Les relations d’approbation et les forêts

Les relations d’approbation et les forêts

Les relations d’approbation (trusts en anglais) sont un concept Kerberos qui a été repris par Microsoft dans Active Directory pour permettre à des utilisateurs d’un domaine domA d’accéder à des ressources du domaine domB. Le royaume Kerberos (domaine Active Directory) domB va déléguer au domaine domA l’authentification de l’utilisateur.

La relation d’approbation est très pratique pour faciliter le rapprochement de deux entreprises lors d’un rachat par exemple.

Toutefois, il y a un certain nombre de détournements possibles sur les relations d’approbations, et la manière la plus propre est souvent de fusionner les domaines. C’est la recommendation de Tranquil IT. Cela permet aussi de faciliter la gestion quotidienne de l’Active Directory car il n’y aura plus besoin de répliquer les GPO, etc.

Il y a un cas de figure où la relation d’approbation est recommandé par l”ANSSI : faire une relation d’approbation unidirectionnelle d’un domaine d’administration vers le domaine de production. Cette technique sert notamment à mieux protéger les comptes à privilèges en les isolant sur un autre domaine qui sera protégé.

Il existe plusieurs caractéristique pour une relation d’approbation :

  • Relation transitive ou intransitive ;

  • Relation bi-directionnelle ou uni-directionnelle ;

  • Relation raccourci ;

  • Etc ;

Les forêts de domaine

Le domaine Active Directory définit un domaine d’authentification commun basé sur le même baseDN Active Directory. Cela permet de définir des limites à ce domaine d’authentification pour les utilisateurs et leurs ressources.

Quand Microsoft a conceptualisé Active Directory il y a un peu plus de 20 ans, les performances des serveurs étaient celles des téléphones d’aujourd’hui. De plus la technologie Active Directory était nouvelle et était encore assez buggée.

Pour cela, Microsoft a imaginé de créer la notion de forêt qui permettait de mettre plusieurs domaines sous le même toit. Cela permettait de résoudre le problème de montée en échelle, et également (sur le papier) de faire simplement de la délégation de droits (eg. la filiale étrangère avec son propre domaine différent du domaine du siège).

En pratique, le premier problème a été résolu avec le temps. Aujourd’hui les technologies Microsoft-AD et Samba-AD sont matures et les serveurs sont beaucoup plus puissants. Ils permettent de faire des domaines avec des dizaines de millier d’utilisateur sans avoir besoin de les découper en plusieurs sous-domaines.

De plus l’isolation des droits d’administration en les séparant en sous-domaines n’a pas résisté à la créativité des attaquants, et aujourd’hui une personne ayant un accès Domain Admins d’un sous-domaine pourra facilement devenir Enterprise Admins, c’est à dire Administrateur de la totalité de la forêt.

Préconisations

Il est donc préférable aujourd’hui de consolider les différents domaines en un seul domaine plutôt que de garder plusieurs domaines avec des relations d’approbations. A partir d’Active Directory 2012, il est possible d’utiliser la technique de silos dans un même domaine pour isoler différentes populations d’utilisateur.