Partager via

Choix des informations d’identification de sécurité réseau

  • Article

Le serveur proxy de symboles doit s’exécuter à partir d’un contexte de sécurité avec les privilèges appropriés pour accéder aux magasins de symboles que vous envisagez d’utiliser. Si vous obtenez des symboles à partir d’un magasin Web externe tel que https://msdl.microsoft.com/download/symbols, le serveur proxy de symboles doit accéder au Web à partir de l’extérieur des pare-feu. Si vous obtenez des fichiers à partir d’autres ordinateurs de votre réseau, le serveur proxy de symboles doit disposer des privilèges appropriés pour lire les fichiers à partir de ces emplacements. Deux options possibles sont de définir le serveur proxy de symbole pour qu’il s’authentifie en tant que compte de service réseau ou de créer un compte d’utilisateur géré dans services de domaine Active Directory avec d’autres comptes d’utilisateur.

Note Il est recommandé de limiter les privilèges de ce compte uniquement à ceux nécessaires pour lire les fichiers et les copier dans c:\symstore. Cette restriction empêche les clients qui accèdent à votre magasin HTTP d’endommager le système.

Note Assurez-vous que les options présentées ici sont logiques dans votre environnement. Différentes organisations ont des besoins et des exigences de sécurité différents. Modifiez le processus décrit ici pour prendre en charge les exigences de sécurité de votre organization.

S’authentifier en tant que service réseau

Le compte de service réseau étant intégré à Windows, il n’y a pas d’étape supplémentaire de création d’un compte. Pour cet exemple, nous nommons l’ordinateur où le serveur proxy de symboles est configuré SymMachineName sur un domaine nommé corp.

Les magasins de symboles externes ou les proxys Internet doivent être configurés pour permettre au compte de service réseau (compte d’ordinateur) de cet ordinateur de s’authentifier correctement. Il existe deux moyens de parvenir à cet objectif :

  • Autoriser l’accès au groupe Utilisateurs authentifiés sur le magasin externe ou le proxy Internet.

  • Autoriser l’accès au compte d’ordinateur corp\SymMachineName$. Cette option est plus sécurisée, car elle limite l’accès au seul compte « Service réseau » du serveur proxy de symboles.

S’authentifier en tant qu’utilisateur de domaine

Pour cet exemple, nous allons présumer que le compte d’utilisateur est nommé SymProxyUser sur un domaine appelé corp.

Pour ajouter le compte d’utilisateur au groupe IIS_USRS

  1. À partir des Outils d’administration , ouvrez Gestion de l’ordinateur.

  2. Développez Utilisateurs et groupes locaux.

  3. Cliquez sur Groupes.

  4. Double-cliquez sur IIS_USRS dans le volet central, puis sélectionnez Propriétés.

  5. Sous la section Membres , cliquez sur Ajouter.

  6. Tapez corp\SymProxyUser dans le volet intitulé Entrez le nom de l’objet à sélectionner.

  7. Pour quitter la boîte de dialogue Sélectionner des utilisateurs, un ordinateur ou des groupes , cliquez sur OK.

  8. Pour quitter IIS_USRS Propriétés, cliquez sur OK.

  9. Ouvrez la console Gestion de l'ordinateur.

Configurer IIS pour utiliser le compte

  1. À partir des Outils d’administration, ouvrez le Gestionnaire des services Internet (IIS).

  2. Développez Sites web.

  3. Cliquez avec le bouton droit sur Site web par défaut et choisissez Propriétés.

  4. Cliquez sur l’onglet Sécurité de répertoire.

  5. Dans la section Authentification et contrôle d’accès , cliquez sur Modifier....

  6. Vérifiez que l’option Activer l’accès anonyme est cochée.

  7. Entrez les informations d’identification du compte disposant des autorisations d’accès au ou aux magasins de serveurs de symboles distants (« corp\SymProxyUser »), puis cliquez sur OK.

  8. Entrez à nouveau le mot de passe lorsque vous y êtes invité, puis cliquez sur OK.

  9. Pour quitter les propriétés du site web par défaut, cliquez sur OK.

  10. La boîte de dialogue Remplacements d’héritage peut vous être présentée. Si c’est le cas, sélectionnez les répertoires virtuels auxquels vous souhaitez que cela s’applique.

S’authentifier en tant qu’utilisateur de domaine à l’aide du groupe IIS_WPG

Pour cet exemple, le compte d’utilisateur est nommé SymProxyUser sur un domaine nommé corp. Pour authentifier ce compte d’utilisateur, il doit être ajouté au groupe IIS_WPG .

Pour ajouter le compte d’utilisateur au groupe IIS_WPG

  1. À partir des Outils d’administration , ouvrez Gestion de l’ordinateur.

  2. Développez Utilisateurs et groupes locaux.

  3. Cliquez sur Groupes.

  4. Double-cliquez sur IIS_WPG dans le volet droit.

  5. Cliquez sur Add.

  6. Tapez corp\SymProxyUser dans le volet intitulé Entrez le nom de l’objet à sélectionner.

  7. Pour quitter la boîte de dialogue Sélectionner des utilisateurs, un ordinateur ou des groupes , cliquez sur OK.

  8. Pour quitter IIS_WPG Propriétés, cliquez sur OK.

  9. Ouvrez la console Gestion de l'ordinateur.