L’acquisition d’entreprises ou la nécessité de regrouper les systèmes d’information pour faciliter la collaboration, engendre régulièrement ce que l’on conviendra d’appeler, l’intégration des identités.
Fusion d’identités avec Binary Tree Directory Sync Pro
Les identités de l’entreprise acquise (comptes utilisateurs, comptes de service, comptes d’ordinateur etc..) devront être migrées voir recréées dans un environnement qui, lui, perdurera. Dans la plupart des cas, il s’agit d’annuaires Active Directory hérités, associés parfois à un environnement de messagerie Exchange.
Dans cet article nous passerons, par conséquent, en revue comment il convient d’aborder un tel projet et nous nous intéresserons plus particulièrement à l’outil Binary Tree Directory Synchronisation.
Le scénario que nous illustrerons est une société « Source » qui doit fusionner son environnement dans un environnement cible Active Directory.
Deux aspects
Dans ce type de projet plusieurs aspects sont à prendre en compte.
- Aspect 1 – Les réseaux
Le premier aspect concerne la connectivité des réseaux. Dans la plupart des cas, les ressources sur site des deux entreprises vont donc devoir communiquer. Pour cela, il faut établir une connexion entre les réseaux serveurs mais également utilisateurs. Bien souvent, les entreprises utilisent des plages d’adressage IP qui peuvent être identiques interdisant la mise en relation de ces mêmes réseaux d’entreprise. Des solutions existent comme l’utilisation de réseaux natés mais attention tout de même car les environnements Active Directory supportent difficilement ce type de configuration.
- Aspect 2 – L’identité
C’est le sujet majeur que nous allons traiter et cela concerne plus particulièrement la fusion d’identité source vers l’environnement Active Directory cible. Dans notre cas de figure, il va être nécessaire de prendre en compte tous les comptes utilisateurs de la forêt Active Directory source afin de les recréer dans l’environnement cible. D’autre part, il va être nécessaire de conserver les mots de passe utilisateurs afin de ne pas perturber les utilisateurs de la forêt Active Directory Source qui, à un moment du projet vont devoir gérer deux identités.
L’outil Binary Tree Directory Sync Pro (BTDSP) est une vieille solution qui a fait ses preuves et qui va nous permettre d’associer des comptes utilisateurs de la forêt cible vers des comptes déjà existants ou que Binary Tree va devoir créer pour l’occasion.
La solution est à installer de préférence sur un serveur membre du domaine cible qui devra être en mesure d’établir une connexion avec à minima un serveur Active Directory dans le domaine source et un serveur Active Directory dans le domaine cible. Le schéma suivant illustre une installation assez classique de la solution.
Pour que les connexions s’établissent, il vous faudra créer deux comptes de services dans les domaines Active Directory respectifs.
Comptes de services qui devront être respectivement administrateurs des domaines cible et source, si vous envisagez de synchroniser les mots de passe des utilisateurs et si vous envisagez d’utiliser la migration des identités de sécurité (SID) via la fonctionnalité SID history.
La figure suivante montre l’écran de configuration des comptes de services dans l’interface de la solution.
L’outil Binary Directory Sync Pro est un outil plutôt bien conçu qui est commercialisé par la société Quest désormais. Son acquisition nécessite l’acquisition de quelques jours d’assistance technique que je recommande fortement, surtout si vous n’avez pas d’expérience préalable avec cette solution.
Recommandations
- Licences
La solution est facturée au nombre d’objets que vous synchronisez. Par conséquent, pensez bien à faire l’inventaire de tous les objets Active Directory que vous allez devoir synchroniser comme les comptes utilisateurs, les groupes, les comptes d’ordinateurs etc. Je vous conseille de prévoir un peu large avec une marge de sécurité de 10%.
- Environnement de test
Le produit BTDSP est un outil puissant véritablement dédié à ce type de fusion d’identité. Une erreur de configuration et une synchronisation malencontreuse et c’est une partie de votre annuaire cible qui est impactée. Aussi, je vous recommande vivement la mise en place d’un environnement de test avant d’appliquer certains paramètres de synchronisation. La société Quest fournit normalement des licences de test qui vous permettront de valider le paramétrage en toute sécurité avant de l’appliquer en production.
