Résumé SNMP - RFC PDF

Summary

Ce document présente le protocole SNMP (Simple Network Management Protocol). Il décrit les concepts fondamentaux, les différentes versions et les requêtes utilisées. Le document se concentre sur les aspects théoriques du protocole.

Full Transcript

Motivation
Chapitre 2: Protocole SNMP Nécessité d’avoir un protocole permettant de remonter des
« Simple Network Management informations sur l’activité des différentes ressources du
réseau notamment les serveurs, les routeurs, les switchs, etc.
Protocol »
Plan
1. Introduction.
trafics
2. Les concepts de SNMP
Ethernet
3. Structure of Management Information (SMI)
Routeur
4. Management Information Base (MIB)
5. Identification des instances
6. Gestion des tables
FDDI Ethernet
backbone

Token ring
LAN
27 28

Les concepts de SNMP Les concepts de SNMP
Protocole d'administration de machine supportant SNMP a été développé pour permettre de faire l’administration du
TCP/IP réseau et par le fait même de contrôler tout ce qui se passe sur ce
– SNMP v1-90(RFC 1157), Secure SNMP-1992, SNMP v2- réseau
93(RFC 1441,RFC 1452)
Permet de répondre à un grand nombre de besoins : SNMP est actuellement le protocole le plus utilisé pour la gestion des
– disposer d'une cartographie du réseau équipements de réseaux.
– fournir un inventaire précis de chaque machine
– mesurer la consommation d'une application SNMP est un protocole relativement simple
– signaler les dysfonctionnements – l'ensemble de ses fonctionnalités est suffisamment puissant pour
– protocole très simple, facile d'utilisation
permettre la gestion des réseaux hétérogènes complexes.
– permet une gestion à distance des différentes machines
– indépendant de l'architecture des machines administrées – Il est aussi utilisé pour la gestion à distance des applications: les
bases de données, les serveurs, les logiciels, etc.
29 30
 Les différentes versions de
SNMP Le modèle
 SNMPv1 (ancien standard) : Première version apparue en 1989. Une administration SNMP est composée de trois types d'éléments:
 SNMPsec (historique): Ajout de sécurité par rapport à la Agents : chargés de superviser un équipement.
version 1 une ou plusieurs stations de gestion(manager) capable d'interpréter
les données
 SNMPv2p (historique) : Ajout de nouveau type de données.
une MIB (Management Information Base) décrivant les informations
 SNMPv2c (expérimental) : Amélioration des opérations du gérées.
protocole
 SNMPv2u (expérimental) : Implémente la version 2c en
ajoutant la sécurité utilisateurs.
 SNMPv2* (expérimental) : Combinaison des meilleures parties
de v2u et v2p.
 SNMPv3 (nouveau standard) : La sécurité avant tout.

31 32

SNMP: Fonctionnement Les requêtes SNMP
 Recherche d’informations :
SNMP est basé sur un fonctionnement asymétrique
– Il est constitué d'un ensemble de requêtes, de réponses et d'un  GetRequest : recherche d’une variable sur un agent.

nombre limité d'alertes  GetNextRequest : recherche de la variable suivante.

– Le manager envoie des requêtes à l'agent, lequel retourne des  GetBulkRequest : recherche d’un groupe de variables
réponses
 Envoie d’informations
– Lorsqu'un événement anormal surgit sur l'élément réseau, l'agent
 Trap : détection d’un incident
envoie une alerte (trap) au manager
Il utilise le protocole UDP Inform : l’agent veut Obtenir une réponse à une Trap
qu’il a émise, afin d’obtenir confirmation que celle-ci a
Le port 161 est utilisé par l'agent pour recevoir les requêtes de la bien été reçue et analysée.
station de gestion  Modification de valeurs :
Le port 162 est réservé pour la station de gestion pour recevoir les  SetRequest : permet de changer la valeur d’une variable d’un
alertes des agents agent.

33 34
 SNMP: Fonctionnement Résumé des commandes SNMPv2

35 36

Format des messages SNMP Format des messages SNMP
Pour Get-Response
Version community PDU (paquet Data Unit)
PDU Request Error Error Variable Binding List
Object
type ID Status Index name
Value

Chaque PDU SNMP est de la forme:
– Pour Get-Request, GetNext-Request, SetRequest Pour Trap

PDU Request Variable Binding List
0 0 Object PDU Agent Generic trap Specific Time Variable Binding List
type ID name
Value Entreprise Object
type Address type trap type stamp name
Value

37 38
 Format des messages SNMP Format des messages SNMP
type : informe sur le type de requêtes
Version : La version du protocole SNMP utilisé – (0 )getrequest ,
(v1, v2 ou v3), – (1)getnextrequest ,
communauté (community) :chaîne de caractères – (2)setrequest,
considéré comme un mot de passe de validation – (3)getresponse,
d’une requête SNMP par l’agent (GET, GETNEXT, – (4) trap
SET) ou par le manager (TRAP).
requestid :permet d’associer la réponse à la
– Si la communauté est incorrecte, la requête est
question,
rejetée.
– La communauté passe en clair sur le réseau. errorstatus,errorindex : permet d’informer sur le
– C’est une faille importante de sécurité de SNMPv1. résultat de la commande.
affectation : suite de couples (variable, valeur).
39 40

Contrôle d’accès La communauté
Le contrôle d'accès par les différentes stations La communauté SNMP est une relation
entre un agent et les stations
d'administration à la MIB de chaque agent d'administration qui définit
l'authentification, le contrôle d'accès.
comporte trois aspects : Un agent établit une communauté
– un service d'authentification : un agent peut pour chaque combinaison
d'authentification
souhaiter limiter les accès à la MIB aux Chaque communauté définie entre un
stations d'administrations autorisées agent et ses stations d'administration a
un nom unique (pour l'agent) employé
– une politique d'accès : un agent peut donner lors des opérations get et set.
des privilèges différents aux différentes Une station d'administration garde la
liste des noms de communauté
stations d'administration donnés par les différents agents.

41 42
 La politique d'accès Les mécanismes du protocole SNMP*
Access List: Un agent limite l'accès à sa MIB à une sélection de stations Le protocole SNMP implémente 3 mécanismes :
d'administration
=> Il peut fournir plusieurs types d'accès en définissant plusieurs communautés L ’authentification,
 Ce contrôle d'accès a deux aspects :
l ’autorisation (politique d ’accès)
une vue de la MIB : un sous-ensemble des objets de la MIB. Différentes vues
de la MIB peuvent être définies pour chaque communauté L ’identification de l ’objet
un mode d'accès SNMP : un élément de l'ensemble {readonly, read-write}. Il
est défini pour chaque communauté. L ’authentification se fait par le choix d ’un nom de communauté afin
=> La vue de la MIB et le mode d'accès forment ce que l'on appelle le profil de la de restreindre l ’accès aux agents que par les administrateurs
communauté SNMP.
réseaux.
Le nom de communauté est vérifié pour chaque requête SNMP.

Il est relié au mode d ’accès aux objets de la MIB (lecture-écriture).

Chaque communauté définie un mode d ’accès qui peut être soit Read-
only, soit read-write.
43 44

Les mécanismes du protocole SNMP Les mécanismes du protocole SNMP
L ’autorisation est l ’intersection entre le mode d ’accès défini par la L ’identification de l ’objet se fait par son OID (Object Identifier)
communauté et l ’accès à l ’objet défini parmi les caractéristiques de suivi par un suffixe.
l ’objet. Le suffixe =0 pour une variable simple (non un tableau)

le suffixe ≠ 0 pour désigner l ’index dans le cas d ’une variable composée
Mode d’accès read-only read-write write-only not-accessible (un tableau)
read-only 3 3 1 1
read-write 3 4 2 1 Chaque message SNMP (sauf les traps) contient :
un identificateur de requête,
où les classes sont defines par :
une liste de variables (noms et valeurs)

1 no right 3 get, get-next, trap éventuellement une liste d ’erreurs (tooBig, noSuchName, badValue,
4 get, get-next, set, trap 2 set, trap readOnly, genErr)

un indice pour les erreurs (le nombre de variables contenant des erreurs).

45 46
 La structure des informations
d ’Administration (SMI) SMI
SMI (Structure of Management Information): langage formel décrit La MIB.
Deux versions de SMI coexistent : SMI v1 est décrite dans la RFC 1157 et SMI v2 les types primitifs retenus de ASN.1 sont:
(RFC 2579) est compatible avec la version 1 utilise un sous ensemble de la
syntaxe OSI, ASN.1(Abstract Syntax Notation number One) qui permet de – integer : Allant de 0 à 4 294 967 295.
représenter des structures de données. – octet string : Correspond à une suite de 0 à n octets.
La structure des informations d ’Administration SMI est un méta modèle (RFC – null : Valeur 0, car la valeur 0 ne peut être utilisée, étant réservée pour
1213). L ’objet administré peut être considéré d ’être composé d ’un type d ’objet et les erreurs.
une instance. SMI définit le type d ’objets et non leur instance.
– object identifier : Ensemble de valeurs associées aux objets créés. liste
Objet d ’entiers (référence d’un objet)
les types composés conservés sont: sequence, sequence of

Type de Instance 3
l ’objet
Instance 2

Nom: Instance 1
Syntaxe : Codage :
Identificateur
ASN.1 BER
de l ’objet
47 48

La structure des informations La structure des informations
d ’Administration (SMI) d ’Administration (SMI)
sysDescr OBJECT-TYPE Un objet peut agréger plusieurs objets :
SYNTAX DisplayString (SIZE (0..255))
Object1
ACCESS read-only

STATUS mandatory Object2

DESCRIPTION "A textual description of the entity.
This value should include the full name and version Object3 Object4 Object5

identification of the system's hardware type, software
operating-system, and networking software. It is mandatory object3 OBJECT IDENTIFIER ::={object2 1}
that this only contain printable ASCII characters."
object4 OBJECT IDENTIFIER::= {object2 2}
::= { system 1 }
object5 OBJECT IDENTIFIER::= {object2 3}

object2 OBJECT IDENTIFIER::= {object1 1}
49 50
 Le groupe MIB-2 Le groupe « System »
system : correspond au nom de l'agent, num de version, type de la machine,
nom du système d'exploitation, etc.
Mib-2 Une valeur désignant
(1) system les couches réseaux
Mib-2 (1) fournies par l ’équipement

System (1) rmon (16)

interface (2) snmp (11) sysDescr(1) cmot (9)
sysServices(7)
at (3) Transmisson (10)) sysObjectID(2) sysLocation(6)
sysUpTime(3) sysName(5)
ip (4) egp (8)
sysContact(4)
icmp (5) udp (7) Description
du système
d ’exploitation Le local où
tcp (6)
Le temps en se trouve
Identificateur de l ’objet La personne Le nom du
centième de l ’équipement
qui représente l ’équipement à contacter système
(attribué par le constructeur seconde depuis (administrateur)
la dernière mise
51 52 en activité

Le groupe « System » Le groupe « Interface »
exemple d'interrogation : Accès à des variables d'administration
Interface (mib-2(2))
ifNumber : le nombre d ’interfaces
sur la machine gam :
sysDescr= "Linux OS", sysObjectID=1.3.6.1.4.1.464.1, sysUpTime=449144 ifIndex : Index de l ’interface (son numéro) ifNumber(1)

sysContact= "Mohamed Jarraya", sysName= "gam.isi.rnu.tn", ifTable(2)
ifDescre : Description de l ’interface
sysLocation= "Pièce43", sysServices=79
ifEntry(3)
sysServices = l∈L 2L-1, où L est le numéro de la couche qui implémente les ifType : le type de l ’interface (Ethernet, Token-

services et S l ’ensemble de couches qui fournissent les services. Ring,...) ifIndex(1)

Exemple : sysServices = 79 = 20+ 21+ 22+ 23+26, signifie que l ’équipement ifMtu : le nombre maximum d ’octet que l ’interface
ifDescre(2)

implémente les services pour les couches 1, 2, 3, 4, 7. ifType(3)
peut envoyer ou recevoir
Couche Fonctionnalité Couche Fonctionnalité ifMtu(‘4)
ifSpeed : Une estimation du débit de l ’interface
1 Physique 2 Liaison de données ifSpeed(‘5)
ifPhyAdress : l ’adresse physique de l ’interface
3 Internet 4 transport ifPhyAdress(‘6)

53 7 Application.... 54
 Le groupe « IP » Exemple d’ accès aux variables
ipForwarding : Agit comme passerelle, ou non ip (mib-2(2))

ipDefault TTL : la valeur par défaut du TTL ajouté
ipForwarding(1)

dans un paquet IP ipDefaultTTL(2)

ipInReceives : Le nombre total de paquets IP reçus ipInReceives(3)

IpInHdrErrors : Le nombre total de paquets écartés IpInHdrErrors(4)

IpInAddrErrors(5)
dus à une erreur sur l ’en-tête
IpForwDatagrams(6)
IpInAddrErrors : Le nombre total de paquets écartés
IpInUnknowProtos(7)
dus à une erreur sur l ’adresse de destination
ipInDiscards(8)
IpForwDatagrams : Le nombre total de paquets dont
ipInDelivers(‘9)
l ’entité réceptrice ne représente pas la

