Identité Windows
Windows Identity est un service d'identité qui utilise à la fois l'intégration authentifiée Windows ou la saisie manuelle de l'utilisateur pour authentifier les utilisateurs. Dans les cas où la saisie du mot de passe est requise (Inscription ou Changement de mot de passe), le mot de passe est chiffré dans le navigateur en utilisant la clé publique du Gatekeeper pour envoyer le mot de passe chiffré au Gatekeeper.
Remarque
NTLM est un protocole hérité, qui n'est disponible que pour les anciens clients de Specops. Les nouveaux clients auront le service d'identité désactivé par défaut, et ne pourront choisir qu'entre Désactivé ou Kerberos.
Remarque
Bien que vous puissiez voir dans Specops Authentication Web quel protocole est activé, les paramètres ne peuvent être modifiés que dans l'outil d'administration du Gatekeeper. Toutes les instructions et mentions de paramètres et de paramètres ci-dessous se réfèrent donc à l'outil d'administration du Gatekeeper.
L'authentification intégrée Windows permet aux identifiants Active Directory des utilisateurs de passer par leur navigateur vers un serveur web, envoyés hachés (NTLM) ou chiffrés (Kerberos). Configurer l'authentification intégrée pour l'utilisateur authentifiera automatiquement l'utilisateur avec Windows Identity, et accordera le jeton d'authentification Windows Identity.
Activation de l'authentification intégrée
Par défaut, l'authentification intégrée est désactivée pour les nouveaux clients. Si vous souhaitez utiliser l'authentification intégrée, procédez comme suit:
Remarque
Il est recommandé d'utiliser le type de compte Group Managed Service Accounts lors de l'installation des Gatekeepers. Pour plus d'informations, voir gMSA.
- Dans l'outil d'administration du Gatekeeper, sélectionnez Windows Identity.
- Dans le champ Paramètres d'authentification intégrée, cliquez sur Modifier.
-
Dans le menu déroulant Sélectionner le protocole d'authentification, sélectionnez le protocole que vous souhaitez utiliser: NTLM ou Kerberos.
Remarque
Il n'est pas recommandé d'utiliser le protocole NTLM. NTLM est un protocole hérité qui offre moins de sécurité. Veuillez envisager d'utiliser le protocole Kerberos à la place.
-
Cliquez sur OK.
-
Ajoutez l'url d'authentification intégrée à l'Intranet local dans Options Internet pour chaque client.
Remarque
Cela peut être fait en ajoutant l'URL à la liste des sites de confiance dans le Panneau de configuration Windows > Options Internet > Onglet Sécurité > Intranet local > Site, puis ajoutez l'URL. Cela peut également être fait via le registre. Plus d'informations sur ce dernier peuvent être trouvées ici: Moyens alternatifs pour mettre à jour les sites de confiance. Notez que le billet de blog référencé ici traite d'une URL différente, bien que le processus soit le même.
NTLM
Windows New Technology LAN Manager (NTLM) est une suite de protocoles de sécurité proposés par Microsoft pour authentifier l'identité des utilisateurs et protéger l'intégrité et la confidentialité de leur activité. Au cœur, NTLM est un outil de connexion unique (SSO) qui repose sur un protocole de défi-réponse pour confirmer l'utilisateur sans exiger qu'il soumette un mot de passe.
La configuration pour NTLM consiste à faire confiance à l'URL qui est affichée dans l'outil d'administration du Gatekeeper sous l'onglet Windows Identity. Elle peut être déployée en tant que GPO, par ordinateur ou par utilisateur.
Remarque
NTLM est une suite héritée de protocoles de sécurité Microsoft. NTLM a été remplacé par le protocole Kerberos plus récent et plus sécurisé. Si vous utilisez encore NTLM, veuillez envisager d'utiliser le protocole Kerberos à la place.
Paramètres
| Paramètre | Description |
|---|---|
| Fournisseur actif | Indique le protocole actuellement utilisé pour ce Gatekeeper |
| URL d'authentification intégrée | L'URL d'authentification qui doit être ajoutée aux sites de confiance pour tous les clients |
Kerberos
Kerberos est un protocole de sécurité de réseau informatique qui authentifie les demandes de service entre deux ou plusieurs hôtes de confiance sur un réseau non fiable, comme Internet. Il utilise la cryptographie à clé secrète et un tiers de confiance pour authentifier les applications client-serveur et vérifier l'identité des utilisateurs.
Kerberos garantit que seuls les utilisateurs autorisés peuvent accéder aux ressources du réseau. De plus, il fournit une sécurité AAA: Authentification, Autorisation et Comptabilité.
Kerberos offre un protocole d'authentification plus sécurisé et efficace que son homologue hérité, NTLM, permettant un chiffrement plus fort et un risque réduit d'attaques par mot de passe.
