Implémentations par Microsoft 1 Domaines Windows.

Un groupe de travail est un ensemble d’ordinateurs SMB résidant dans le même sous-réseau et qui sont rattachés au même groupe SMB. Un domaine Windows en est une extension. Il s’agit d’un groupe de travail de machines SMB ayant pour particularité d’être géré par un serveur jouant le rôle de contrôleur de domaine. Un domaine Windows dépourvu de contrôleur de domaine n’est qu’un groupe de travail.

Un contrôleur de domaine (serveur de connexions) utilise deux protocoles distincts : l’un pour les communications avec les ordinateurs Windows 95/98/Me, l’autre pour les communications avec les ordinateurs Windows NT/2000. Samba implémente le premier protocole mais ne prend pas encore en charge le protocole des machines Windows NT sauf dans la version 2.1.

Le contrôleur de domaine est le centre nerveux d’un domaine Windows. Les contrôleurs de domaine sont chargés de l’authentification des utilisateurs. L’authentification est un processus consistant à accorder ou à refuser l’accès à une ressource partagée sur une autre machine à un utilisateur.

Chaque contrôleur de domaine confie l’administration des authentifications à la SAM (Security Account Manager) qui gère une base de données centralisée de mots de passe.

Dans un domaine Windows, lorsqu’un client non authentifié demande l’accès aux partages d’un serveur, ce dernier interroge le contrôleur de domaine pour savoir si l’utilisateur est authentifié ou non. Dans l’affirmative, le serveur établit une connexion de session porteuse des droits d’accès enregistrés pour le service et l’utilisateur. Dans la négative, la connexion est refusée. Lorsque le contrôleur de domaine authentifie un utilisateur, un jeton spécial est renvoyé au client de sorte que l’utilisateur n’ait pas à s’identifier à nouveau pour accéder aux autres ressources du domaine. A cette étape, l’utilisateur est connecté au domaine.

La redondance est un concept important des domaines Windows. Le contrôleur actif d’un domaine s’appelle le PDC (Primary Domain Controller). Un domaine peut comporter un ou plusieurs BDC (Backup Domain Controller). Un BDC prend le relais d’un PDC en cas de dysfonctionnement ou de défaillance de celui-ci. Les BDC synchronisent régulièrement leurs données SAM avec le PDC.

Certains aspects sont communs à un groupe de travail Windows et à un domaine Windows puisque le concept de domaine Windows n’a pas évolué depuis Windows NT 3.51 et que les domaines Windows doivent être compatibles avec les groupes de travail Windows for Workgroups 3.1. En fait, un domaine Windows est un groupe de travail Windows comprenant un ou plusieurs contrôleurs de domaine.

A partir de la version 2.1, Samba peut être configuré comme PDC. Par contre, il est incapable de remplir la fonction de BDC étant donné le caractère fermé du protocole Microsoft employé pour la synchronisation des données SAM. L’évolution du produit Samba provient de la volonté d’une équipe d’effectuer du reverse engineering de manière à découvrir les secrets de fabrication de Microsoft.

1.5.2. Exploration.

L’exploration est la réponse à la question formulée par les utilisateurs : « Quelles sont les machines connectées au réseau ? ». Les utilisateurs doivent connaître le nom de l’ordinateur auquel ils souhaitent se connecter, puis doivent entrer le chemin d’accès à la ressource avant d’explorer,.

Il existe donc deux types d’exploration :

• l'exploration d’une liste de machines ;

• l’exploration des ressources partagées d’une machine spécifique.

Pour que l’exploration de premier type soit possible, un ordinateur doit tenir à jour une liste des machines accessibles sur le réseau. L’ordinateur détenant cette liste est appelé l’explorateur principal local et la liste est appelée la liste d’exploration. Lorsqu’un ordinateur doit explorer le réseau, il demande la liste d’exploration à l’explorateur principal local.

Pour explorer les ressources d’une machine, l’utilisateur doit s’y connecter. Si l’authentification réussit, la machine sollicitée revoie la liste des ressources auxquelles l’utilisateur a le droit d’accéder.

Dans un groupe de travail Windows, chaque serveur doit annoncer non seulement sa présence à l’explorateur principal local après l’enregistrement de son nom NetBIOS, mais aussi son départ lorsqu’il est mis hors tension. Toute machine Windows (2000, NT, 95, 98, Me) peut jouer le rôle d’explorateur principal local. Comme le contrôleur de domaine, l’explorateur principal local peut, en cas de panne, être assisté d’un ou de plusieurs explorateurs secondaires. Pour assurer une fluidité de fonctionnement, les explorateurs secondaires synchronisent régulièrement leur liste d’exploration avec l’explorateur principal.

Lorsque l’explorateur principal s’arrête, il convient d’élire un nouvel explorateur principal. L’algorithme d’élection permet à plusieurs ordinateurs de choisir lequel d’entre eux devient explorateur principal, les autres étant alors explorateurs secondaires. Une élection peut être provoquée à n’importe quel moment. Lors de la mise en route d’un ordinateur, il signale sa présence et provoque une élection au cours de laquelle l’explorateur principal peut être remis en cause.

1.5.3. Le service WINS.

Le service WINS est l’implémentation par Microsoft d’un serveur de noms NetBIOS. De plus, WINS est dynamique : lors de sa première connexion, un client doit fournir ses noms d’hôte, son adresse et son groupe au serveur WINS local.

Ce dernier mémorise ces informations tant que le client met périodiquement à jour son enregistrement WINS, signifiant ainsi qu’il est toujours connecté au réseau.

Bien qu’il soit possible de configurer plusieurs serveurs WINS qui doivent coopérer entre eux, ce mécanisme devient très rapidement lourd et peu efficace. L’idéal est de codifier au niveau de chaque client, l’adresse d’un serveur WINS qui sera le même pour tous.