55
destination finale. 56

Les autres groupes
MIB
icmp : 26 compteurs
Management Information Base
- pour chaque message icmp, 2 compteurs pour compter les messages reçus et émis
Base de données contenant les informations sur les éléments du réseau à gérer
- 4 compteurs pour compter le nombre total de messages icmp reçus, reçus par erreur
Collection structurée d'objets
ou non envoyés,
Chaque nœud dans le système doit maintenir une MIB qui reflète l'état des
tcp : rend compte des connexions TCP en cours et leurs paramètres ressources gérées
de type nombre max de connexions simultanées permises, nombre d'ouvertures actives, Une entité d'administration peut accéder aux ressources du nœud en lisant les
l'état de chaque connexion (écoute, time-wait,...). valeurs de l'objet et en les modifiant.
Deux MIB publics ont été normalisées: MIB I et MIB II
udp : - 4 compteurs renseignent sur le nombre de datagramme MIB-II est plus étoffée que MIB-I (115 objets/172 objets)
UDP envoyés, reçus, en erreur,... Un fichier MIB (RFC 1213) : document texte écrit en langage SMI qui décrit les
egp : gère le protocole egp (External gateway protocol)(routage variables, les tables et les alarmes gérées au sein d'une MIB.
sysName OBJECT-TYPE
des paquets entre routeurs). On a le nbre de paquets entrants, sortants, en erreur, la SYNTAX DisplayString (SIZE (0..255)) Exple
table des routeurs adjacents, des infos sur les routeurs... ACCESS read-write Fichier MIB
snmp : requis pour chaque entité mettant en oeuvre le protocole STATUS mandatory
DESCRIPTION
SNMP. Contient le nombre de messages SNMP entrants et sortants, le nombre de "An administratively-assigned name for this
mauvaises versions reçues ou de nom de communauté invalide, la répartition du type managed node. By convention, this is the node's
de requêtes reçues et envoyées (get, get_next, set et trap) fully-qualified domain name."
57 58
::= { system 5 }
La spécification de l'arbre des MIB La MIB (Management Information
accessibles Base)
Un identificateur d ’un objet est un identificateur unique qui consiste
La MIB est une structure en une séquence d ’entiers dont chaque entier représente la position
arborescente dont chaque de ces successeurs dans l ’arbre.
nœud est défini par un nombre
Exemple : l ’identificateur de l ’objet MIB2 :
ou OID (Object Identifier).. 1. 3. 6. 1. 2. 1
Chaque nœud du réseaux doit

maintenir une MIB qui reflète

l’état des ressources gérées.

La racine osi org dod internet mgmg mib2

59 60

Identification des objets de la MIB
Identification des objets de la MIB*
La MIB contient un certain nombre d’objets standards : Exemples:
c’est la MIB standard. sysName OBJECT IDENTIFIER ::= { iso org(3) dod(6)
Si l’agent doit gérer des objets propres, ils font partie de internet(1) mgmt(2) mib-2(1) system(1) sysName(5)}
la MIB privée. ou encore, s’il est défini à partir de son père :
Chaque objet de la MIB est identifié par: sysName OBJECT IDENTIFIER ::= { system 5 }
– un nom symbolique En abrégé (notation pointée), il est noté.1.3.6.1.2.1.1.5
– Exemple MIB privée
iso.org.dod.internet.private.enterprises.nom_entreprise.
L’objet sysDescr a comme nom symbolique
– et un OID (Object Identifier identificateur) qui le décrit de iso.org.dod.internet.mgmt.mib.system.sysDescr
manière unique dans un espace de nommage global et Son OID en respectant les règles SMI est
hiérarchique 1.3.6.1.2.1.1.1

61 62
 Type d ’objet et instance
Objets de la MIB
objets partiels: servent à construire l’arborescence de Les types d ’objet sont identifiés par un OID
la MIB. Ils n’ont pas de type mais un OID. – exemple: lostPackets est identifié par 1.3.6.1.3.20
– Par exemple, l’objet system OBJECT IDENTIFIER ::= { mib-2 Les instances d ’objets sont des variables associées à un type d ’objet et
1 } groupe les objets de ma mib-2 qui permettent comportant une valeur
d’identifier un agent SNMP
Les instances sont identifiées par:
objets scalaires ou variables simples: ont une l’identificateur d’objet + l’identificateur d’instance
instance unique. Ils auront un type simple (faisant
partie de la syntaxe de base ASN.1), ou un type défini
Faire la différence entre:
dans SMIv1 ou SMIv2
– Une variable
objets tabulaires : une table est décrite comme une
– Et une instance (donnant sa valeur) chez un agent.
séquence de lignes qui sont elles-mêmes une séquence
d’objets. Deux cas d’identification:
– Les variables simples
– Les tables
63 64

