Installation par script

Pour commencer avec Specops Authentication pour Key Recovery, vous devrez installer le composant Gatekeeper dans votre Active Directory. L’installation recommandée consiste à télécharger le package d’installation auto-extractible et à suivre les étapes de l’assistant d’installation.

Sinon, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d’installation basée sur un script PowerShell. Ce guide décrit la procédure d’installation basée sur un script.

Configuration requise

L’environnement de votre organisation doit être conforme à la configuration requise suivante :

  • Ordinateur serveur Gatekeeper :
    • Associé à votre domaine Active Directory
    • Windows Server 2012 R2 ou version plus récente (de base ou avec expérience utilisateur)
    • .NET Framework 4.7 ou version ultérieure
  • Privilèges d’administration : À la fois pour Active Directory et pour l’ordinateur du serveur Gatekeeper. Il est recommandé d’exécuter l’installation en tant qu’administrateur de domaine.
  • Options de compte : Il existe deux options pour le compte sous lequel le service Gatekeeper Windows sera « exécuté ». Préparez-vous à utiliser l’un des éléments suivants :
    • Compte de service administré (recommandé) : L’utilisation d’un compte de service administré pour le Gatekeeper est simple, sans aucune action supplémentaire requise pour vous en tant qu’administrateur d’installation. Le script créera un compte de service administré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est "SRV17", le nom du compte de service administré sera "SGkSRV17$".
    • Compte de domaine : Si vous préférez utiliser un compte de domaine, celui-ci doit être créé avant de lancer l’installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte.
  • Groupes de sécurité : Le script d’installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n’est requise de votre part.
    • Groupe d’administration : Les utilisateurs membres de ce groupe seront des administrateurs du portail. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
    • Groupe d’administration des utilisateurs : Les utilisateurs membres de ce groupe pourront accéder aux fonctions de gestion des utilisateurs sur le service Web d’authentification. L’utilisateur actuel sera ajouté automatiquement à ce groupe.
    • Groupe de Gatekeepers : Les comptes de service membres de ce groupe seront autorisés à lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Créer votre compte client

Pour commencer avec Specops Authentication pour Key Recovery, vous aurez besoin d’un compte client. Vous pouvez créer votre compte client, sur :

https://login.specopssoft.com/Authentication/Account/Signup
  1. Fournissez les informations suivantes :
    • Nom de votre organisation
    • Nom de domaine de votre organisation
    • Nom du contact principal, saisissez le nom de la personne qui crée le compte
    • Adresse e-mail du contact principal, saisissez l’adresse e-mail associée au contact principal
  2. Cliquez sur Enregistrer.

Téléchargez le programme d’installation de Gatekeeper

Sur la page de téléchargement de Gatekeeper, choisissez l’option Télécharger l’installation basée sur un script (.zip). Souvenez-vous de noter ou de sauvegarder le code d’activation. Le code n’est valable que 24 h après la création de votre compte client.

  1. Déverrouillez le fichier zip téléchargé une fois le téléchargement terminé. Dans l’Explorateur Windows, effectuez un clic droit sur le fichier, Propriétés, onglet Général, puis cliquez sur Déverrouiller.
  2. Copiez/extrayez le fichier zip dans le dossier C:\TempGatekeeper de l’ordinateur Gatekeeper ou dans un autre dossier de votre choix.
  3. L’installation basée sur un script peut être lancée depuis une session à distance PowerShell ou depuis la console Hyper-V.
    REMARQUE
    lors de l’installation depuis une session à distance lancée avec la commandeEnter-PsSession, il est probable que vous rencontriez une erreur "Accès refusé". Ceci peut être résolu en utilisant CredSSP à la place :Enter-PsSession -Authentication CredSSPSi CredSSP n’a pas été activé sur votre client et votre serveur, il peut être activé en exécutant les commandes suivantes :
    >

    Sur le client

    Enable-WSManCredSSP -Role Client -DelegateComputerserveur

    server désigne le nom complet de la machine du serveur

    Sur le serveur

    Enable-WSManCredSSP -Role Server

    Pour commencer l’installation, lancez PowerShell (à distance ou depuis la console), exécutez Install.ps1 avec les paramètres appropriés, en fonction de votre type d’installation. Vous trouverez des exemples d’utilisation ci-dessous :

    • Compte de service administré  : C:\TempGatekeeper\Install.ps1 -ManagedServiceAccount -ActivationCode:'12345678'

      Paramètres facultatifs

      Paramètre : -ScopeDn
      Exemple : -ScopeDn:’DC=test,DC=acme,DC=org’
      Remarques : Pour limiter l’autorisation Gatekeeper à une unité d’organisation spécifique et à ses enfants dans Active Directory, utilisez le paramètre "-ScopeDn". Si "-ScopeDn" n’est pas fourni, les utilisateurs de l’ensemble du domaine Active Directory peuvent utiliser Specops Authentication.

      Paramètre : -DelegationRoot
      Exemple : -DelegationRoot:’DC=contoso,DC=com’
      Remarques : Le chemin d’accès dans Active Directory sous lequel vous souhaitez gérer Specops Authentication. L’exemple fourni est l’emplacement par défaut. Si non spécifié, la valeur par défaut sera utilisée.

      Paramètre : -SettingsRoot
      Exemple : -SettingsRoot:’CN=System,DC=contoso,DC=com’
      Remarques : Le chemin d’accès dans Active Directory sous lequel vous souhaitez stocker les paramètres Specops Authentication. L’exemple fourni est l’emplacement par défaut. Si non spécifié, la valeur par défaut sera utilisée.
    • Compte de domaine : Le script d’installation demandera le mot de passe du compte fourni. Assurez-vous de l’avoir à disposition lors de l’exécution du script.C:\TempGatekeeper\Install.ps1 -DomainServiceAccount -DomainServiceAccountName:'Gatekeeper' -ActivationCode:'12345678'
      Paramètres facultatifs
      Paramètre : -ScopeDn
      Exemple : -ScopeDn:’DC=test,DC=acme,DC=org’
      Remarques : Pour limiter l’autorisation Gatekeeper à une unité d’organisation spécifique et à ses enfants dans Active Directory, utilisez le paramètre "-ScopeDn". Si "-ScopeDn" n’est pas fourni, les utilisateurs de l’ensemble du domaine Active Directory peuvent utiliser Specops Authentication.

      Paramètre : -DelegationRoot
      Exemple : -DelegationRoot:’DC=contoso,DC=com’
      Remarques : Le chemin d’accès dans Active Directory sous lequel vous souhaitez gérer Specops Authentication. L’exemple fourni est l’emplacement par défaut. Si non spécifié, la valeur par défaut sera utilisée.

      Paramètre : -SettingsRoot
      Exemple : -SettingsRoot:’CN=System,DC=contoso,DC=com’
      Remarques : Le chemin d’accès dans Active Directory sous lequel vous souhaitez stocker les paramètres Specops Authentication. L’exemple fourni est l’emplacement par défaut. Si non spécifié, la valeur par défaut sera utilisée.
  4. Une fois la procédure d’installation prête, lancez Gatekeeper Admin Tool, et connectez-vous à distance au Gatekeeper. Le fichier MSI pour l’installation de l’outil d’administration est disponible dans le fichier zip téléchargé, sous MSISpecopssoft.Authentication.Gatekeeper.Admin-x64.msi.