Partager via


Guide pratique pour configurer la délégation Kerberos contrainte pour les pages proxy d’inscription web

L’article fournit des instructions pas à pas pour implémenter la délégation de service pour l’utilisateur à proxy (S4U2Proxy) ou Kerberos uniquement contrainte sur un compte de service personnalisé pour les pages proxy d’inscription web.

Numéro de la base de connaissances d’origine : 4494313

Résumé

Cet article fournit des instructions pas à pas pour implémenter le service pour l’utilisateur vers le proxy (S4U2Proxy) ou la délégation contrainte Kerberos uniquement pour les pages proxy d’inscription web. Cet article décrit les scénarios de configuration suivants :

  • Configuration de la délégation pour un compte de service personnalisé
  • Configuration de la délégation au compte NetworkService

Remarque

Les flux de travail décrits dans cet article sont spécifiques à un environnement particulier. Les mêmes flux de travail peuvent ne pas fonctionner dans une situation différente. Toutefois, les principes restent les mêmes. La figure suivante résume cet environnement.
Types de serveurs dans l’exemple d’environnement.

Scénario 1 : Configurer la délégation contrainte pour un compte de service personnalisé

Cette section explique comment implémenter la délégation de service pour l’utilisateur vers le proxy (S4U2Proxy) ou kerberos uniquement contrainte lorsque vous utilisez un compte de service personnalisé pour les pages proxy d’inscription web.

1. Ajouter un SPN au compte de service

Associez le compte de service à un nom de principal du service (SPN). Pour cela, procédez comme suit :

  1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnezUtilisateurs PKI PKI>.

  2. Cliquez avec le bouton droit sur le compte de service (par exemple, web_svc), puis sélectionnez Propriétés.

  3. Sélectionnez Service éditeur>d’attributPrincipalName.

  4. Tapez la nouvelle chaîne SPN, sélectionnez Ajouter (comme illustré dans la figure suivante), puis sélectionnez OK.

    Conseils pour ajouter et configurer les SPN H T T P.

    Vous pouvez également utiliser Windows PowerShell pour configurer le SPN. Pour ce faire, ouvrez une fenêtre PowerShell avec élévation de privilèges, puis exécutez setspn -s SPN Accountname. Par exemple, exécutez la commande suivante :

    setspn -s HTTP/webenroll2016.contoso.com web_svc
    

2. Configurer la délégation

  1. Configurez la délégation contrainte S4U2proxy (Kerberos uniquement) sur le compte de service. Pour ce faire, dans la boîte de dialogue Propriétés du compte de service (comme décrit dans la procédure précédente), sélectionnez Délégation>Approuver cet utilisateur pour la délégation aux services spécifiés uniquement. Assurez-vous que l’option Utiliser uniquement Kerberos est sélectionnée.

    Configurez web_svc propriétés sous l’onglet Délégation de la boîte de dialogue Propriétés.

  2. Fermez la boîte de dialogue.

  3. Dans l’arborescence de la console, sélectionnez Ordinateurs, puis sélectionnez le compte d’ordinateur du serveur frontal Inscription web.

    Remarque

    Ce compte est également appelé « compte d’ordinateur ».

  4. Configurez la délégation contrainte S4U2self (Transition de protocole) sur le compte d’ordinateur. Pour ce faire, cliquez avec le bouton droit sur le compte d’ordinateur, puis sélectionnez Propriétés>Délégation>Approuver cet ordinateur pour la délégation aux services spécifiés uniquement. Sélectionnez Utiliser tout protocole d’authentification.

    Sélectionnez Utiliser n’importe quel protocole d’authentification sous l’option Approuver cet ordinateur pour la délégation aux services spécifiés uniquement.

3. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au site web par défaut. Pour cela, procédez comme suit :

  1. Ouvrez le Gestionnaire des services Internet (IIS).

  2. Dans l’arborescence de la console, sélectionnez <Nom d’hôte>, puis Certificats de serveur.

    Remarque

    <Hostname> est le nom du serveur web frontal.
    Ajoutez un certificat de domaine pour le site web.

  3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

  4. Une fois le certificat créé, sélectionnez Site web par défaut dans l’arborescence de la console, puis Sélectionnez Liaisons.

  5. Vérifiez que Port est défini sur 443. Ensuite, sous Certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3.

    Ajoutez le certificat et liez-le au port 443 pour le scénario 1.

  6. Sélectionnez OK pour lier le certificat au port 443.

4. Configurer le serveur frontal d’inscription web pour utiliser le compte de service

Importante

Assurez-vous que le compte de service fait partie du groupe Administrateurs locaux ou IIS_Users sur le serveur web.
Groupes pour le compte de service sur le serveur web.

  1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

    Configurer les paramètres avancés des pools d’applications.

  2. Sélectionnez Traiter l’identité du modèle>, sélectionnez Compte personnalisé, puis Définir. Spécifiez le nom et le mot de passe du compte de service.

    Configurez l’identité du pool d’applications en tant que compte de service personnalisé.

  3. Sélectionnez OK dans les boîtes de dialogue Définir les informations d’identification et l’identité du pool d’applications.

  4. Dans Paramètres avancés, recherchez Charger le profil utilisateur et vérifiez qu’il est défini sur True.

    Définissez le paramètre Charger le profil utilisateur sur True.

  5. Redémarrez l'ordinateur.

Scénario 2 : Configurer la délégation contrainte sur le compte NetworkService

Cette section explique comment implémenter la délégation contrainte S4U2Proxy ou Kerberos uniquement lorsque vous utilisez le compte NetworkService pour les pages proxy d’inscription web.

Étape facultative : configurer un nom à utiliser pour les connexions

Vous pouvez attribuer un nom au rôle Inscription web que les clients peuvent utiliser pour se connecter. Cette configuration signifie que les demandes entrantes n’ont pas besoin de connaître le nom d’ordinateur du serveur frontal d’inscription web ou d’autres informations de routage telles que le nom canonique DNS (CNAME).

Par exemple, supposons que le nom de l’ordinateur de votre serveur d’inscription web soit WEBENROLLMAC (dans le domaine Contoso). Vous souhaitez que les connexions entrantes utilisent le nom ContosoWebEnroll à la place. Dans ce cas, l’URL de connexion est la suivante :

https://contosowebenroll.contoso.com/certsrv

Il ne s’agirait pas des éléments suivants :

https://WEBENROLLMAC.contoso.com/certsrv

Pour utiliser une telle configuration, procédez comme suit :

  1. Dans le fichier de zone DNS du domaine, créez un enregistrement d’alias ou un enregistrement de nom d’hôte qui mappe le nouveau nom de connexion à l’adresse IP du rôle Inscription web. Utilisez l’outil Ping pour tester la configuration du routage.

    Dans l’exemple présenté précédemment, le Contoso.com fichier de zone a un enregistrement d’alias qui mappe ContosoWebEnroll à l’adresse IP du rôle Inscription web.

  2. Configurez le nouveau nom en tant que SPN pour le serveur frontal d’inscription web. Pour cela, procédez comme suit :

    1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnez Ordinateurs.
    2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

      Remarque

      Ce compte est également appelé « compte d’ordinateur ».

    3. Sélectionnez Service éditeur>d’attributPrincipalName.
    4. Tapez HTTP/<ConnectionName>.<DomainName.com>, sélectionnez Ajouter, puis OK.

      Remarque

      Dans cette chaîne, <ConnectionName> est le nouveau nom que vous avez défini, et <DomainName> est le nom du domaine. Dans l’exemple, la chaîne est HTTP/ContosoWebEnroll.contoso.com. Ajoutez un NUMÉRO DE S au compte d’ordinateur du serveur frontal.

1. Configurer la délégation

  1. Si vous ne vous êtes pas encore connecté au domaine, procédez maintenant dans Utilisateurs et ordinateurs Active Directory, puis sélectionnez Ordinateurs.

  2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

    Remarque

    Ce compte est également appelé « compte d’ordinateur ».

  3. Sélectionnez Délégation, puis Approuver cet ordinateur pour la délégation aux services spécifiés uniquement.

    Remarque

    Si vous pouvez garantir que les clients utilisent toujours l’authentification Kerberos lorsqu’ils se connectent à ce serveur, sélectionnez Utiliser Kerberos uniquement. Si certains clients utilisent d’autres méthodes d’authentification, telles que NTLM ou l’authentification basée sur les formulaires, sélectionnez Utiliser n’importe quel protocole d’authentification.

    Configurez la délégation sur le compte d’ordinateur du serveur web.

2. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au premier site par défaut. Pour cela, procédez comme suit :

  1. Ouvrez le Gestionnaire de services Internet.

  2. Dans l’arborescence de la console, sélectionnez <Nom d’hôte>, puis Certificats de serveur dans le volet Actions.

    Remarque

    <Hostname> est le nom du serveur web frontal. Ajoutez un certificat de domaine pour le site web.

  3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

  4. Une fois le certificat créé, sélectionnez Site web par défaut, puis Liaisons.

  5. Vérifiez que Port est défini sur 443. Ensuite, sous Certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3. Sélectionnez OK pour lier le certificat au port 443.

    Ajoutez le certificat et liez-le au port 443.

3. Configurer le serveur frontal d’inscription web pour utiliser le compte NetworkService

  1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

    Sélectionnez Paramètres avancés du pool d’applications par défaut.

  2. Sélectionnez Traiter l’identité du modèle>. Vérifiez que compte intégré est sélectionné, puis sélectionnez NetworkService. Ensuite, sélectionnez OK.

    Configurez l’identité du pool d’applications en tant que compte NetworkService intégré.

  3. Dans Propriétés avancées, recherchez Charger le profil utilisateur, puis vérifiez qu’il est défini sur True.

    Définissez Charger le profil utilisateur sur True dans les paramètres Avance.

  4. Redémarrez le service IIS.

Pour plus d’informations sur ces processus, consultez Authentification des utilisateurs d’application web.

Pour plus d’informations sur les extensions de protocole S4U2self et S4U2proxy, consultez les articles suivants :