Guide pratique pour configurer la délégation Kerberos contrainte pour les pages proxy d’inscription web

L’article fournit des instructions pas à pas pour implémenter le service pour l’utilisateur vers le proxy (S4U2Proxy) ou la délégation Kerberos limitée uniquement sur un compte de service personnalisé pour les pages proxy d’inscription web.

Numéro de base de connaissances d’origine : 4494313

Résumé

Cet article fournit des instructions pas à pas pour implémenter le service pour que l’utilisateur vers le proxy (S4U2Proxy) ou la délégation Kerberos uniquement contrainte pour les pages proxy d’inscription web. Cet article décrit les scénarios de configuration suivants :

• Configuration de la délégation pour un compte de service personnalisé
• Configuration de la délégation sur le compte NetworkService

Note

Les flux de travail décrits dans cet article sont spécifiques à un environnement particulier. Les mêmes flux de travail peuvent ne pas fonctionner pour une situation différente. Toutefois, les principes restent les mêmes. La figure suivante récapitule cet environnement.

Scénario 1 : Configurer la délégation contrainte pour un compte de service personnalisé

Cette section explique comment implémenter le service pour l’utilisateur au proxy (S4U2Proxy) ou la délégation Kerberos uniquement contrainte lorsque vous utilisez un compte de service personnalisé pour les pages proxy d’inscription web.

1. Ajouter un SPN au compte de service

Associez le compte de service à un nom de principal de service (SPN). Pour ce faire, procédez comme suit :

1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnez Utilisateurs PKI PKI>.

2. Cliquez avec le bouton droit sur le compte de service (par exemple, web_svc), puis sélectionnez Propriétés.

3. Sélectionnez l’éditeur d’attributs>servicePrincipalName.

4. Tapez la nouvelle chaîne SPN, sélectionnez Ajouter (comme illustré dans la figure suivante), puis sélectionnez OK.

   

   Vous pouvez également utiliser Windows PowerShell pour configurer le SPN. Pour ce faire, ouvrez une fenêtre PowerShell avec élévation de privilèges, puis exécutez setspn -s SPN Accountname. Par exemple, examinez la commande suivante :

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. Configurer la délégation

1. Configurez la délégation contrainte S4U2proxy (Kerberos uniquement) sur le compte de service. Pour ce faire, dans la boîte de dialogue Propriétés du compte de service (comme décrit dans la procédure précédente), sélectionnez Délégation>Approuver cet utilisateur pour la délégation aux services spécifiés uniquement. Assurez-vous que l’utilisation de Kerberos est sélectionnée uniquement .

   

2. Fermez la boîte de dialogue.

3. Dans l’arborescence de la console, sélectionnez Ordinateurs, puis sélectionnez le compte d’ordinateur du serveur frontal Inscription web.

   Note

   Ce compte est également appelé « compte d’ordinateur ».

4. Configurez la délégation contrainte S4U2self (Transition de protocole) sur le compte d’ordinateur. Pour ce faire, cliquez avec le bouton droit sur le compte d’ordinateur, puis sélectionnez Délégation>de propriétés>approuver cet ordinateur pour la délégation aux services spécifiés uniquement. Sélectionnez Utiliser tout protocole d’authentification.

   

3. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au site web par défaut. Pour ce faire, procédez comme suit :

1. Ouvrez Gestionnaire des services Internet (IIS) .

2. Dans l’arborescence de la console, sélectionnez <HostName>, puis sélectionnez Certificats de serveur.

   Note

   <HostName> est le nom du serveur web frontal.
   

3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

4. Une fois le certificat créé, sélectionnez Site web par défaut dans l’arborescence de la console, puis sélectionnez Liaisons.

5. Vérifiez que le port est défini sur 443. Ensuite, sous certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3.

   

6. Sélectionnez OK pour lier le certificat au port 443.

4. Configurer le serveur frontal d’inscription web pour utiliser le compte de service

Important

Assurez-vous que le compte de service fait partie des administrateurs locaux ou du groupe IIS_Users sur le serveur web.

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

   

2. Sélectionnez Identité du modèle>de processus, sélectionnez Compte personnalisé, puis Sélectionnez Définir. Spécifiez le nom et le mot de passe du compte de service.

   

3. Sélectionnez OK dans les boîtes de dialogue Définir les informations d’identification et l’identité du pool d’applications.

