Activer l'authentification sur le serveur Web
L'authentification au serveur Web de Password Reset se fait via l'authentification intégrée de Windows. Il est nécessaire que le service soit identifié comme un serveur intranet pour que cela fonctionne. Si l'authentification intégrée de Windows n'est pas utilisée, l'utilisateur sera invité à saisir son nom d'utilisateur et son mot de passe, ce qui utilisera l'« Authentification de base » et enverra les informations de l'utilisateur via HTTP.
Activer l'authentification intégrée dans Internet Explorer
- Ouvrez la Console de gestion des stratégies de groupe.
- Faites un clic droit sur le nœud GPO, et sélectionnez Modifier.
- Dans l'Éditeur de gestion des stratégies de groupe, développez Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Internet Explorer, Panneau de configuration d'Internet Explorer, et sélectionnez Page de sécurité.
- Dans le volet des détails, double-cliquez sur Liste d'affectation de site à zone.
- Cliquez sur Activer.
- Cliquez sur Afficher….
- Dans le champ de texte Nom de la valeur, ajoutez votre URL.
- Dans le champ de texte Valeur, utilisez la valeur « 1 » pour les entrées dans la zone de confiance.
- Dans la boîte de dialogue Afficher le contenu, cliquez sur OK.
- Cliquez sur OK pour terminer.
Activer l'authentification intégrée dans Firefox
Vous pouvez configurer Firefox pour utiliser l'authentification intégrée de Windows.
- Ouvrez Firefox.
- Dans la barre d'adresse, tapez about:config
- Vous recevrez un avertissement de sécurité. Pour continuer, cliquez sur Je ferai attention, je le promets.
- Vous devrez modifier les paramètres suivants:
| Paramètre | Valeur |
|---|---|
| network.automatic-ntlm-auth.trusted-uris | MySprServer.domain.com |
| network.automatic-ntlm-auth.allow-proxies | True |
| network.negotiate-auth.allow-proxies | True |
Activer l'authentification intégrée dans Chrome
Pour permettre à Chrome d'utiliser l'authentification intégrée de Windows, vous devez configurer Chrome.exe. Il est recommandé que la plupart des organisations utilisent l'alternative de la ligne de commande ou modifient le registre sur un ou quelques ordinateurs. Dans d'autres organisations, comme les écoles, où un enseignant devrait pouvoir réinitialiser les mots de passe des étudiants, il pourrait être préférable d'utiliser un GPO pour l'OU de l'enseignant.
Utiliser la ligne de commande
Vous pouvez ajouter un raccourci chrome.exe sur le bureau de l'utilisateur. Démarrez Chrome avec une ligne de commande contenant ce qui suit:
--auth-server-whitelist="MYSPRSERVER.DOMAIN.COM"
--auth-negotiate-delegate-whitelist="MYSPRSERVER.DOMAIN.COM"
--auth-schemes="digest,ntlm,negotiate"
Modifier le registre
Configurez les paramètres de registre suivants avec les valeurs correspondantes:
| Registre | Valeur |
|---|---|
| AuthSchemes | Type de données: Chaîne (REG_SZ) Emplacement du registre Windows: Software\Policies\Google\Chrome\AuthSchemes Nom de préférence Mac/Linux: AuthSchemes Pris en charge sur:
Actualisation dynamique des politiques: Non, Par profil: Non Description: Spécifie quels schémas d'authentification HTTP sont pris en charge par Google Chrome. Les valeurs possibles sont 'basic', 'digest', 'ntlm' et 'negotiate'. Séparez plusieurs valeurs par des virgules. Si cette politique n'est pas définie, les quatre schémas seront utilisés. Valeur: “basic,digest,ntlm,negotiate” |
| Registre | Valeur |
|---|---|
| AuthServerWhitelist | Type de données: Chaîne (REG_SZ) Emplacement du registre Windows: Software\Policies\Google\Chrome\AuthServerWhitelist Nom de préférence Mac/Linux: AuthServerWhitelist Pris en charge sur:
Actualisation dynamique des politiques: Non, Par profil: Non Description: Spécifie quels serveurs doivent être sur liste blanche pour l'authentification intégrée. L'authentification intégrée n'est activée que lorsque Google Chrome reçoit un défi d'authentification d'un proxy ou d'un serveur qui figure dans cette liste autorisée. Séparez plusieurs noms de serveurs par des virgules. Les caractères génériques (*) sont autorisés. Si vous ne définissez pas cette politique, Chrome essaiera de détecter si un serveur est sur l'Intranet et ne répondra aux demandes IWA que dans ce cas. Si un serveur est détecté comme étant sur Internet, les demandes IWA de celui-ci seront ignorées par Chrome. Valeur: “MYSPRSERVER.DOMAIN.COM” |
| Registre | Valeur |
|---|---|
| AuthNegotiateDelegateWhitelist | Type de données: Chaîne (REG_SZ) Emplacement du registre Windows: Software\Policies\Google\Chrome\AuthNegotiateDelegateWhitelist Nom de préférence Mac/Linux: AuthNegotiateDelegateWhitelist Pris en charge sur:
Actualisation dynamique des politiques: Non, Par profil: Non Description:Les serveurs auxquels Google Chrome peut déléguer. Séparez plusieurs noms de serveurs par des virgules. Les caractères génériques (*) sont autorisés. Si vous ne définissez pas cette politique, Chrome ne délèguera pas les informations d'identification de l'utilisateur même si un serveur est détecté comme étant sur l'Intranet. Valeur d'exemple: “MYSPRSERVER.DOMAIN.COM” |
Configurer le GPO
- Téléchargez Fichier Zip des modèles ADM/ADMX et documentation depuis: chromium.org/administrators/policy-templates.
- Ajoutez le modèle ADMX à votre magasin central. Pour plus d'informations, consultez le Guide d'administration de Specops Password Reset.
- Configurez un GPO avec le nom d'hôte DNS du serveur Specops Password Reset avec Liste blanche des serveurs de délégation Kerberos et Liste blanche des serveurs d'authentification.