Compte de service administré de groupe (gMSA)
Un compte de service administré de groupe (gMSA) est à bien des égards similaire aux comptes de service administrés. Il dispose d’une gestion automatique des mots de passe, un mot de passe long qui est automatiquement mis à jour périodiquement. La différence entre un compte de service administré et un gMSA réside dans le fait que plusieurs machines peuvent utiliser le même compte. Ainsi, si vous exécutez un service sur une batterie de serveurs et que vous souhaitez utiliser l’authentification intégrée, vous devez utiliser un gMSA. Lorsque le client demande un ticket Kerberos pour accéder au service, l’instance de la batterie de serveurs qui traite la demande n’a pas d’importance.
Afin que le gMSA fonctionne dans Active Directory, une condition préalable à l’utilisation d’un gMSA lors de l’installation de Gatekeeper, l’administrateur de domaine doit créer la clé racine du service de distribution de clés. Ceci peut être effectué en vous connectant à un contrôleur de domaine (Windows Server 2012 ou version ultérieure), sur lequel le module Windows PowerShell Active Directory est installé, et en exécutant “Add-KdsRootKey -EffectiveImmediately” à partir de PowerShell.
Même si l’indicateur -EffectiveImmediately est utilisé, la création de la clé racine KDS par le contrôleur de domaine peut prendre un certain temps. Get-KdsRootKey peut être utilisé pour vérifier que la clé racine KDS a été créée.
Plus d’informations sur gMSA : https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview
Plus d’informations sur la création d’une clé racine KDS : https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key
Création d’un gMSA lors de l’installation de Gatekeeper
Les administrateurs peuvent permettre au processus d’installation de créer le gMSA ou sélectionner un gMSA existant. L’assistant d’installation de Gatekeeper configurera les autorisations nécessaires pour que la machine sur laquelle Gatekeeper est installé soit autorisée à utiliser le gMSA. Si le gMSA est créé lors de l’installation, le serveur qui installe le Gatekeeper doit être redémarré afin d’obtenir les jetons nécessaires pour accéder au gMSA. Le processus de redémarrage devrait être fluide et rouvrir l’assistant d’installation une fois connecté, qui devrait alors reprendre comme avant le redémarrage.