Les fondements des réseaux : Le contrôle d’accès dynamique

Créer les revendications dans l'annuaire

Testez gratuitement nos 1247 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Découvrez comment créer les types de revendications nécessaires à l'utilisation avec le contrôle d'accès dynamique.
06:23

Transcription

Configurons maintenant un type de revendications de claims, donc une donnée à extraire de nos utilisateurs pour pouvoir derrière mettre en place des expressions régulières pour faire de la comparaison avec les propriétés de ressources et accorder l'accès en fonction du résultat de cette expression régulière. Reprenons donc notre console de gestion Active Directory, donc l'Administrative Center, l'ADAC. Nous retrouvons nos contrôles d'accès dynamique. Nous avons vu précédemment dans la partie propriétés de ressources, maintenant attardons-nous sur la partie Claims Types de revendications, ici. J'en ai déjà quelques-unes que j'avais créées pour moi, elles sont encore une fois désactivées. Celle-ci est désactivée. Je vais pouvoir créer mes propres revendications, donc les données que l'on va extraire de l'utilisateur pour pouvoir derrière comparer les valeurs de cette donnée avec pourquoi pas une valeur de propriété de ressources. Donc ici, je n'ai plus qu'à faire nouveau type de revendications, lui donner un joli nom, tant qu'à faire, et puis choisir surtout l'attribut Active Directory puisqu'on va extraire des données de l'utilisateur qui va tenter d'accéder à une ressource, l'attribut ici, on va les reclasser par noms, à partir duquel je vais extraire la donnée. Donc là voyez, il y a un certain nombre d'attributs natifs de notre système, ce sont tous les attributs d'Active Directory, les objets utilisateur ou ordinateur, sous forme de revendications de type soit utilisateur ou ordinateur. C'est-à-dire que l'on extrait une donnée pour comparer l'objet utilisateur ou pour comparer l'objet machine sur lequel l'utilisateur a ouvert sa session. Donc, je vais prendre par exemple ici Pays, donc une revendication appelée Pays, je peux même l'appeler « Pays D'origine ». Je vais mapper avec un attribut Active Directory. Alors, je sais comment il s'appelle, il s'appelle co qui correspond en fait au nom du pays dans lequel l'utilisateur habite ou dans lequel il est né. Donc, c'est un attribut qui va être utilisé à la fois pour l'objet utilisateur mais également pour l'objet ordinateur. Il y a certains attributs qui ne sont propres qu'aux objets ordinateur, d'autres qui ne sont propres qu'aux objets utilisateur. Ça arrive, il y en a quelques-unes. Il n'y en a pas beaucoup, mais il y en a quelques-unes. Donc, ce qui m'intéresse c'est de récupérer le co, ici, donc je reprends le co, le Text-Country. C'est bien une revendication de type Utilisateur que je vais récupérer. Je descends, et là je vais pouvoir mettre, soit des valeurs suggérées, moi-même administrateur entrer des valeurs à la main, ou alors aucune valeur suggérée, et on va vraiment extraire la donnée qui est renseignée dans l'objet compte utilisateur. Donc là, je n'ai plus qu'à valider. Voilà ma revendication que je vais extraire qui correspond, qui est liée, en fait, à l'attribut d'Active Directory qui s'appelle Text-Country. Si j'ouvre, je retrouve bien la même chose, je peux la modifier et je retrouve les extensions comme je pourrais les retrouver sur les propriétés de ressources. Maintenant, je peux fermer et je vais pouvoir aller renseigner ces données sur un objet utilisateur. Donc, si je prends un objet utilisateur, si j'ouvre Active Directory, et que je prends deux ou trois utilisateurs, cet attribut que j'ai récupéré, que j'ai sélectionné, en fait, il correspond à ça, c'est le pays et la région. Donc là, Costa Rica pour cet utilisateur. Si je prends un autre utilisateur, eh bien lui, par exemple, on va le mettre en Pologne, Portugal, peu importe. Puis mon troisième utilisateur, eh bien, lui on va l'affecter, au hasard, Corée-du-Nord. Je viens de renseigner en fait ses revendications, maintenant je peux aller vérifier pour être sûr que je ne me suis pas trompé, et ici je peux avoir accès à l'éditeur d'attributs, et je vois que l'attribut co que j'ai sélectionné dans ma revendication a bien la valeur qui a été sélectionnée pour l'utilisateur. Si je reprends un autre utilisateur, par exemple ici, co, c'est bien la valeur que j'ai affectée. Donc parfait, si je reprends maintenant mon compte administrateur qui doit être quelque part par ici, donc administrateur, et que je lui affecte un pays également, eh bien là, lui il est déjà sur la France, donc c'est parfait. Appliquer. Donc, cette partie est attribuée et maintenant je vais pouvoir aller vérifier que j'ai bien récupéré quelque part dans mon jeton cette donnée pour pouvoir la comparer, puisque ces données vont être insérées à un moment donné dans le jeton Kerberos. On le verra juste après. Pour pouvoir récupérer ces données, il faut que je ferme ma session, bien évidemment, et que je rouvre ma session pour que le système me renouvelle mon ticket Kerberos et qu'il récupère ces nouvelles données. Donc, je rouvre ma session, en sélectionnant le bon compte. Donc, je reviens sur ma machine, j'ai rouvert ma session, et maintenant, si je réutilise la commande qu'on a déjà utilisée précédemment, ici, je vais pouvoir récupérer cette partie-là. Et je m'aperçois que le pays d'origine, ici, dans les revendications, est bien dans mon ticket Kerberos. C'est bien le nom de la revendication que j'ai créée, et pour mon compte, elle a la valeur qui a été affectée, qui est la valeur France. Donc, pour mes autres utilisateurs, ce sera exactement la même chose. Lorsqu'ils vont ouvrir leur session, ces revendications que je viens de créer ou qui sont créées globalement dans mon infrastructure vont prendre les valeurs affectées et associées à leurs comptes. Donc maintenant, on va pouvoir utiliser ces valeurs de ces revendications pour pouvoir mettre en place des expressions régulières d'autorisation d'accès sur des ressources. Donc voilà, pour cette partie extraction de types de revendications grâce à l'ADAC, donc la console de gestion Active Directory, et maintenant on va pouvoir configurer le protocole Kerberos, je l'ai déjà fait, mais je vais vous montrer comment on fait, pour qu'il supporte de pouvoir injecter dans ce ticket l'ensemble des revendications associées à l'objet utilisateur.

Les fondements des réseaux : Le contrôle d’accès dynamique

Apprenez à mettre en place le contrôle d’accès dynamique dans vos infrastructures Windows. Sécurisez ainsi l’accès à vos données avec le DAC (Dynamic Access Control).

1h39 (18 vidéos)
Aucun commentaire n´est disponible actuellement
 
Spécial abonnés
Date de parution :22 mars 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !