Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment configurer un serveur web pour utiliser des cartes à puce pour l’authentification par certificat inter-forêts lorsque les forêts utilisateur et la forêt de ressources ne font pas confiance les unes aux autres.
S’applique à : Windows Server 2016
Numéro de base de connaissances d’origine : 4509680
Configuration de l’environnement
Considérez un environnement qui utilise la configuration suivante :
- Forêt d’utilisateurs nommée
Contoso.com
. - Forêt de ressources nommée
Fabrikam.com
. La forêt aTailspintoys.com
ajouté un autre nom d’utilisateur principal (UPN). - Il n’y a pas de confiance entre les deux forêts.
- Les cartes à puce utilisateur utilisent des certificats qui ont des entrées SAN (Subject Alternative Name) du format
user@tailspintoys.com
. - Un serveur web IIS configuré pour l’authentification basée sur des certificats Active Directory.
Configurez Active Directory et le serveur web comme décrit dans les procédures suivantes.
Configurer Active Directory
Pour configurer la forêt de ressources pour authentifier les cartes à puce, procédez comme suit :
Assurez-vous qu’un certificat d’authentification Kerberos disposant d’une utilisation étendue de clé (EKU) de l’authentification KDC a été émis aux contrôleurs de domaine.
Vérifiez que le certificat d’autorité de certification émettrice du certificat de l’utilisateur est installé dans le magasin Enterprise NTAUTH.
Pour publier le certificat d’autorité de certification émettrice dans le domaine, exécutez la commande suivante à l’invite de commandes :
certutil -dspublish -f <filename> NTAUTHCA
Dans cette commande, <le nom de fichier> représente le nom du fichier de certificat d’autorité de certification, qui a une extension .cer.
Les utilisateurs doivent avoir des comptes qui utilisent l’UPN de remplacement de la forêt de ressources.
Pour configurer la forêt utilisateur, procédez comme suit :
Vérifiez que vous disposez d’une connexion à puce et d’une référence EKU d’authentification cliente définies dans le certificat.
Assurez-vous que le san du certificat utilise l’UPN de l’utilisateur.
Veillez à installer le certificat d’autorité de certification émettrice du certificat utilisateur dans le magasin Enterprise NTAUTH.
Remarque
Si vous souhaitez configurer la délégation sur le serveur frontal ou ignorer l’utilisation de l’UPN dans l’attribut SAN du certificat (itinéraire AltSecID), consultez la section Plus d’informations.
Configuration du serveur web
Pour configurer le serveur web IIS dans la forêt de ressources, procédez comme suit :
Installez le rôle serveur web IIS, puis sélectionnez la fonctionnalité sécurité de l’authentification de mappage de certificat client.
Sur le serveur web IIS, activez l’authentification par certificat client Active Directory.
Sur votre site web, configurez les paramètres SSL pour exiger SSL , puis, sous Certificats clients, sélectionnez Exiger.
Vérifiez qu’aucun autre type d’authentification n’est activé sur le site web. Nous vous déconseillons d’activer l’authentification par certificat avec un autre type d’authentification, car le service DS Mapper, qui est responsable du mappage du certificat présenté par l’utilisateur au compte d’utilisateur dans Active Directory, est conçu pour fonctionner uniquement avec le type d’authentification par certificat client Active Directory. Si vous activez l’authentification anonyme, vous pouvez rencontrer des résultats inattendus.
Plus d’informations
Si vous souhaitez configurer la délégation sur ce serveur web de ressources pour interroger un serveur principal, tel qu’un serveur de base de données ou une autorité de certification, vous pouvez également configurer la délégation contrainte à l’aide d’un compte de service personnalisé. En outre, vous devez configurer le serveur web pour la délégation contrainte (S4U2Self) ou la transition de protocole. Pour plus d’informations, consultez Configurer la délégation Kerberos contrainte pour les pages proxy d’inscription via le Web.
Si vous souhaitez ignorer l’UPN dans l’attribut SAN du certificat de carte à puce utilisateur, vous devez mapper explicitement à l’aide d’attributs AltSecID ou utiliser des indicateurs de nom.
Remarque
Nous vous déconseillons cette approche de la configuration des certificats de carte à puce.
Si vous publiez l’attribut SAN comme UPN prévu dans le certificat de l’utilisateur, vous ne devez pas activer AltSecID.
Pour vérifier le magasin NTAuth sur le serveur web, ouvrez une fenêtre d’invite de commandes et exécutez la commande suivante :
Certutil -viewstore -enterprise NTAUTH