Les fondements des réseaux : Le contrôle d’accès dynamique

Configurer Kerberos pour supporter la prise en charge des claims

Testez gratuitement nos 1298 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Vous allez voir comment configurer le protocole Kerberos pour autoriser les surcharges des jetons et inclure les données de revendications dans vos environnements.
03:54

Transcription

Voyons maintenant comment configurer le protocole Kerberos pour le support et pour supporter la surcharge à proprement parler des valeurs de revendications nécessaires pour le contrôle d'accès dynamique. Pour ça, je vais utiliser l'outil de gestion des stratégies. Cet outil va donc me permettre de gérer les stratégies au niveau du domaine de mes forêts, bien évidemment. Je vais recréer une nouvelle stratégie de groupe que je vais appeler « DAC_Kerberos_Change ». Ici, OK. Donc voilà, mon nouvel objet stratégie qui est totalement vide pour l'instant, et maintenant je vais pouvoir aller modifier cet objet de stratégie de groupe pour pouvoir justement configurer les paramètres du protocole Kerberos pour qu'il supporte en fait la surcharge de ces valeurs de revendications. En fait, on va venir modifier le centre de distribution des clés, donc le KDC qui est le centre des clés de Kerberos. Donc, je développe, c'est un paramètre côté machine et non pas côté utilisateur, et je vais retrouver ça dans la configuration de l'ordinateur, dans Stratégies, dans les Modèles d'administration, puis je vais retrouver ça dans Système puisque c'est bien un paramètre qui est lié au système, et je vais retrouver ça ici dans les paramètres qui sont liés à KDC, Key Distribution Center, le centre de distribution des clés. Et ici maintenant, je vais pouvoir venir activer la prise en charge du contrôleur de domaine Kerberos pour les revendications, l'authentification composée et le blindage, ici. Donc par défaut, tout est désactivé, et je vais pouvoir venir activer ici ce paramètre, et une fois qu'il est activé, je vais pouvoir déterminer quel type de supports on va pouvoir mettre en œuvre. On va écarter un petit peu la fenêtre pour qu'on puisse voir un peu plus. Donc, par défaut, lorsque je l'active, le protocole d'un coup est pris en charge de façon à ce que je fournisse toujours les revendications dans les tickets d'utilisateurs et que carrément je rejette les demandes d'authentification qui ne peuvent pas être blindées. Alors attention, si je fais ça, ça veut dire que tous les tickets qui ne peuvent pas être composés, et notamment sur les anciens systèmes, auront des soucis pour avoir des sessions. Donc là, on fait, soit toujours fournir les revendications, et à ce moment-là, je fournis si c'est possible, si c'est pas possible, tant pis, ou alors je prends en charge directement. Donc là, on va essayer sur Pris en charge, ici, et on valide les paramètres, tout simplement. Une fois que vous aurez fait ça, vous fermez la fenêtre et vous réactualisez. En effet, comme c'est un objet de stratégie de groupe que j'ai créé au niveau du domaine, je réactualise l'ensemble des paramètres de stratégie avec la commande qui s'appelle gpupdate /force, et à partir de ce moment-là, mes machines au fur et à mesure qu'elles vont réactualiser leurs stratégies, ou celles qui sont capables de le faire en tout cas, vont commencer à prendre en charge la surcharge de revendications du protocole Kerberos, ce qui va permettre, lorsqu'un utilisateur va ouvrir une session, encore une fois, on va pouvoir récupérer dans son ticket l'ensemble des données qui sont propres au type de revendications qui existent dans mon entreprise. Voilà pour la configuration du protocole Kerberos. C'est juste un paramètre de stratégie à modifier afin de permettre cette surcharge du ticket et du jeton côté utilisateur et côté machine également puisqu'on va extraire des données côté machine. Donc, on se retrouve tout de suite pour configurer les prérequis nécessaires pour la continuité de la mise en place du contrôle d'accès dynamique.

Les fondements des réseaux : Le contrôle d’accès dynamique

Apprenez à mettre en place le contrôle d’accès dynamique dans vos infrastructures Windows. Sécurisez ainsi l’accès à vos données avec le DAC (Dynamic Access Control).

1h39 (18 vidéos)
Aucun commentaire n´est disponible actuellement
 
Spécial abonnés
Date de parution :22 mars 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !