Administration avancée
Le contenu ci-dessous est destiné aux administrateurs qui souhaitent mieux comprendre les façons dont les composants de Specops Password Sync interagissent, et comment configurer au mieux le système dans différents types d'environnements.
Composants
Specops Password Sync se compose des composants suivants. L'aperçu ci-dessous montre la communication entre les composants lors de la réalisation d'une synchronisation de mot de passe.
Specops Password Change Notifier
Le Specops Password Change Notifier répond aux changements de mot de passe réussis effectués par le contrôleur de domaine et envoie des demandes de synchronisation de mot de passe au serveur de synchronisation. Le Password Change Notifier doit être installé sur tous les contrôleurs de domaine qui gèrent les demandes de changement de mot de passe.
Note: Il est préférable d'avoir le Password Change Notifier sur tous les contrôleurs de domaine, mais seuls les contrôleurs de domaine qui gèrent les demandes de changement de mot de passe nécessiteront le notifier.
Le Specops Password Change Notifier contient les sous-composants suivants:
- Filtre Notifier
- Service Notifier
Filtre Notifier
Le Filtre Notifier intercepte les changements de mot de passe sur le contrôleur de domaine. Lorsqu'un changement de mot de passe réussi est détecté, le Filtre Notifier effectuera les validations de sécurité suivantes:
-
Vérifier les groupes privilégiés: Les utilisateurs avec la propriété d'objet utilisateur adminCount définie à 1 dans Active Directory (Domain Admins, Schema Admins, etc.) sont filtrés et n'auront pas leurs mots de passe synchronisés. Un événement sera écrit dans le journal chaque fois qu'un travail de synchronisation de mot de passe pour un utilisateur protégé est détecté.
Remarque
Vous pouvez activer la synchronisation des mots de passe pour les groupes privilégiés à partir des paramètres du registre Change Notifier. Pour plus d'informations, consultez le Guide d'administration de Specops Password Sync.
-
Vérifier la portée de gestion: Chaque portée de synchronisation doit avoir au moins une portée de gestion utilisateur configurée.
Remarque
Si une stratégie de groupe qui affecte un utilisateur est liée en dehors de la portée, cela entraînera la non-synchronisation du mot de passe, et une entrée de journal d'événements sera écrite sur le contrôleur de domaine.
-
Vérifier les serveurs de synchronisation configurés: Le Filtre Notifier vérifie le(s) serveur(s) de synchronisation configuré(s) avec un point de synchronisation spécifique. Cela empêche un administrateur malveillant de remplacer un serveur de synchronisation approuvé par un qu'il peut contrôler. Cela empêche les administrateurs malveillants de contourner la sécurité centrale du système.
Une fois les vérifications de sécurité terminées, un fichier de demande de changement de mot de passe sera créé pour chaque point de synchronisation configuré. Le mot de passe est chiffré avec le mécanisme de protection des données Windows (DPAPI) en utilisant les informations d'identification du système du contrôleur de domaine. Cela signifie que seul le contrôleur de domaine peut déchiffrer le mot de passe. Le chemin par défaut vers la file d'attente des travaux est:
%SystemRoot%\System32\SpecopsPasswordSync\Queues
Remarque
- Le chemin vers la file d'attente des travaux est sur le contrôleur de domaine.
- Seul le système local a les permissions pour accéder à cet emplacement.
Service Notifier
Le Specops Password Change Notifier Service récupérera le fichier de demande de changement de mot de passe du dossier de la file d'attente et obtiendra le serveur de synchronisation correct à partir d'Active Directory. Le Service Notifier s'exécute dans le contexte de sécurité du contrôleur de domaine et est capable de déchiffrer le mot de passe. Le Service Notifier tentera de configurer une session SSL chiffrée avec le serveur de synchronisation principal pour le point de synchronisation. Si cela échoue, le serveur de synchronisation secondaire est contacté. Lorsque la session est établie, l'identité du service du serveur de synchronisation distant est vérifiée à l'aide de l'authentification mutuelle Kerberos pour vérifier que l'ordinateur distant est l'ordinateur configuré dans Active Directory. La demande de changement de mot de passe est transmise au serveur de synchronisation via le canal sécurisé chiffré. Une fois qu'une tentative de communication réussie est effectuée, le fichier de demande de changement de mot de passe chiffré local est supprimé du dossier de la file d'attente.
Specops Password Sync Server
Le Specops Password Sync Server synchronise les nouveaux mots de passe avec les systèmes connectés.
Le Specops Password Sync Notifier se connecte et envoie des demandes de changement de mot de passe au Specops Password Sync Server via une connexion SSL sur le port 4377. Lorsqu'un serveur de synchronisation est contacté par le Notifier, le serveur de synchronisation vérifie que l'ordinateur de connexion est le bon contrôleur de domaine en utilisant l'authentification mutuelle Kerberos. Lorsque la demande est validée, le mot de passe est chiffré avec les informations d'identification du système DPAPI et ajouté à la base de données SQL CE située dans:
%LocalAppData%\Specops Password Sync\SpecopsPasswordSync.sdf
Remarque
Le Specops Password Sync Server utilise un fournisseur Specops Password Sync pour contacter les systèmes cibles configurés dans le point de synchronisation et effectue la synchronisation des mots de passe. Une fois le mot de passe synchronisé, l'entrée chiffrée dans la base de données est supprimée. Si la synchronisation n'est pas réussie, le Specops Password Sync Server continuera d'essayer jusqu'à ce qu'il ait atteint la tentative de réessai. Si toutes les réessais ont échoué, le mot de passe chiffré sera supprimé.
Ports TCP IP du serveur de synchronisation
Le serveur de synchronisation utilise deux ports pour la communication sur le réseau interne.
| Clé de registre | Description |
|---|---|
| TCP/4377 | Communication de travail de synchronisation de mot de passe entre le Service Notifier et le serveur de synchronisation. |
| TCP/4378 | Utilisé lorsque l'outil d'administration communique avec le serveur de synchronisation. |
Les paramètres de port sont stockés dans le fichier de configuration du service “PasswordSync.Server.exe.config” dans le répertoire d'installation du service. Vous pouvez modifier les numéros de port en éditant la section suivante du fichier:
<service name="Specopssoft.PasswordSync.Server.HttpPasswordChangeListener" behaviorConfiguration="SpsServiceBehavior">
<add baseAddress="https://SRV01.specops.demo:4377/SPS"/>
<service name="Specopssoft.PasswordSync.Server.SyncServerAdminHost" behaviorConfiguration="DevelopmentSpsServiceBehavior">
<add baseAddress="net.tcp://SRV01.specops.demo:4378/SPS"/>
Une fois que vous avez modifié les numéros de port, vous devrez enregistrer le fichier et redémarrer le service du serveur de synchronisation. Si vous changez les ports et les pare-feux manuellement, vous devrez effectuer les modifications à nouveau après une mise à niveau.
Stockage de configuration intégré à Active Directory
Specops Password Sync utilise Active Directory pour stocker les données de configuration utilisées par le système. Les paramètres pour Specops Password Sync peuvent être trouvés dans le conteneur système dans le domaine. Dans Active Directory Users and Computers (avec la vue avancée activée) ou ADSI edit, vous pouvez naviguer vers
<your_domain_fqdn>/System/Specops/PasswordSync pour trouver l'emplacement de stockage.
Les données de configuration sont stockées dans ce conteneur et les objets serviceConnectionPoint de l'objet Specops Password Sync Server. Ces deux éléments font partie du schéma standard d'Active Directory. En stockant les informations dans Active Directory, le système assure un fonctionnement fiable.