La requête GET
Variables Simples*
Référencées en ajoutant 0 à l’identificateur
d’objet de la variable
Exple:
Get-Request(1.3.6.1.4.1.55.1.0)
Le compteur UdpInDatagrams a pour OID
1.3.6.1.2.1.7.1
Son identificateur d’instance: 1.3.6.1.2.1.7.1.0
Nom symbolique correspondant:
iso.org.dod.internet.mgmt.mib.ip.udp. UdpInDatagrams.0
Get-Response(1.3.6.1.4.1.55.1.0=12)

65 66
 La requête GETNext La requête Set

Get-NextRequest(1.3.6.1.4.1.55.1.0) set-Request(1.3.6.1.4.1.55.1.0=5)

set-Response(1.3.6.1.4.1.55.1.0=5)
Get-Response(1.3.6.1.4.1.55.2.0=« link »)

67 68

La notification TRAP Les requêtes multiples
Les requêtes Get, Get Next and Set Requests peuvent préciser
plusieurs objets à lire ou à modifier leurs valeurs.

69 70
 Chaque colonne d'objet est définie de la manière habituelle avec
L'accès direct dans une table une macro OBJECT-TYPE. Chaque élément a un identificateur
unique
Définition de table
Une table a la syntaxe suivante :
SEQUENCE OF
Un rang a la syntaxe suivante :
SEQUENCE {,...}
les types définissent chaque colonne d'objet et
chaque type a la forme suivante:

: nom de la colonne
: valeur de la syntaxe
71 72

L'index de table
On distingue par les index les différentes colonnes.
La clause INDEX définit un rang. Il détermine sans On combine l'identificateur de l'objet pour une colonne
ambiguïté la valeur de l'objet
et un ensemble de valeur de l'Index pour obtenir le
rang.
La règle de construction de l'identificateur de l'instance d'une instance de
colonne d'objet est la suivante :
Soit un objet dont l'identificateur d'objet est y, dans une
table avec des objets INDEX i1, i2,..., iN, alors l'identificateur d'instance pour
une instance d'objet y dans un rang particulier est
y.(i1).(i2)...(iN)
INDEX { tcpConnLocalAddress (i1),
tcpConnLocalPort(i2),
tcpConnRemAddress(i3),
tcpConnRemPort(i4) }
OID.i1.i2.i3.i4
73 74
 Exemple de Get Request
x=1.3.6.1.2.1.6.13.1 = identificateur de l'objet
tcpConnEntry qui est
l'identificateur de tcpConnTable
i = le dernier sous-identificateur de la colonne (sa
position dans la table)
(name) = valeur du nom de l'objet
Toutes les identificateurs d'instances de tcpConnTable
ont la forme :
x.i.(tcpConnLocalAddress).(tcpConnLocalPort).(tcpConn
RemAddress).(tcpConnRemAddress)

75 76

Exemple de GetNext Request Exemple de Set Request

77 78
 GetNextRequest PDU
Lexicographic Ordring- example* Manager Agent
Process Process

GetRequest ( A )
start end A
1 GetResponse ( A )
1.1 GetNextRequest ( A )
1.1.5 T.E.1.1 is next GetResponse ( B ) B
1.1.18
object to scalar B GetNextRequest ( B )
1.2 GetResponse ( T.E.1.1 )
1 2 3 9
GetNextRequest (T.E.1.1 ) T
1.2.6
GetResponse ( T.E.1.2 )
2
GetNextRequest (T.E.1.2 )
2.2
GetResponse ( T.E.2.1 ) E
2.10
GetNextRequest (T.E.2.1 )
2.10.9 2 2 10 4 21
1 GetResponse ( T.E.2.2 )
3
GetNextRequest (T.E.2.2 )
3.4 T.E.1.1 T.E.2.1 T.E.3.1
GetResponse ( T.E.3.1 )
3.21
GetNextRequest (T.E.3.1 )
9 T.E.1.2 T.E.2.2 T.E.3.2
GetResponse ( T.E.3.2 )
6 9
5 18 GetNextRequest (T.E.3.2 )
GetResponse ( Z )
GetNextRequest ( Z ) Z
GetResponse ( noSuchName )

MIB example of lexicographic ordering
79 80

GetNextRequest PDU SNMPv2 Protocol

Manager Agent Advantages of Get-Next-
Process Process GetBulkRequest(non-repeaters,max repetition, var1, …, varn)
Request
GetRequest ( A ) 1)- no need to know the object
GetResponse ( A )
ID of the next entity to retrieve
GetNextRequest ( A ) GetResponse(var1=value1, varn=valuen)
GetResponse ( B ) its value
GetNextRequest ( B ) 2)- issues with dynamic table
GetResponse ( T.E.1.1 ) resolved
GetNextRequest (T.E.1.1 )
3)- allows NMS to discover the
GetResponse ( T.E.1.2 )
GetNextRequest (T.E.1.2 ) structure of a MIB view
GetResponse ( T.E.2.1 ) dynamically
GetNextRequest (T.E.2.1 ) 4)- provides an efficient
Non-repeaters n:indique que les n premiers variables sont des
GetResponse ( T.E.2.2 )
mechanism for searching a table scalaires,
GetNextRequest (T.E.2.2 )
GetResponse ( T.E.3.1 )
whose entries are unknown
GetNextRequest (T.E.3.1 ) Max repetitions m: m getnext opération
GetResponse ( T.E.3.2 )
GetNextRequest (T.E.3.2 )
GetResponse ( Z )
GetNextRequest ( Z )
GetResponse ( noSuchName )

81 82
 GetBulkRequest-PDU Operation GetBulkRequest-PDU Operation

GetRequest ( A,B )
A Manager Agent
Process GetResponse (A,B) Process

A B T Z B GetNextRequest (T.E.1,T.E.2,T.E.3)

GetResponse (T.E.1.1,T.E.2.1,T.E.3.1)
T
E
GetNextRequest (T.E.1.1,T.E.2.1,T.E.3.1)

GetResponse (T.E.1.2,T.E.2.2,T.E.3.2)
E
GetNextRequest (T.E.1.2,T.E.2.2,T.E.3.2)
1.1 2.1 3.1

GetResponse (T.E.1.3,T.E.2.3,T.E.3.3)
T.E.1.1 T.E.2.1 T.E.3.1
GetNextRequest (T.E.1.3,T.E.2.3,T.E.3.3)
1.2 2.2 3.2
T.E.1.2 T.E.2.2 T.E.3.2 GetResponse (T.E.1.4,T.E.2.4,T.E.3.4)

GetNextRequest (T.E.1.4,T.E.2.4,T.E.3.4)
1.3 2.3 3.3 T.E.1.3 T.E.2.3 T.E.3.3
GetResponse (T.E.2.1,T.E.3.1,Z)
T.E.1.4 T.E.2.4 T.E.3.4

1.4 2.4 3.4

Z

83 84

GetBulkRequest-PDU Operation
A
SMNPv3
2 non repetitive objects (A, B)
B
3 repetitive instances
Of the columnar object
Cette nouvelle version du protocole SNMP vise
Manager T.E.1, T.E.2, T.E.3 Agent
Process Process
T
essentiellement à inclure la sécurité des transactions. La

GetBulkRequest ( 2,3, E
sécurité comprend l’identification des parties qui
A,B,T.E.1, T.E.2, T.E.3 )

Response ( A, B,
communiquent et l’assurance que la conversation soit
T.E.1.1, T.E.2.1, T.E.3.1 T.E.1.1 T.E.2.1 T.E.3.1
T.E.1.2, T.E.2.2, T.E.3.2 privée, même si elle passe par un réseau public.
T.E.1.3, T.E.2.3, T.E.3.3 ) 3 more rows
T.E.1.2 T.E.2.2 T.E.3.2
GetBulkRequest ( 0,3, Cette sécurité est basée sur 2 concepts :
T.E.1.3, T.E.2.3, T.E.3.3 )
T.E.1.3 T.E.2.3 T.E.3.3
USM (User-based Security Model)
Response ( T.E.1.4, T.E.2.4, T.E.3.4, Z , " endOfMibView" )
T.E.1.4 T.E.2.4 T.E.3.4 VACM (View- based Access Control Model)

Z is next in the lexicographic order Z

85 86
 VACM (View Access Control
User Security Module (USM)
Model)
Trois mécanismes sont utilisés:

L’authentification : Empêche quelqu’un de changer le paquet SNMPv3 en Permet le contrôle d’accès au MIB. Ainsi on a la possibilité
cours de route et de valider le mot de passe de la personne qui transmet la
de restreindre l’accès en lecture et/ou écriture pour un
requête.
groupe ou par utilisateur.
Le chiffrement : Empêche quiconque de lire les informations de gestions
contenues dans un paquet SNMPv3.

L’estampillage du temps : Empêche la réutilisation d’un paquet SNMPv3
valide a déjà transmis par quelqu’un.

