Aller au contenu
TAAF-OPS --:-- UTC

Active Directory

Le projet Active Directory fournit la configuration et les scripts nécessaires pour déployer un contrôleur de domaine Active Directory pour les bases polaires TAAF.

Cette infrastructure d’authentification et de gestion d’identité est utilisée dans les TPs de monitoring et SIEM.

Active Directory permet de :

  • Centraliser l’authentification des utilisateurs
  • Gérer les droits d’accès aux ressources
  • Appliquer des politiques de sécurité
  • Surveiller les événements d’authentification

Active Directory n’est pas directement utilisé dans les TPs de monitoring, mais constitue un élément de l’infrastructure globale à surveiller.

Active Directory est un composant clé pour :

  • Surveillance des événements d’authentification : Détection de tentatives de connexion suspectes
  • Intégration Wazuh : Collection des logs Windows via agent
  • Corrélation d’événements : Lien entre authentification AD et accès aux ressources
  • TP Windows (Bonus) : Déploiement d’un agent Wazuh sur Windows Server avec AD

Voir le TP Integration Windows pour l’intégration complète.

Identité : fournisseur d’authentification (SSO)

Section intitulée « Identité : fournisseur d’authentification (SSO) »

L’AD est le hub d’identité de l’infrastructure. NextCloud ne crée plus d’utilisateurs locaux : il consomme les comptes AD via LDAP (et, en bonus, un vrai SSO à token). Les 4 rôles métier sont des groupes AD mappés aux dossiers NextCloud (moindre privilège) :

  • G-TAAF-Administratif, G-TAAF-IT, G-TAAF-Biologie, G-TAAF-Sismologie

Mise en place : TP SSO Active Directory ↔ NextCloud.

L’AD étant le gardien des accès (y compris aux fichiers classifiés via NextCloud), il devient une cible d’audit : posture mesurée avec PingCastle, corrélée à la kill chain (escalade svc_backup → Domain Admins), puis mise en conformité (ANSSI). Voir le TP Audit AD & conformité (PingCastle).

Le repository contient :

  • Scripts de déploiement Active Directory
  • Configuration des politiques de groupe
  • Scripts de création d’utilisateurs et groupes
  • Documentation d’intégration
  • Windows Server 2019 ou 2022
  • 4 GB RAM minimum
  • Rôle AD DS (Active Directory Domain Services)

Consultez le README du repository pour les instructions détaillées de déploiement.