Installation scriptée

Pour commencer avec Specops Authentication pour uReset 8, vous devrez installer le composant Gatekeeper dans votre Active Directory. L'installation recommandée est de télécharger le package d'installation auto-extractible et de compléter les étapes de l'assistant d'installation.

Alternativement, si votre organisation utilise Windows Server Core (sans interface graphique), vous pouvez utiliser la procédure d'installation basée sur un script PowerShell. Ce guide vous guidera à travers la procédure d'installation basée sur un script.

Exigences

L'environnement de votre organisation doit répondre aux exigences suivantes:

Ordinateur serveur Gatekeeper:
- Joint à votre domaine Active Directory
- Windows Server 2012 R2 ou plus récent (core ou avec expérience de bureau)
- .NET Framework 4.7 ou ultérieur
Privilèges administratifs: Pour Active Directory et l'ordinateur serveur Gatekeeper. Il est recommandé d'exécuter l'installation en tant qu'administrateur de domaine.
Options de compte: Il existe deux options pour le compte sous lequel le service Windows Gatekeeper s'exécutera. Préparez-vous à utiliser l'une des options suivantes:
- Compte de service géré (recommandé): Utiliser un compte de service géré pour le Gatekeeper est facile, sans actions supplémentaires requises pour vous en tant qu'administrateur d'installation. Le script créera un compte de service géré dans votre Active Directory. Si le sAMAccountName du serveur Gatekeeper dans Active Directory est « SRV17 », le nom du compte de service géré sera « SGkSRV17$ ».
- Compte de domaine: Si vous préférez utiliser un compte de domaine, il doit être créé avant d'exécuter l'installation. Vous aurez besoin du sAMAccountName et du mot de passe du compte à portée de main.
Groupes de sécurité: Le script d'installation créera des groupes de sécurité utilisés par Specops Authentication. Aucune action n'est requise de votre part.
- Groupe Admin: Les utilisateurs membres de ce groupe seront des administrateurs du portail. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Admin Utilisateur: Les utilisateurs membres de ce groupe pourront accéder aux fonctionnalités de gestion des utilisateurs sur le web Authentication. L'utilisateur actuel sera automatiquement ajouté à ce groupe.
- Groupe Gatekeepers: Les comptes de service membres de ce groupe auront la permission de lire les informations utilisateur. Le compte exécutant le Gatekeeper sera ajouté au groupe de sécurité Gatekeepers.

Créez votre compte client

Pour commencer avec Specops Authentication pour uReset 8, vous aurez besoin d'un compte client. Vous pouvez créer votre compte client à partir de: https://login.specopssoft.com/Authentication/Account/Signup

Entrez les informations suivantes:
- Le nom de votre organisation
- Le nom de domaine de votre organisation
- Nom du contact principal, entrez le nom de la personne configurant le compte
- Email du contact principal, entrez l'adresse email associée au contact principal
Cliquez sur Enregistrer.

Téléchargez la configuration de Gatekeeper

Sur la page de téléchargement de Gatekeeper, utilisez l'option Télécharger l'installation basée sur un script (.zip). N'oubliez pas de noter ou de sauvegarder le code d'activation. Le code n'est valable que pendant 24 heures après la création de votre compte client.

Débloquez le fichier zip téléchargé après le téléchargement. Depuis l'Explorateur Windows, cliquez avec le bouton droit sur le fichier, Propriétés, onglet Général, et cliquez sur Débloquer.
Copiez/extrayez le zip dans le dossier C:\TempGatekeeper de l'ordinateur Gatekeeper, ou un autre dossier que vous sélectionnez.
L'installation basée sur un script peut être démarrée à partir d'une session distante PowerShell ou depuis la console Hyper-V.

Remarque

lors de l'installation en utilisant une session distante initiée avec la commande Enter-PsSession, il est probable que vous rencontriez une erreur « Accès refusé ». Cela peut être résolu en utilisant CredSSP à la place: Enter-PsSession -Authentication CredSSP. Si CredSSP n'a pas été activé sur votre client et serveur, il peut être activé en émettant les commandes suivantes:

Sur le client

Enable-WSManCredSSP -Role Client -DelegateComputer serveur

où serveur désigne le nom complet de la machine du serveur

Sur le serveur

Enable-WSManCredSSP -Role Server

Pour commencer l'installation, démarrez PowerShell (soit à distance, soit depuis la console), exécutez Install.ps1 avec les paramètres appropriés, selon votre type d'installation. Voir les exemples d'utilisation ci-dessous:
- Compte de service géré: C:\TempGatekeeper\Install.ps1 -ManagedServiceAccount -ActivationCode:'12345678'
  
  Paramètres optionnels
  
  Paramètre: -ScopeDn
  
  Exemple: -ScopeDn:’DC=test,DC=acme,DC=org’
  
  Remarques: Pour restreindre la permission de Gatekeeper à une unité d'organisation spécifique, et à ses enfants dans Active Directory, utilisez le paramètre « -ScopeDn ». Si « -ScopeDn » n'est pas fourni, les utilisateurs de tout le domaine Active Directory peuvent utiliser Specops Authentication.
  
  Paramètre: -DelegationRoot
  
  Exemple: -DelegationRoot:’DC=contoso,DC=com’
  
  Remarques: Le chemin dans Active Directory sous lequel vous souhaitez gérer Specops Authentication. L'exemple fourni est l'emplacement par défaut. Si non fourni, le défaut sera utilisé.
  
  Paramètre: -SettingsRoot
  
  Exemple: -SettingsRoot:’CN=System,DC=contoso,DC=com’
  
  Remarques: Le chemin dans Active Directory sous lequel vous souhaitez stocker les paramètres de Specops Authentication. L'exemple fourni est l'emplacement par défaut. Si non fourni, le défaut sera utilisé.
- Compte de domaine: Le script d'installation demandera le mot de passe du compte fourni, donc ayez-le à disposition lors de l'exécution du script. C:\TempGatekeeper\Install.ps1 -DomainServiceAccount -DomainServiceAccountName:'Gatekeeper' -ActivationCode:'12345678'
  
  Paramètres optionnels
  
  Paramètre: -ScopeDn
  
  Exemple: -ScopeDn:’DC=test,DC=acme,DC=org’
  
  Remarques: Pour restreindre la permission de Gatekeeper à une unité d'organisation spécifique, et à ses enfants dans Active Directory, utilisez le paramètre « -ScopeDn ». Si « -ScopeDn » n'est pas fourni, les utilisateurs de tout le domaine Active Directory peuvent utiliser Specops Authentication.
  
  Paramètre: -DelegationRoot
  
  Exemple: -DelegationRoot:’DC=contoso,DC=com’
  
  Remarques: Le chemin dans Active Directory sous lequel vous souhaitez gérer Specops Authentication. L'exemple fourni est l'emplacement par défaut. Si non fourni, le défaut sera utilisé.
  
  Paramètre: -SettingsRoot
  
  Exemple: -SettingsRoot:’CN=System,DC=contoso,DC=com’
  
  Remarques: Le chemin dans Active Directory sous lequel vous souhaitez stocker les paramètres de Specops Authentication. L'exemple fourni est l'emplacement par défaut. Si non fourni, le défaut sera utilisé.
Une fois la procédure d'installation prête, démarrez l'outil d'administration Gatekeeper et connectez-vous à distance au Gatekeeper. L'installation de l'outil d'administration MSI est disponible dans le fichier zip téléchargé, sous MSISpecopssoft.Authentication.Gatekeeper.Admin-x64.msi.