2015 12:21
    samedi 21 novembre 2015 06:50
    Modérateur

Toutes les réponses

  • Nous avons un domaine (domaine.ch) et celui-ci se situe dans une dmz a. 

    Nous bénéficions d'autre dmz (B,C) lesquelles ont localement les noms d'utilisateurs et mot de passe.

    Je suppose qu'il s'agit de contrôleur de domaine de domaine différent sans doute dans des forêts différentes ?

    Un contrôleur de domaine dans une DMZ ... Du coup c'est plus vraiment une DMZ ...

    a) Child domain (two-way trust not secure ?)

    Dans ce cas le domaine enfant à ces propres comptes utilisateurs et ordinateurs et ils approuvent le domaine parent. Il s'agit d'un domaine séparé de la même forêt. Les contrôleurs de domaines doivent répliqués !!!

    b) RODC (Read only domain controler)

    Dans ce cas il s'agit d'un contrôleur de domaine qui ne contient qu'une partie des mots de passes des comptes pour des raisons de sécurité. Il ne pourra jamais devenir un contrôleur de domaine classique (lecture / écriture). L'usage est pour les petits sites dont l'accès physique est difficile à sécuriser.

    c) Domain séparé et mise en place d'un trust one way avec la dmz principale

    Un peu comme un domaine enfant sauf que l'approbation n'est pas mutuelle et qu'il n'y a pas de réplication entre les contrôleurs de domaines.

    Dans les 3 cas il n'y a pas de synchronisation des comptes.

    Pour l'instant je n'ai pas compris l'objectif. Des utilisateurs de doivent accéder à des ressources de B ou C, et/ OU inversement.

    Un peu plus de détail sur l'objectif serait utile.


    jeudi 19 novembre 2015 19:56
    Modérateur
  • Bonjour,

    Comme vous pouvez le voir dans cette image ci-jointe, nous avons un réseau domaine.ch et d'autres multiples réseau.

    Ces "dmz" (DMZ B,C), sont atteintes par les utilisateurs et emploie les utilisateurs locaux. Mon but est que les utilisateurs aient le même user et mot de passe que dans domaine.ch. Pour se faire, j'aimerais donc installer entre-deux, dans un réseau différent, un dc de liaison.

    Cela dans le but de sécurisé au maximum le domaine.ch car ces DMZ B et C sont atteintes depuis l'extérieur.

    Au départ j'étais partie sur un domaine enfant, mais celui-ci étant en trust two-way, j'ai préféré oublié cela.

    Ma question est donc, quelle serait la meilleure solution pour contrôleur de domaine de liaison ? RODC ?

    Avec mes meilleures salutations

    vendredi 20 novembre 2015 07:31
  • nous avons un réseau domaine.ch et d'autres multiples réseau.

    Un domaine peut se trouver sur plusieurs réseaux et un réseau peut contenir plusieurs domaine. Il y a un mélange d'information de nature différente pas facile à suivre...

    Ces "dmz" (DMZ B,C), sont atteintes par les utilisateurs et emploie les utilisateurs locaux.

    ??

    Je suppose que serveur X et Serveur Z contiennent des applications accessibles depuis internet ?

    Je suppose qu'il y a des comptes locaux sur serveur X et à Z et  que tu souhaite utiliser un compte du domaine pour l'accès à l'application. Dans ce cas il faut que tu configure ton application avec l'authentification Kerberos basé sur l'AD, mais cela dépend de l'application.

    Ce sont des applications Web ?

    Au départ j'étais partie sur un domaine enfant, mais celui-ci étant en trust two-way, j'ai préféré oublié cela.

    Je ne comprends ni l'idée de mettre un domaine enfant ni la question de l'approbation bi directionnelle.

    contrôleur de domaine de liaison ?

    Je ne connais pas le contrôleur de domaine de liaison.

    Si tu veux que l'application hébergé dans la DMZ permettent d'utiliser des comptes du domaine, il faut que tu configure l'application pour utiliser de l'authentification AD par exemple Kerberos. Dans ce cas tu peux limiter les flux entre ton serveur applicatif en DMZ et les contrôleurs de domaine.

    • Proposé comme réponse Emile Supiot lundi 23 novembre 2015 12:12
    • Marqué comme réponse Emile Supiot jeudi 26 novembre 2015 12:21
    samedi 21 novembre 2015 06:50
    Modérateur
  • Bonjour,

    Je tiens premièrement à m'excuse du temps de réponse mais je ne fus malheureusement plus présent ces 2 dernières semaines.

    En résumer, j'aimerais que les utilisateurs emploient les mêmes nom d'utilisateur et mot de passe pour les serveurs applicatifs que pour leur PC.

    Mais, ces serveurs applicatifs étant en DMZ et atteignable depuis l'extérieur, serait-il par mesure de sécurité préférable de rajouter une dmz supplémentaire sur laquelle les serveurs applicatifs se connecteraient en domaine ?

    Car malheureusement, les applications se base sur les utilisateurs présent dans le domaine ou sur la machine elle-même. Se ne sont pas des applications WEB pouvant user de Kerberos... 

    J'espère avoir fournit suffisament de détails.

    Merci beaucoup pour votre coup de main

    jeudi 3 décembre 2015 09:08
  • Votre question se rapproche de la notion de fédération d'identité et de SSO et la solution dépend de vos applications et de leur capacité a s'intégrer à ce type de mécanisme et non du nombre de DMZ que vous allez mettre en oeuvre.

    Les applications utilisent des compte Windows ? ou une base de compte propre à l'application.

    En générale le serveur Applicatif devrait être en LAN et en DMZ un reverse proxy .

    jeudi 3 décembre 2015 18:07
    Modérateur
  • Bonjour,

    Les applications utilisent en effet des comptes windows dans le but de s'authentifier. Le problème est que nous n'avons pas la main mise sur les applications et nous ne pouvons pas forcément demander du développement supplémentaire. 

    Je ne vois donc pas trop d'adaptation possible niveau applicatif.

    De ce fait, je cherche à synchroniser les utilisateurs AD de domaine.ch (lan) avec les serveurs applicatifs (DMZ).

    Le serveur applicatif et en DMZ pure et dur. C'est au niveau du FW que je définis les ports ouverts. Employer le reverse proxy signifierait passer outre la protection FW non ?

    Bonne journée

    vendredi 4 décembre 2015 07:18