- Utiliser le mode ReadyToSync
Comme je vous le précisais, la solution est plutôt bien pensée. Par défaut, toutes les identités que vous allez synchroniser ne sont pas marquées pour être synchronisées. Dans ce mode, il faut aller sur chaque identité pour indiquer à BTDSP qu’il peut désormais effectuer la synchronisation. C’est très pratique pour valider le paramétrage de synchronisation sur quelques identités avant de l’appliquer à l’ensemble de votre population.
- Utiliser la journalisation au niveau maximum
Lors de la synchronisation, l’outil va générer des journaux de transaction qui vont vous permettre de connaitre les raisons d’une non-synchronisation. Aussi, positionnez au maximum le niveau de journalisation
- Filtrer les objets à synchroniser
Comme l’outil est facturé à l’identité synchronisée, il serait dommage de synchroniser des identités en trop. Pour ce faire, l’outil permet d’appliquer des filtres LDAP sur les unités organisationnelles sources que vous avez retenues. Ceci permet de filtrer les identités que BTDSP ne prendra pas en compte. La figure suivante illustre la sélection des OU coté source et le filtrage par LDAP.
- Utiliser une valeur de jointure
Vous l’aurez compris, les comptes cibles vont être dupliqués, puis synchronisés vers l’environnement Active Directory cible. Pour ce faire, vous devez réserver une valeur ou une série de valeurs communes pour effectuer la jointure de vos identités. Utilisez un attribut Active Directory qui n’est pas utilisé dans les deux forêts pour constituer votre clef de jointure.
Installation
L’installation est un peu délicate car certaines informations ne figurent pas dans la documentation. Pour que la solution fonctionne, il vous faudra installer un serveur Sql Express a minima sur la même machine. Pensez notamment à bien vérifier que votre service Sql Browser est démarré. Sinon, l’installation du produit Binary Tree ne pourra pas se connecter au service en question.
La configuration
La configuration initiale est assurée par un assistant plutôt bien fait qui vous invite étape par étape à renseigner au sein d’un profil, les informations de connexion, de synchronisation. Cette première étape guidée, jettera les bases de votre première configuration.
Celle-ci devra sûrement être revue au regard des nombreux tests que vous devrez effectuer par la suite.
Le support Quest
Comme je vous l’avais précisé, la solution est commercialisée avec une assistance à la mise en place et c’est tant mieux. Les intervenants avec lesquels nous avons communiqué connaissent plutôt bien le produit.
Cette assistance au démarrage est précieuse et permet de gagner un maximum de temps dans la prise en main de la solution.
Stabilité de la solution
Mes diverses implantations de la solution ont démontré au fils du temps que le service est plutôt stable. Pour être tout à fait honnête, il arrive parfois que la machine ait besoin d’être redémarrée mais c’est plutôt rare.
Supervision
S’il est un domaine où la solution aurait besoin d’évoluer c’est au niveau de la supervision. Peu d’options existent en réalité. Nous supervisons actuellement l’état du service suivant : DireSyncExchangeLocal comme le montre la figure suivante mais guère plus.
Si vous voulez surveiller les erreurs de synchronisation, à proprement parler, il faudra examiner les journaux de synchronisation pour connaitre les raisons d’éventuels échecs.
Que faut-il penser de la solution ?
Si vous avez besoin de synchroniser deux forêts Active Directory incluant Microsoft Exchange, Binary Tree Directory Sync Pro est une excellente solution qui, certes, mériterait d’être un peu modernisée mais qui dans l’ensemble ‘fait le job’.
Sa prise en main est rapide mais attention tout de même à bien maitriser les impacts de toutes les options de paramétrage. Les modifications non maitrisées sur les annuaires comme Active Directory peuvent entraîner des conséquences très importantes sur l’environnement du SI. A utiliser en toute connaissance de cause !
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Forterro : l’IA associée à l’ERP permet de se différencier sur le marché
- Résilience face aux cyberattaques : les leçons d’une expérience
- Configuration de machine d’Azure Automanage
- Un été placé sous le signe du sport, quelles implications pour la cybersécurité en Europe?
- Les 5 clés du travail collaboratif et productif