Pour utiliser Kerberos, il est nécessaire d'utiliser un compte de service géré de groupe (gMSA). Plus d'informations sur gMSA peuvent être trouvées ici.
Compte de service géré de groupe (gMSA)
Le compte de service géré de groupe (gMSA) est à bien des égards similaire aux comptes de service gérés. Il dispose d'une gestion automatique des mots de passe, un long mot de passe qui est automatiquement mis à jour périodiquement. La différence entre les comptes de service gérés et gMSA est que plusieurs machines peuvent utiliser le même compte. Donc, si vous exécutez un service dans une ferme de serveurs et que vous souhaitez utiliser l'authentification intégrée, vous devez utiliser gMSA. Lorsque le client demande un ticket Kerberos pour accéder au service, peu importe quelle instance sur la ferme de serveurs traite la demande.
Pour que gMSA fonctionne dans l'Active Directory, et comme condition préalable à l'utilisation de gMSA lors de l'installation du Gatekeeper, l'administrateur de domaine doit créer la clé racine du service de distribution de clés. Cela peut être fait en se connectant à un contrôleur de domaine (Windows Server 2012 ou ultérieur) et en exécutant “Add-KdsRootKey -EffectiveImmediately” depuis PowerShell qui a le module Active Directory de Windows PowerShell installé.
Remarque
Même si le drapeau -EffectiveImmediately est utilisé, cela peut prendre un certain temps pour que le DC crée la clé racine KDS. Get-KdsRootKey peut être utilisé pour vérifier que la clé racine KDS a été créée.
Plus d'informations sur gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Plus d'informations sur la création de la clé racine KDS: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
Création de gMSA lors de l'installation du Gatekeeper
Les administrateurs peuvent laisser le processus d'installation créer le gMSA ou l'administrateur peut choisir un gMSA existant. L'assistant d'installation du Gatekeeper configurera les autorisations nécessaires pour la machine où le Gatekeeper est installé pour être autorisé à utiliser le compte gMSA. Si le compte gMSA est créé lors de l'installation, le serveur qui installe le Gatekeeper doit être redémarré afin d'obtenir les jetons nécessaires pour accéder au compte gMSA. Le processus de redémarrage doit être fluide et rouvrir l'assistant d'installation lors de la connexion, qui devrait reprendre avant le redémarrage.
Configuration de Kerberos
Tout d'abord, comme mentionné dans la section sur l'activation de l'authentification intégrée, l'url d'authentification intégrée doit être ajoutée aux Sites de confiance dans Options Internet pour chaque client.
Configuration du nom principal de service (SPN)
Pour que le navigateur sache quel compte il doit demander au centre de distribution de clés Kerberos (KDC) pour un ticket Kerberos, le nom principal de service doit être configuré. Cela peut être configuré par l'outil d'administration du Gatekeeper, il sera également vérifié par l'outil d'administration GK.
Les étapes du processus de vérification du SPN sont les suivantes:
- Énumérer tous les Gatekeepers et leurs comptes
- Vérifiez si un SPN existe pour HTTP/uniqueId.trust.specopsauthentication.com (pour la production NA)
- Vérifiez que le compte est le même que le compte qui exécute les Gatekeepers
Si les Gatekeepers fonctionnent sous plusieurs comptes, les administrateurs seront avertis qu'il est préférable de fonctionner en tant que gMSA. L'authentification intégrée fonctionnera également si plusieurs Gatekeepers fonctionnent sous différents comptes si le SPN correspond au compte sous lequel le Gatekeeper principal fonctionne. Cependant, si le Gatekeeper principal tombe en panne, l'authentification Kerberos cessera de fonctionner.
Plus d'informations
Génération de SPN: https://www.chromium.org/developers/design-documents/http-authentication/
Configurer Chrome pour désactiver la recherche cname: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Configurer Edge pour désactiver la recherche cname: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Paramètres
| Paramètre | Description |
|---|---|
| Fournisseur actif | Indique le protocole actuellement utilisé pour ce Gatekeeper |
| URL d'authentification intégrée | L'URL d'authentification qui doit être ajoutée aux sites de confiance pour tous les clients |
| Statut de configuration SPN | Indique si le SPN a été configuré |
| Compte SPN | Le nom du compte SPN, si le SPN a été configuré |
Plusieurs Gatekeepers
Si plusieurs Gatekeepers sont configurés, tous les Gatekeepers doivent être configurés pour utiliser le protocole Kerberos pour que l'authentification intégrée fonctionne correctement. Tous les Gatekeepers devront avoir accès au même compte Kerberos (sinon l'authentification intégrée ne fonctionnera pas si l'un des Gatekeepers est en panne).
Puisque tous les Gatekeepers doivent avoir accès au même compte, Specops Authentication fournit un support pour les comptes de service gérés de groupe.