Partager via

Comment configurer l’authentification basée sur un certificat entre les forêts sans approbation pour un serveur web

Cet article explique comment configurer un serveur web pour utiliser des cartes à puce pour l’authentification par certificat inter-forêts lorsque les forêts utilisateur et la forêt de ressources ne font pas confiance les unes aux autres.

S’applique à : Windows Server 2016
Numéro de base de connaissances d’origine : 4509680

Configuration de l’environnement

Considérez un environnement qui utilise la configuration suivante :

  • Forêt d’utilisateurs nommée Contoso.com.
  • Forêt de ressources nommée Fabrikam.com. La forêt a Tailspintoys.com ajouté un autre nom d’utilisateur principal (UPN).
  • Il n’y a pas de confiance entre les deux forêts.
  • Les cartes à puce utilisateur utilisent des certificats qui ont des entrées SAN (Subject Alternative Name) du format user@tailspintoys.com.
  • Un serveur web IIS configuré pour l’authentification basée sur des certificats Active Directory.

Configurez Active Directory et le serveur web comme décrit dans les procédures suivantes.

Configurer Active Directory

Pour configurer la forêt de ressources pour authentifier les cartes à puce, procédez comme suit :

  1. Assurez-vous qu’un certificat d’authentification Kerberos disposant d’une utilisation étendue de clé (EKU) de l’authentification KDC a été émis aux contrôleurs de domaine.

  2. Vérifiez que le certificat d’autorité de certification émettrice du certificat de l’utilisateur est installé dans le magasin Enterprise NTAUTH.

    Pour publier le certificat d’autorité de certification émettrice dans le domaine, exécutez la commande suivante à l’invite de commandes :

    certutil -dspublish -f <filename> NTAUTHCA

    Dans cette commande, <le nom de fichier> représente le nom du fichier de certificat d’autorité de certification, qui a une extension .cer.

  3. Les utilisateurs doivent avoir des comptes qui utilisent l’UPN de remplacement de la forêt de ressources.

    Définissez le compte d’utilisateur pour utiliser l’autre N U P de la forêt de ressources dans l’onglet Compte de la boîte de dialogue Propriétés de l’utilisateur.

Pour configurer la forêt utilisateur, procédez comme suit :

  1. Vérifiez que vous disposez d’une connexion à puce et d’une référence EKU d’authentification cliente définies dans le certificat.

  2. Assurez-vous que le san du certificat utilise l’UPN de l’utilisateur.

    Le S A N du certificat utilise le N U P de l’utilisateur.

  3. Veillez à installer le certificat d’autorité de certification émettrice du certificat utilisateur dans le magasin Enterprise NTAUTH.

    Remarque

    Si vous souhaitez configurer la délégation sur le serveur frontal ou ignorer l’utilisation de l’UPN dans l’attribut SAN du certificat (itinéraire AltSecID), consultez la section Plus d’informations.

Configuration du serveur web

Pour configurer le serveur web IIS dans la forêt de ressources, procédez comme suit :

  1. Installez le rôle serveur web IIS, puis sélectionnez la fonctionnalité sécurité de l’authentification de mappage de certificat client.

    Sélectionnez la fonctionnalité sécurité de l’authentification de mappage de certificat client dans le rôle serveur web I S.

  2. Sur le serveur web IIS, activez l’authentification par certificat client Active Directory.

    Activation de l’authentification par certificat client Active Directory.

  3. Sur votre site web, configurez les paramètres SSL pour exiger SSL , puis, sous Certificats clients, sélectionnez Exiger.

    Définition du protocole SSL requis pour votre site web par défaut.

    Vérifiez qu’aucun autre type d’authentification n’est activé sur le site web. Nous vous déconseillons d’activer l’authentification par certificat avec un autre type d’authentification, car le service DS Mapper, qui est responsable du mappage du certificat présenté par l’utilisateur au compte d’utilisateur dans Active Directory, est conçu pour fonctionner uniquement avec le type d’authentification par certificat client Active Directory. Si vous activez l’authentification anonyme, vous pouvez rencontrer des résultats inattendus.

    Vérifiez que d’autres types d’authentification sont désactivés sur le site web.

Plus d’informations

Si vous souhaitez configurer la délégation sur ce serveur web de ressources pour interroger un serveur principal, tel qu’un serveur de base de données ou une autorité de certification, vous pouvez également configurer la délégation contrainte à l’aide d’un compte de service personnalisé. En outre, vous devez configurer le serveur web pour la délégation contrainte (S4U2Self) ou la transition de protocole. Pour plus d’informations, consultez Configurer la délégation Kerberos contrainte pour les pages proxy d’inscription via le Web.

Si vous souhaitez ignorer l’UPN dans l’attribut SAN du certificat de carte à puce utilisateur, vous devez mapper explicitement à l’aide d’attributs AltSecID ou utiliser des indicateurs de nom.

Remarque

Nous vous déconseillons cette approche de la configuration des certificats de carte à puce.

Si vous publiez l’attribut SAN comme UPN prévu dans le certificat de l’utilisateur, vous ne devez pas activer AltSecID.

Pour vérifier le magasin NTAuth sur le serveur web, ouvrez une fenêtre d’invite de commandes et exécutez la commande suivante :

Certutil -viewstore -enterprise NTAUTH

références