4. Dans Paramètres avancés, recherchez Le profil utilisateur de chargement et assurez-vous qu’il a la valeur True.

   

5. Redémarrez l'ordinateur.

Scénario 2 : Configurer la délégation contrainte sur le compte NetworkService

Cette section explique comment implémenter la délégation contrainte S4U2Proxy ou Kerberos uniquement lorsque vous utilisez le compte NetworkService pour les pages proxy d’inscription web.

Étape facultative : configurer un nom à utiliser pour les connexions

Vous pouvez attribuer un nom au rôle d’inscription web que les clients peuvent utiliser pour se connecter. Cette configuration signifie que les requêtes entrantes n’ont pas besoin de connaître le nom de l’ordinateur du serveur frontal d’inscription web ou d’autres informations de routage telles que le nom canonique DNS (CNAME).

Par exemple, supposons que le nom de l’ordinateur de votre serveur d’inscription web soit WEBENROLLMAC (dans le domaine Contoso). Vous souhaitez que les connexions entrantes utilisent plutôt le nom ContosoWebEnroll. Dans ce cas, l’URL de connexion est la suivante :

https://contosowebenroll.contoso.com/certsrv

Il ne s’agirait pas des éléments suivants :

https://WEBENROLLMAC.contoso.com/certsrv

Pour utiliser une telle configuration, procédez comme suit :

1. Dans le fichier de zone DNS du domaine, créez un enregistrement d’alias ou un enregistrement de nom d’hôte qui mappe le nouveau nom de connexion à l’adresse IP du rôle Inscription web. Utilisez l’outil Ping pour tester la configuration du routage.

   Dans l’exemple précédemment abordé, le Contoso.com fichier de zone a un enregistrement d’alias qui mappe ContosoWebEnroll à l’adresse IP du rôle Inscription web.

2. Configurez le nouveau nom en tant que SPN pour le serveur frontal d’inscription web. Pour ce faire, procédez comme suit :

   1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnez Ordinateurs.
   2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

      Note

      Ce compte est également appelé « compte d’ordinateur ».

   3. Sélectionnez l’éditeur d’attributs>servicePrincipalName.
   4. Tapez HTTP/<ConnectionName.<>DomainName.com, sélectionnez Ajouter, puis OK.>

      Note

      Dans cette chaîne, <ConnectionName> est le nouveau nom que vous avez défini, et <DomainName> est le nom du domaine. Dans l’exemple, la chaîne est HTTP/ContosoWebEnroll.contoso.com.

1. Configurer la délégation

1. Si vous n’avez pas encore connecté au domaine, effectuez cette opération maintenant dans Utilisateurs et ordinateurs Active Directory, puis sélectionnez Ordinateurs.

2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

   Note

   Ce compte est également appelé « compte d’ordinateur ».

3. Sélectionnez Délégation, puis sélectionnez Approuver cet ordinateur pour la délégation aux services spécifiés uniquement.

   Note

   Si vous pouvez garantir que les clients utilisent toujours l’authentification Kerberos lorsqu’ils se connectent à ce serveur, sélectionnez Utiliser Kerberos uniquement. Si certains clients utilisent d’autres méthodes d’authentification, telles que l’authentification basée sur des formulaires ou NTLM, sélectionnez Utiliser n’importe quel protocole d’authentification.

   

2. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au premier site par défaut. Pour ce faire, procédez comme suit :

1. Ouvrez le Gestionnaire IIS.

2. Dans l’arborescence de la console, sélectionnez <HostName>, puis sélectionnez Certificats de serveur dans le volet Actions.

   Note

   <HostName> est le nom du serveur web frontal.

3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

4. Une fois le certificat créé, sélectionnez Site web par défaut, puis Liaisons.

5. Vérifiez que le port est défini sur 443. Ensuite, sous certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3. Sélectionnez OK pour lier le certificat au port 443.

   

3. Configurer le serveur frontal d’inscription web pour utiliser le compte NetworkService

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

   

2. Sélectionnez l’identité du modèle>de processus. Vérifiez que le compte intégré est sélectionné, puis sélectionnez NetworkService. Ensuite, sélectionnez OK.

   

3. Dans Propriétés avancées, recherchez Le profil utilisateur de chargement, puis vérifiez qu’il a la valeur True.

   

4. Redémarrez le service IIS.

Rubriques connexes

Pour plus d’informations sur ces processus, consultez Authentification des utilisateurs d’applications web.

Pour plus d’informations sur les extensions de protocole S4U2 et S4U2proxy, consultez les articles suivants :

• [MS-SFU] : Extensions de protocole Kerberos : service pour le protocole de délégation contrainte et utilisateur
• 4.1 Exemple de domaine unique S4U2
• 4.3 Exemple S4U2proxy