Activer l’authentification au serveur Web Password Reset
L’authentification au serveur Web de Password Reset s’effectue via l’authentification intégrée de Windows. Il est nécessaire que le service soit identifié en tant que serveur Intranet pour que cela fonctionne. Si l’authentification intégrée de Windows n’est pas utilisée, l’utilisateur sera invité à saisir son nom d’utilisateur et son mot de passe qui utiliseront "l’authentification de base" et enverront les informations utilisateur via HTTP.
Activer l’authentification intégrée dans Internet Explorer
- Ouvrez la console de gestion des stratégies de groupe.
- Effectuez un clic droit sur le nœud Objet de stratégie de groupe , et sélectionnez Modifier.
- Dans l’éditeur de gestion des stratégies de groupe, développez Configuration ordinateur, Stratégies, Modèles d’administration, Composants Windows, Internet Explorer, Panneau de configuration d’Internet Explorer, et sélectionnez Page de sécurité.
- Dans le volet d’informations, effectuez un double clic sur Liste des attributions de sites aux zones.
- Cliquez sur Activer.
- Cliquez sur Afficher....
- Dans le champ de texte Nom de la valeur, ajoutez votre URL.
- Dans le champ de texte Valeur, utilisez la valeur “1”pour les entrées dans la zone approuvée.
- Dans la boîte de dialogue Afficher le contenu, cliquez sur OK.
- Cliquez sur OK pour terminer.
Activer l’authentification intégrée dans Firefox
Vous pouvez configurer Firefox pour utiliser l’authentification intégrée de Windows.
- Ouvrez Firefox.
- Dans la barre d’adresse, tapez about:config
- Vous recevrez un avertissement de sécurité. Pour continuer, cliquez sur Je ferai attention, promis.
- Vous devrez modifier les paramètres suivants :
Paramètre Valeur network.automatic-ntlm-auth.trusted-uris MySprServer.domain.com network.automatic-ntlm-auth.allow-proxies True network.negotiate-auth.allow-proxies True
Activer l’authentification intégrée dans Chrome
Pour autoriser Chrome à utiliser l’authentification intégrée Windows, vous devez configurer Chrome.exe. Il est recommandé à la plupart des organisations d’utiliser l’alternative en ligne de commande ou de modifier le registre sur un ou plusieurs ordinateurs. Dans d’autres organisations, telles que les écoles, où un enseignant doit pouvoir réinitialiser les mots de passe des élèves, il peut être préférable d’utiliser un objet de stratégie de groupe pour l’unité d’organisation de l’enseignant.
Utiliser la ligne de commande
Vous pouvez ajouter un raccourci chrome.exe sur le bureau de l’utilisateur. Lancez Chrome avec une ligne de commande contenant les éléments suivants :
--auth-server-whitelist="MYSPRSERVER.DOMAIN.COM" --auth-negotiate-delegate-whitelist="MYSPRSERVER.DOMAIN.COM" --auth-schemes="digest,ntlm,negotiate"
Modifier le registre
Configurez les paramètres de registre suivants avec les valeurs correspondantes :
| Registre | Valeur |
|---|---|
| AuthSchemes | Type de données :
String (REG_SZ) Emplacement du registre Windows : Software\Policies\Google\Chrome\AuthSchemes Nom de la préférence Mac/Linux : AuthSchemes Pris en charge sur :
Fonctionnalités prises en charge : Actualisation dynamique de la stratégie : Non, Par profil : Non Description : Indique les schémas d’authentification HTTP pris en charge par Google Chrome. Les valeurs possibles sont ‘basic’, ‘digest’, ‘ntlm’ et ‘negotiate’. Séparez plusieurs valeurs par des virgules. Si cette stratégie n’est pas définie, les quatre schémas seront utilisés. Valeur : “basic,digest,ntlm,negotiate” |
| Registre | Valeur |
| AuthServerWhitelist | Type de données :
String (REG_SZ) Emplacement du registre Windows : Software\Policies\Google\Chrome\AuthServerWhitelist Nom de la préférence Mac/Linux : AuthServerWhitelist Pris en charge sur :
Fonctionnalités prises en charge : Actualisation dynamique de la stratégie : Non, Par profil : Non Description : Spécifie les serveurs à mettre sur la liste approuvée pour l’authentification intégrée. L’authentification intégrée est uniquement activée lorsque Google Chrome reçoit une demande d’authentification d’un proxy ou d’un serveur figurant sur cette liste autorisée. Séparez plusieurs noms de serveur par des virgules. Les caractères génériques (*) sont autorisés. Si vous laissez cette stratégie non définie, Chrome essaiera de détecter si un serveur se trouve sur l’Intranet et ce n’est qu’alors qu’il répondra aux requêtes IWA. Si un serveur est détecté en tant qu’Internet, les requêtes IWA provenant de celui-ci seront ignorées par Chrome. Valeur : “MYSPRSERVER.DOMAIN.COM” |
| Registre | Valeur |
| AuthNegotiateDelegateWhitelist | Type de données :
String (REG_SZ) Emplacement du registre Windows : Software\Policies\Google\Chrome\AuthNegotiateDelegateWhitelist Nom de la préférence Mac/Linux : AuthNegotiateDelegateWhitelist Pris en charge sur :
Fonctionnalités prises en charge : Actualisation dynamique de la stratégie : Non, Par profil : Non Description : Serveurs auxquels Google Chrome peut déléguer. Séparez plusieurs noms de serveur par des virgules. Les caractères génériques (*) sont autorisés. Si cette stratégie n’est pas définie, Chrome ne déléguera pas les informations d’identification de l’utilisateur, même si un serveur est détecté en tant qu’Intranet. Exemple de valeur : “MYSPRSERVER.DOMAIN.COM” |
Configurer un objet de stratégie de groupe
- Téléchargez le Fichier Zip des modèles et de la documentation ADM/ADMX sur : chromium.org/administrators/policy-templates.
- Ajoutez le modèle ADMX à votre magasin central. Pour plus d’informations veuillez consulter le Guide d’administration de Specops Password Reset.
- Configurez un objet de stratégie de groupe avec le nom d’hôte DNS du serveur Specops Password Reset avec la Liste approuvée du serveur de délégation Kerberos et la Liste approuvée du serveur d’authentification