7.6. Mode d’Adressage¶
Ce chapitre est uniquement pertinent pour les environnements exécutant l’édition professionnelle IDERI note. Donc, si votre environnement exécute l’édition lite IDERI note ou l’édition standard, vous pouvez ignorer tout ce chapitre.
Avant la version 3 IDERI note, le client IDERI note n’avait que la possibilité de s’authentifier par rapport à son serveur IDERI note comme utilisateur Active Directory® qui exécute le client IDERI note. Par conséquent, seuls les messages destinés à l’utilisateur ou à un groupe dont l’utilisateur est membre seraient éventuellement affichés sur le bureau de l’utilisateur. Bien que ce schéma centré sur l’utilisateur fonctionne bien pour de nombreuses organisations utilisant IDERI note, il présente l’inconvénient que la personne qui crée un message IDERI note nécessitait une connaissance a priori des utilisateurs connectés aux ordinateurs à notifier, si les utilisateurs devaient être notifiés en fonction de l’emplacement de leur ordinateur ou de l’appartenance à un groupe ou dans des environnements de travail par équipes.
Prenons le cas où la personne qui crée un message souhaite notifier tout utilisateur connecté à un certain ordinateur ou à un groupe d’ordinateurs, quel que soit l’utilisateur réellement connecté à un tel ordinateur. Un exemple pourrait être un message d’alerte à envoyer à tous les ordinateurs du troisième étage du bâtiment de l’organisation. Même si tous les ordinateurs de tous les étages sont soigneusement organisés dans des groupes Active Directory®, il n’y avait aucun moyen dans toutes les versions IDERI note avant la version 3 pour adresser ces ordinateurs individuellement via leurs noms ou groupes d’ordinateurs Active Directory®. Au lieu de cela, la personne qui crée le message IDERI note nécessitait une connaissance a priori des utilisateurs Active Directory® connectés sur les ordinateurs du troisième étage pour que le message apparaisse sur ces ordinateurs. Entrez version 3 IDERI note édition professionnelle : A partir de cette édition, le client (inotecln.exe) a la capacité de s’authentifier sur son serveur IDERI note dans les deux identités : Le compte utilisateur Active Directory® avec lequel inotecln.exe s’exécute et le compte d’ordinateur Active Directory® de l’ordinateur sur lequel le client IDERI note est installé. Authentification contre le serveur IDERI note utilisant le compte d’ordinateur Active Directory® est réalisé via le service inclmgmt, exécuté en tant que NetworkService, qui associe les connexions clientes par utilisateur au serveur IDERI note avec le compte d’ordinateur Active Directory® de l’ordinateur sur lequel l’utilisateur est connecté.
Cette capacité permet au client IDERI note pour recevoir des messages destinés à la fois à l’utilisateur connecté et à l’ordinateur sur lequel l’utilisateur est connecté.
7.6.1. Vue d’ensemble¶
Afin de permettre la création de messages destinés à la fois aux utilisateurs et aux ordinateurs, à partir de la version 3 IDERI note, chaque message a une nouvelle propriété, son mode d’adressage. Avant de plonger dans les détails et les limites de l’implémentation, nous allons d’abord donner un aperçu rapide de ces modes d’adressage et une brève explication de leurs effets sur la distribution des messages du point de vue du serveur IDERI note et réception de messages du point de vue du client IDERI note. Les lecteurs intéressés pourraient ensuite continuer avec le reste de ce chapitre afin de comprendre la motivation derrière l’introduction des modes d’adressage et les limitations qui accompagnent chacun d’eux.
Les trois modes d’adressage suivants sont disponibles pour les messages créés avec IDERI note version professionnelle, chaque message IDERI note doit implicitement avoir l’un d’entre eux sélectionné comme mode d’adressage :
- Envoyer un message aux utilisateurs uniquement: les messages créés avec ce mode ne sont jamais envoyés par le serveur IDERI note vers un client IDERI note suite à une vérification d’accès par rapport à l’identité du compte d’ordinateur Active Directory® de la connexion client. De même, lorsque vous utilisez des exclusions de messages dans ce mode d’adressage, assurez-vous de ne pas ajouter de comptes d’ordinateurs ou de groupes avec des comptes d’ordinateurs uniquement à la liste d’exclusion de réception de messages. Ils n’auront aucun effet sur la réception du message.
