6.8. Resynchronisation Active Directory®

6.8.1. Vue d’ensemble

L’une des grandes forces d’IDERI note est son intégration dans Active Directory®, les frameworks middleware Windows tels que les appels de procédure à distance MS et la sécurité intégrée de Windows. La bonne combinaison de ces technologies dans la partie côté serveur IDERI note ainsi que son côté client permettent d’exécuter le client IDERI note avec des capacités d’authentification unique Windows après une connexion utilisateur, avec le client IDERI note s’exécutant au nom de l’utilisateur connecté et s’authentifiant avec l’identité de l’utilisateur connecté sur le réseau par rapport au serveur IDERI note.

Attention

Resynchronisation Active Directory® pour le lecteur hâtif

La resynchronisation Active Directory® permet aux clients IDERI note déjà connectés à leur serveur IDERI note pour utiliser les changements dans leur appartenance à un groupe Active Directory® pour la récupération des messages même si ces modifications ont été effectuées après la connexion de l’utilisateur ou l’établissement de la connexion avec le serveur IDERI note.

Pour une resynchronisation Active Directory® pour avoir un effet sur les clients déjà connectés à leur serveur IDERI note et sur les messages nouvellement créés, les opérations suivantes doivent être effectuées exactement dans cet ordre :

  • Effectuez d’abord vos modifications dans Active Directory®.
  • Ensuite, effectuez la resynchronisation du client à partir de l’administrateur IDERI note.
  • Comme dernière étape, créez de nouveaux messages qui devraient utiliser les informations d’appartenance au groupe de clients mises à jour.

Pour des informations détaillées sur la resynchronisation Active Directory® dans IDERI note, continuez la lecture dans les sections suivantes :

6.8.2. Cache de ticket Kerberos et informations de session de connexion périmées

Le client IDERI note, lors de l’authentification sur le réseau par rapport à un serveur IDERI note, utilise les fonctionnalités intégrées du protocole middleware sous-jacent utilisé pour la connexion, qui est MS RPC. Une partie de ce processus d’authentification et de connexion consiste à créer une session de connexion réseau sur le serveur IDERI note pour chaque connexion client. Cette session de connexion réseau contient des informations sur l’identité de l’entité de sécurité Active Directory® (utilisateur ou ordinateur Active Directory®) exécutant le client et l’appartenance à un groupe Active Directory®. Ces deux types d’informations déterminent si un nouveau message doit être affiché pour l’utilisateur. L’appartenance au groupe Active Directory® de l’entité de sécurité est déterminée au moment même où l’utilisateur démarre une session de connexion interactive avec les informations d’identification Active Directory® de l’utilisateur, remplissant ainsi le “cache de ticket Kerberos” de la session de connexion client interactive. Chaque fois qu’un programme exécuté dans cette session d’ouverture de session effectue maintenant une demande réseau authentifiée et sortante, la sécurité intégrée de Windows présentera ce cache de ticket Kerberos à la ressource réseau de manière sécurisée et la ressource réseau utilisera ces informations précédemment mises en cache afin de déterminer ce type d’accès à accorder pour la demande de réseau de ce programme. À cet égard, le client IDERI note ne se comporte pas différemment des autres programmes, comme par exemple explorer.exe lors du mappage d’un lecteur réseau. Il n’y a pas de mécanisme intégré dans la sécurité Windows pour toujours présenter les informations d’appartenance au groupe les plus récentes à une ressource distante, car cela entraînerait une charge réseau excessive entre le client et son contrôleur de domaine pour chaque connexion réseau authentifiée initiée par le client. Pour la plupart des scénarios dans un environnement Active Directory®, ce schéma utilisant des informations mises en cache à partir du cache de tickets Kerberos s’est avéré être un bon compromis entre les performances et la précision de la résolution de groupe, étant donné que les changements d’appartenance à un groupe Active Directory® ne sont généralement effectués qu’après une évaluation minutieuse des conséquences à une faible fréquence par rapport à la durée habituelle d’une session de connexion client.

Cependant, ce schéma se fait au détriment de moins de flexibilité lorsqu’il s’agit de changements dynamiques dans une adhésion au groupe Active Directory® après les client IDERI note sont déjà connectés à leur serveur IDERI note. Ces modifications seront généralement répercutées uniquement sur la session de connexion réseau du client sur le serveur IDERI note si l’utilisateur se déconnecte et se reconnecte, de sorte que la session de connexion réseau précédente du client sur le serveur est fermée et recréée, cette fois avec le cache de ticket Kerberos mis à jour pendant le processus de connexion interactive du principal, après avoir fourni les informations d’identification Active Directory® à nouveau. Pour les utilisateurs de l’administrateur IDERI note, il est difficile d’appliquer des modifications ad hoc aux informations sur l’appartenance aux groupes d’utilisateurs Active Directory® et ensuite créer ou modifier le messages IDERI note dans l’espoir que ces récents changements dans Active Directory® aura un effet sur la réception et la livraison des messages pour les clients actuellement connectés. Nous allons illustrer ce dilemme avec un exemple simple:

Considérez le scénario du chapitre 4.2 et 4.5 où nous avons envoyé un certain nombre de messages IDERI note à notre utilisateur fictif Albert Tross. Imaginez maintenant que tandis que le client IDERI note d’Albert Tross est déjà connecté au serveur IDERI note fonctionnant sur le serveur membre sv02.ideri.local, un nouveau Active Directory® Le groupe nommé “IDERI note users” est créé avec Albert Tross en étant membre. Après la création du groupe, un nouveau message IDERI note est créé qui est destiné au nouveau groupe nommé “IDERI note users”. Mais le programme client IDERI note exécuté sur le bureau d’Albert Tross n’affichera pas ce nouveau message une fois son intervalle d’interrogation écoulé. Que se passe-t-il ici?

Ce que nous voyons dans cet exemple sont les effets d’un cache de ticket Kerberos périmé associé à la session d’ouverture de session interactive d’Albert Tross. Étant donné que les informations d’appartenance au groupe de la mémoire cache des tickets Kerberos ont été présentées à un serveur IDERI note avant les modifications dans une adhésion à un groupe Active Directory®, le serveur IDERI note ne sait rien de ces changements et n’enverra donc pas les informations du message au bureau d’Albert Tross.

6.8.3. Purge du cache des tickets Kerberos à partir de l’administrateur IDERI note

Pour que le serveur IDERI note fonctionne avec des informations mises à jour sur l’appartenance à un groupe Active Directory® d’Albert Tross, un certain nombre de choses doivent se produire:

  • La session de connexion réseau actuelle d’Albert Tross sur le serveur IDERI note doit être fermé.
  • Certains processus en cours d’exécution dans la session d’ouverture de session interactive d’Albert Tross sur l’ordinateur client doivent invalider (“purger”) le cache de tickets Kerberos de cette session d’ouverture de session et le recréer avec les informations les plus à jour à extraire du contrôleur de domaine.
  • Le processus client IDERI note exécuté dans la session d’ouverture de session interactive d’Albert Tross doit recréer sa session d’ouverture de session réseau avec son serveur IDERI note, présentant cette fois le cache de ticket Kerberos mis à jour au serveur. Dans notre exemple fictif, cela inclurait la nouvelle adhésion de groupe d’Albert Tross dans le groupe Active Directory® “Utilisateurs IDERI note”.

Toutes ces étapes sont effectuées automatiquement lorsque vous appuyez sur le bouton du ruban intitulé «Resynchroniser les clients avec AD» dans le champ du ruban «Accueil - Client» de l’administrateur IDERI note. Cependant, le fait d’appuyer sur ce bouton du ruban n’effectue pas instantanément de communication avec les clients connectés avec le serveur IDERI note. Au lieu de cela, il “marque” uniquement les informations du client actuellement connecté sur le serveur IDERI note en tant que connexion nécessitant une resynchronisation Active Directory®, ce qui rend cette opération très rapide. Maintenant, si l’intervalle d’interrogation s’est écoulé pour un tel client dont la connexion est marquée comme nécessitant une resynchronisation Active Directory®, le client tentera d’effectuer une mise à jour de son état de message comme d’habitude, ne sachant pas que le serveur le considère comme nécessitant une resynchronisation Active Directory®. Cependant, le serveur refusera désormais de mettre à jour l’état du client et renverra à la place un code d’erreur spécial au client, indiquant que le client doit effectuer les étapes décrites ci-dessus : Fermer la session en cours à un serveur IDERI note, purger le cache des tickets Kerberos et enfin se reconnecter au serveur IDERI note. Une fois que le client a effectué ces étapes, il aura une session de connexion réseau sur le serveur IDERI note avec sa version la plus récente des informations sur l’appartenance au groupe Active Directory®. Revenant à notre exemple ci-dessus avec le groupe nouvellement créé “Utilisateurs de notes IDERI”, le message destiné à ce groupe est affiché sur le bureau d’Albert Tross, si la resynchronisation du client IDERI note de l’intérieur de l’administrateur IDERI note est effectuée après la modification de l’appartenance au groupe Active Directory® d’Albert Tross, mais avant la création du message destiné au nouveau groupe.