87 88

Chapitre3: Administration d’un domaine
Avenir de SNMP Windows 2012 server
SNMP est un protocole plein d’avenir : il se développe de plus en plus ces Plan
dernières années, parallèlement à l’essor des réseaux. La seule crainte que l’on – Présentation de Windows 2012 server R2
puisse avoir est que les constructeurs, plutôt que d’adopter et de continuer à faire
– Architecture groupe de travail vs domaine
évoluer ce protocole devenu standard, continuent d’exploiter leurs propres
– Les systèmes de fichiers et le partage
protocoles, détruisant un espoir d’uniformisation de la gestion réseau.

En soi, le protocole SNMP a beaucoup d’avantages indéniables que nous avons pu – Active directory
mettre en avant, et les implémentations de celui-ci sont de plus en plus solides et – Administration des comptes d’utilisateurs
fournissent des bases de plus en plus intéressantes aux développeurs et aux
– DHCP
intégrateurs de systèmes.
– DNS

89 90
 Administration d’un domaine Win 2012 Server Administration d’un domaine Win 2012 Server
Rôle d’un Système d’exploitation Historique des OS Microsoft
MS-DOS
Gestion du processeur – 1981 : MS-DOS 1.0 (interface texte)
– 1983 : MS-DOS 2.0
Gestion de la mémoire vive
Gestion des entrées/sorties Branche 16 bits
– 1985 : Windows 1.0 (interface graphique)
Gestion de l’exécution des
– 1987 : Windows 2.0
applications
– 1990 : Windows 3.0
Gestion des droits – 1992 : Windows for Workgroups 3.1 (fonctionnalités
Gestions des fichiers réseau)
…. Branche 32 bits
– 1995 : Windows 95
intégrer les fonctionnalités de MS-DOS dans Windows,
utilisation du DOS 16 et Fat16)
– 1998 : Windows 98 (intégration d’IE4: premium)
– 2000: Windows ME (Millennium Edition)
91 92

Administration d’un domaine Win 2012 Server Administration d’un domaine Win 2012 Server*
Branche NT
Historique des OS Microsoft Edition de Windows 2012 Server R2
– 1993 : Windows NT 3.1(Premières tentatives)
– 1996 : Windows NT 4.0 (interface type 95)
Windows Server 2012 R2 est disponible dans plusieurs
– 2000 : Windows 2000 (NT 5.0) éditions adaptées aux différents besoins des entreprises,
– 2001 : Windows XP (NT 5.1)
– 2003 : Windows 2003 (NT 5.2)
selon les serveurs utilisés et la charge de travail:
– 2006 : Windows Vista (NT 6.0)  Windows Server 2012 R2 Essentials : pour de petites
– 2008: windows server 2008 (NT 6.0) entreprises comptant jusqu’à 25 utilisateurs et 50 appareils.
– 2009 : Windows 7 (NT 6.1)
windows server 2008 R2 (NT 6.1)
 Windows Server 2012 R2 Standard : pour des environnements
– 2012 : Windows 8 (NT 6.2)
physiques, avec peu ou pas de virtualisation.
Windows Server 2012 (NT 6.2)
– 2013 : Windows 8.1 (NT 6.3)
Windows Server 2012 R2(NT 6.3)  Windows Server 2012 R2 Datacenter : pour les datacenters
- 2015: Windows 10 (NT 10.0) avec forte virtualisation et les Clouds.
- 2016: Windows Server 2016
- 2018: Windows Server 2019
- 2021: Windows 11
- Bientôt: Windows Server 2022
93 94
 Administration d’un domaine Win 2012 Server Administration d’un domaine Win 2012 Server
Caractéristiques de Windows 2012 Server R2 Rôles d’un Serveur 2012
Version serveur de Windows 8 - Contrôleur de domaine : c’est un serveur sur lequel on a installé Active
Directory (Active Directory Certificate Services, Active Directory
Système en version 64 bits seulement Domain Services…)
Nombreuses nouveautés qui permettent de rendre les serveurs plus – Serveur d’applications : Il permet à une application d’utiliser le
évolutifs, virtualisables (Hyper-V) et favorise les évolutions vers les clouds système d’exploitation comme support afin d’en utiliser les
composants de gestion (ex : serveur de messagerie, de base de
privés ou publics.
données, …).
Supporte jusqu’à 320 processeur et 4 terabyte de mémoire physique.
– Serveur de fichiers: : c’est un serveur qui permet de créer un espace de
Supporte jusqu’a 64 processeurs et 1 terabyte de mémoire pour les hôtes stockage partagé sur le réseau. Il met ainsi une partie de son espace
Hyper-V. disque disponible sur le réseau.
Configuration minimale requise (pour l’édition Essentials): – Serveur d’impression : Il permet de partager une imprimante sur un
CPU : 1.4 GHz ( 3.1 GHz 64 bits recommandé) réseau et de gérer la file d’attente d’impression de celle-ci.
Mémoire : 2 Go (16 Go recommandé) – Serveur DHCP: a pour rôle de distribuer des adresses IP à des clients
Disque : 160 Go avec une partition de 60 Go pour une durée déterminée
– Serveur DNS: Un serveur DNS assure la résolution de noms des réseaux
TCP/IP
95 96