- Envoyer un message aux utilisateurs et aux ordinateurs: lors de l’utilisation de ce mode d’adressage, le client reçoit des messages destinés à l’utilisateur ou au compte d’ordinateur sur lequel l’utilisateur est connecté. De même, lorsque l’utilisation de messages exclut dans ce mode d’adressage, la réception d’un message est refusée si l’utilisateur se voit refuser la réception du message ou l’ordinateur auquel l’utilisateur est connecté.
- Envoyer un message aux ordinateurs uniquement: les messages créés avec ce mode ne sont jamais envoyés par le serveur IDERI note vers un client IDERI note suite à une vérification d’accès par rapport à une identité du compte utilisateur Active Directory® de la connexion client. De même, lorsque vous utilisez des exclusions de messages dans ce mode d’adressage, assurez-vous de ne pas ajouter de comptes d’utilisateurs ou de groupes avec des comptes d’utilisateurs uniquement à la liste d’exclusion de réception de messages. Ils n’auront aucun effet sur la réception du message.
7.6.2. Contexte technique¶
Afin d’authentifier simultanément à la fois l’identité d’un utilisateur et l’identité de l’ordinateur Active Directory®, où l’utilisateur est connecté, contre les messages de descripteur de sécurité auf, l’identité de l’ordinateur Active Directory® est associé à la connexion utilisateur lors de son établissement de manière cryptographiquement sécurisée. Ainsi, après avoir réussi à établir une connexion utilisateur à un serveur IDERI note fonctionnant en mode de licence professionnel, le serveur peut effectuer une vérification d’accès par rapport au descripteur de sécurité pour les messages nouveaux ou mis à jour pour les deux identités en même temps pour les messages avec le mode d’adressage défini sur “Envoyer un message aux utilisateurs et aux ordinateurs”. Pour les messages dont le mode d’adressage est défini sur “Envoyer le message aux ordinateurs uniquement”, seul les informations de compte d’ordinateur Active Directory® associées à une connexion utilisateur sont évaluées afin d’effectuer une vérification d’accès. Pour les messages dont le mode d’adressage est défini sur «Envoyer un message aux utilisateurs uniquement», seules les informations de connexion spécifiques à l’utilisateur d’une connexion client sont évaluées lors d’une vérification d’accès pour un message nouveau ou mis à jour. L’utilisation de ce schéma permet désormais d’envoyer des messages aux ordinateurs ou groupes d’ordinateurs Active Directory®, non seulement aux utilisateurs ou groupes d’utilisateurs Active Directory®.
7.6.3. Justification de l’introduction des modes d’adressage¶
Ce paragraphe explique pourquoi l’introduction des modes d’adressage lors de l’adressage objets informatiques Active Directory® avec des messages IDERI note est nécessaire. À cette fin, nous considérons simplement un instant ce qui se passerait, s’il n’existait pas de facilité telle que les modes d’adressage lors de l’adressage à la fois des ordinateurs et des utilisateurs. Le simple fait de récupérer des messages de toute sorte en utilisant les deux identités décrites dans le paragraphe précédent d’une manière si naïve révélera rapidement son propre ensemble de problèmes: considérons le cas où un message a été envoyé dans le passé à un groupe Active Directory® qui contient à la fois des utilisateurs et des ordinateurs. Ce message doit maintenant être réactivé avec l’heure actuelle comme heure de début et une heure future comme heure de fin, mais sans aucun changement dans l’ensemble des destinataires et les exclut. Le même ensemble d’utilisateurs devrait donc recevoir le message comme lors de sa dernière envoi. Supposons que l’utilisateur adam.sam ne soit pas membre de ce groupe, mais le poste de travail auquel il s’est connecté est membre de ce groupe. Avant la version 3.0 du client IDERI note, adam.sam ne recevrait jamais ce message, car le client s’authentifierait