6.8.4. Limites

La purge du cache de tickets Kerberos ne fonctionne avant tout que pour les clients s’exécutant dans un environnement Kerberos entièrement fonctionnel. Cela exclut les environnements de groupe de travail purs ainsi que les connexions client qui, pour une raison quelconque, utilisent NTLM comme protocole d’authentification. En outre, la purge du cache du client Kerberos affecte uniquement les connexions sortantes du point de vue de l’ordinateur exécutant le programme client IDERI note. Par conséquent, si un client IDERI note s’exécute sur le même ordinateur que le serveur IDERI note, la purge du cache de ticket Kerberos n’aura pas l’effet souhaité de créer les informations d’appartenance au groupe de clients les plus à jour car sous le capot, le client établira implicitement une connexion locale à son serveur IDERI note, pas une connexion sortante. Dans ce scénario, il n’existe aucun autre moyen pour les clients de mettre à jour leurs informations d’appartenance à un groupe sur le serveur IDERI note que de vous déconnecter et de vous reconnecter.

Une autre limitation entre en jeu lors de l’envoi de messages d’alerte aux clients après leur resynchronisation avec Active Directory®. Lors d’une opération d’envoi de message dans IDERI note, le client est uniquement invité à effectuer une mise à jour des informations d’état avec son serveur IDERI note à l’avance, de sorte que le client tire son état le plus récent de son serveur avant la fin de l’intervalle d’interrogation. Ainsi, dans ce cas, seuls les clients sont invités à effectuer une mise à jour des informations d’état, qui sont considérées par le serveur comme des destinataires légitimes avant toute modification d’appartenance à un groupe dans Active Directory®. Dans notre exemple ci-dessus, où un nouveau groupe est créé et Albert Tross est fait membre de ce groupe, poussant le message vers le nouveau groupe après avoir effectué la resynchronisation Active Directory® du client entraînera l’affichage du nouveau message à Albert Tross, mais uniquement après l’écoulement de l’intervalle d’interrogation pour le client IDERI note s’exécutant sur le bureau d’Albert Tross.

6.8.5. Les effets de la purge du cache des tickets Kerberos sur d’autres processus

La purge du cache des tickets Kerberos affecte uniquement les connexions sortantes nouvellement créées qui sont authentifiées à l’aide des mécanismes de sécurité Windows intégrés. Les connexions sortantes existantes ou les ressources réseau déjà ouvertes ne sont pas affectées.

6.8.6. Sécurité

Étant donné que cette fonctionnalité peut générer beaucoup plus de trafic entre les ordinateurs clients et leur contrôleur de domaine et affectera également les performances du serveur IDERI note lui-même, tous les clients connectés se déconnectant et se reconnectant, son utilisation est régie par un descripteur de sécurité qui peut être affiché et modifié à partir du bouton du ruban intitulé “Synchronisation AD” dans la section “Sécurité” de l’onglet du ruban “Paramètres”. Par défaut, seuls les administrateurs du serveur IDERI note dispose des droits d’accès pour effectuer une resynchronisation Active Directory® client, mais cela peut facilement être adapté en utilisant l’interface utilisateur de sécurité sur ce bouton de ruban. Le droit d’accès qui autorise ou refuse la possibilité d’effectuer une resynchronisation Active Directory® du client est nommée “Resynchroniser les clients avec AD”.