Administration d’un domaine Win 2012 Server Architecture groupe de travail VS domaine
Rôles d’un Serveur 2012 R2 Architecture groupe de travail

Ensemble d’ordinateurs regroupés pour une fonction
commune comme le partage des ressources d’un service.

Les membres du groupe de travail (workgroup) peuvent
voir et accéder aux ressources partagées d’autres
ordinateurs.

Chaque ordinateur du groupe de travail a ses propres bases
de données des comptes utilisateurs à gérer.

Chaque groupe de travail a un nom qui lui est approprié.

97 98
 Architecture groupe de travail VS domaine Architecture groupe de travail VS domaine
Architecture groupe de travail Architecture groupe de travail

La stratégie de sécurité dans l’architecture groupe de
BDA
BDA
travail est localisée au niveau de chaque station.

Toutes les stations ont le même niveau de priorité donc
aucune station ne peut exercer un rôle administratif sur
les autres stations du groupe de travail.

Un compte utilisateur crée dans une machine ne peut être
BDA
utilisé qu’à partir de cette machine.
BDA
BDA

Pour qu’ un compte soit exploitable par n’importe quelle
machine, il faut l’installer dans chaque machine du groupe
BDA: Base de donnée d’annuaire de travail.

99 100

Architecture groupe de travail VS domaine Architecture groupe de travail VS domaine
Architecture groupe de travail Architecture domaine**

Ensemble d’ordinateurs regroupés logiquement afin de
partager une stratégie de sécurité commune et une base
de données des comptes utilisateurs.

La station serveur exerce un pouvoir administratif sur les autres
stations du domaine.

Les stations clientes doivent obéir aux contraintes exigées par
le serveur.

Chaque domaine a un nom qui lui est propre.

La station serveur installe le système Windows 2012 Server
R2.
101 102
 Architecture groupe de travail VS domaine Architecture groupe de travail VS domaine
Architecture domaine Architecture domaine

La stratégie de sécurité est centralisée au niveau du serveur.
Base de donnée
BDA copiée BDA copiée
d ’annuaire
La stratégie de sécurité de cette architecture est assez
robuste ce qui nécessite des ressources matérielles
performantes pour gérer l’annuaire 104
du serveur.

CPD:Windows
2012 Server
L’architecture domaine est dédiée aux réseaux étendus qui
incluent divers utilisateurs exploitant les ressources du
réseau.

L’architecture domaine offre une administration de toutes
les ressources du réseau d’un point unique grâce à son
service d’annuaire Active Directory

103

Architecture groupe de travail VS domaine Architecture groupe de travail VS domaine
Architecture domaine

Windows 8 ou Windows 7 peuvent faire partie d’un
Chaque ressource du réseau existe dans un domaine et
chaque domaine contient les informations des objets qu’il workgroup ou d’un domaine
contient.
Windows 2012 Server R2 est conçu pour faire partie d’un
Un domaine est sécurisé : l’accès aux objets est limité par domaine
des listes de contrôle d’accès ACL (Access Control List).
Nombre Administration Validation de
d’utilisateurs l’ouverture
Les ACL contiennent les permissions associées aux objets, de session
qui déterminent quels utilisateurs ou quels types Groupe de Petit groupe Décentralisée Non
travail
d’utilisateurs peuvent y accéder.
Domaine Groupe Centralisée Oui
important

105 106
 Les systèmes de fichiers et le partage Les systèmes de fichiers et le partage
Système de fichier FAT* Système de fichier FAT

FAT: File Allocation Table /Table d’allocation de fichiers.
Inconvénients
Il est utilisé et supporté par plusieurs Systèmes d’exploitation Les performances de FAT se dégradent sur une partition de
( MS-DOS, Windows NT,…). grande taille.
Il est le plus efficace pour les partitions de petite taille car
FAT démarre en utilisant très peu d’espace disque. On ne peut pas autoriser des permissions sur des fichiers
ou des répertoires FAT.
Deux types de systèmes FAT: FAT16 et FAT32.
– Fat16 : Taille maximale de la partition : 4096 Mo
– Fat32 : Taille maximale de la partition : 2047 Go (En pratique