uniquement à l’aide de son compte utilisateur et du serveur IDERI note n’enverrait jamais le message car adam.sam n’est pas membre du groupe susmentionné. Maintenant, avec la version 3, le client IDERI note géré par adam.sam recevrait désormais ce message lorsque le client IDERI note s’authentifie en tant que compte d’ordinateur par rapport à un serveur IDERI note dans la deuxième étape. Un autre cas, cette fois avec des messages existants au lieu de messages réactivés serait une série de messages de bienvenue pour les nouveaux employés. La première fois qu’un nouvel employé se connecte à son poste de travail, elle reçoit un tas de messages contenant des instructions supplémentaires ou un texte de bienvenue. Ces messages seraient différents pour différents groupes Active Directory®. Considérons à nouveau le cas où il y a les deux comptes d’utilisateurs Active Directory® et comptes d’ordinateurs Active Directory® dans un groupe qui est utilisé comme destinataire du message pour un tel message de bienvenue: Si le compte d’ordinateur Active Directory® de l’ordinateur qu’un nouvel employé utilise est qualifié pour la réception d’un message simplement parce que ce compte d’ordinateur se trouve dans un groupe qui est maintenant avec la version 3 du client IDERI note est évalué par rapport à compte d’ordinateur Active Directory® que le nouvel employé utilise, le message sera affiché à l’utilisateur. Les deux exemples montrent qu’une telle implémentation naïve serait un changement de comportement inattendu dans le produit. C’est l’une des nombreuses raisons pour lesquelles, à partir de la version 3 IDERI note, chaque message a l’un des trois modes d’adressage :
- Envoyer uniquement un message aux utilisateurs
- Envoyer un message aux utilisateurs et aux ordinateurs
- Envoyer uniquement un message aux ordinateurs
Afin d’éviter le changement de comportement mentionné précédemment, tous les messages créés sur un serveur IDERI note avant une mise à jour vers la version 3 ont implicitement le premier mode d’adressage: “Envoyer uniquement un message aux utilisateurs”. Tout message créé avec l’édition standard IDERI note possède également ce mode d’adressage (en fait, le serveur IDERI note refuse de créer des messages dans tout autre mode d’adressage lors de l’exécution avec une clé de licence d’édition standard). L’accès à un message créé avec ce mode d’adressage ne sera évalué que par rapport à l’identité d’utilisateur Active Directory® d’une connexion client, et non par rapport à une partie de compte d’ordinateur Active Directory® associée à une connexion client. De cette façon, il n’y a aucun changement de comportement pour les anciens messages créés avant la mise à jour de la version 3.0. Bien qu’à première vue, ce mode d’adressage ressemble à un mode hérité pour les environnements IDERI note qui ont été mis à jour à partir des versions précédentes afin d’éviter tout changement de comportement, il existe d’autres cas d’utilisation légitimes qui seront illustrés plus loin dans ce chapitre, en dehors du mode de licence d’édition standard.
Le troisième mode, «Envoyer uniquement un message aux ordinateurs», fonctionne de la même manière: l’accès aux messages créés à l’aide de ce mode ne sera évalué que par rapport à une identité de compte d’ordinateur Active Directory® associée à une connexion client.
Le deuxième mode, “Envoyer un message aux utilisateurs et aux ordinateurs”, est celui qui fait l’attribution des messages à la fois aux comptes d’utilisateurs et d’ordinateurs Active Directory® possibles et méritent un examen plus approfondi : l’accès aux messages créés avec ce mode est évalué à la fois par rapport à l’identité de l’utilisateur et à l’identité de l’ordinateur Active Directory® dans la connexion client. Si l’une de ces identités se voit accorder l’accès et qu’aucune d’entre elles n’est explicitement refusée, l’accès aux messages sera accordé.
Lorsque vous utilisez la sémantique de refus afin d’exclure des utilisateurs ou des ordinateurs de la réception d’un message, vous souhaiterez peut-être garder à l’esprit les points suivants:
Lors de la création d’un message avec le mode d’adressage “Envoyer uniquement un message aux utilisateurs”, l’ajout d’un destinataire ou d’une exclusion pour un compte d’ordinateur ou un groupe Active Directory® composé uniquement de comptes informatiques Active Directory®, n’a aucun effet sur la réception des messages du client IDERI note avec la connexion interactive du compte d’utilisateur Active Directory®.
Inversement, lors de la création d’un message avec le mode d’adressage “Envoyer uniquement le message aux ordinateurs”, l’ajout d’un destinataire ou d’une exclusion pour un compte d’utilisateur ou un groupe Active Directory® composé uniquement de comptes d’utilisateurs Active Directory®, n’a aucun effet sur la réception des messages du client IDERI note avec le compte d’ordinateur Active Directory®.
7.6.4. Adressage des clients s’exécutant sur l’ ordinateur serveur IDERI note¶
Bien qu’il s’agisse d’un scénario inhabituel, rien ne vous empêche d’exécuter le client IDERI note sur le même ordinateur que le serveur IDERI note . Cependant, lors de l’exécution de l’édition professionnelle IDERI note dans une telle configuration, des considérations particulières doivent être appliquées lors de l’adressage du compte informatique Active Directory® du serveur IDERI note afin d’adresser les utilisateurs connectés sur le serveur IDERI note. Considérez l’environnement décrit dans la section 4 où nous supposions que le serveur IDERI note est installé sur un serveur membre Active Directory® avec le nom DNS sv01.note.dev. Afin de répondre à un compte d’ordinateur Active Directory® de ce serveur, nous supposerions naïvement que cela est accompli en ajoutant le nom du compte d’ordinateur de cet ordinateur, SV01$, à la liste des destinataires. Ce n’est cependant pas le cas et le cas particulier du serveur IDERI note est une exception importante lors de l’adressage de comptes informatiques Active Directory®. La raison en est la façon dont l’authentification fonctionne localement et sur le réseau dans la famille de systèmes d’exploitation Windows: tout service inclmgmt d’un autre ordinateur, exécuté dans le cadre du client IDERI note, s’authentifiera contre service IDERI note sur le serveur IDERI note comme ordinateur du compte d’ordinateur Active Directory®. En revanche, le service inclmgmt qui s’exécute localement sur le serveur IDERI note, effectue une authentification locale avec son compte intégré, qui est NetworkService. Le nom de compte pour NetworkService est localisé pour la langue du système d’exploitation utilisée, la localisation anglaise est “NT AUTHORITY\NETWORK SERVICE”, la localisation allemande est “NT-AUTORITÄT\NETZWERKDIENST”.
Par conséquent, afin de résoudre le problème de compte informatique Active Directory® du serveur IDERI note, le compte NetworkService au lieu du serveur IDERI note d’un compte d’ordinateur Active Directory® doit être ajouté aux destinataires d’un message ou à une liste d’exclusion. Les outils d’interface graphique ou GUI (Graphical User Interface) tels que l’administrateur IDERI note applique une heuristique afin de détecter l’ajout du serveur IDERI note d’un compte d’ordinateur Active Directory® aux destinataires ou exclure la liste d’un message et tentera de convertir automatiquement le nom de compte d’ordinateur Active Directory® à NetworkService pendant que l’utilisateur interagit avec l’interface graphique. Cependant, cela ne couvre toujours pas un autre cas où l’exécution du client IDERI note sur le même ordinateur que le serveur IDERI note a des implications particulières: Résolution du compte informatique Active Directory® du serveur IDERI note au moyen d’un groupe Active Directory® dont cet ordinateur est membre, ne fonctionne pas pour la même raison: le service inclmgmt qui s’exécute localement sur le serveur IDERI note effectue une authentification locale avec le compte NetworkService qui n’est membre d’aucun groupe Active Directory®. Par conséquent, lors de l’adressage d’un groupe Active Directory® dont le serveur IDERI note est membre, le serveur IDERI note doit être adressé de manière explicite et via son compte local intégré NetworkService. La même règle que pour la liste des destinataires du message s’applique à la liste d’exclusion de messages.