Guide pratique pour configurer la délégation Kerberos contrainte pour les pages proxy d’inscription web

L’article fournit des instructions pas à pas pour implémenter la délégation de service pour l’utilisateur à proxy (S4U2Proxy) ou Kerberos uniquement contrainte sur un compte de service personnalisé pour les pages proxy d’inscription web.

Numéro de la base de connaissances d’origine : 4494313

Résumé

Cet article fournit des instructions pas à pas pour implémenter le service pour l’utilisateur vers le proxy (S4U2Proxy) ou la délégation contrainte Kerberos uniquement pour les pages proxy d’inscription web. Cet article décrit les scénarios de configuration suivants :

• Configuration de la délégation pour un compte de service personnalisé
• Configuration de la délégation au compte NetworkService

Remarque

Les flux de travail décrits dans cet article sont spécifiques à un environnement particulier. Les mêmes flux de travail peuvent ne pas fonctionner dans une situation différente. Toutefois, les principes restent les mêmes. La figure suivante résume cet environnement.

Scénario 1 : Configurer la délégation contrainte pour un compte de service personnalisé

Cette section explique comment implémenter la délégation de service pour l’utilisateur vers le proxy (S4U2Proxy) ou kerberos uniquement contrainte lorsque vous utilisez un compte de service personnalisé pour les pages proxy d’inscription web.

1. Ajouter un SPN au compte de service

Associez le compte de service à un nom de principal du service (SPN). Pour cela, procédez comme suit :

1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnezUtilisateurs PKI PKI>.

2. Cliquez avec le bouton droit sur le compte de service (par exemple, web_svc), puis sélectionnez Propriétés.

3. Sélectionnez Service éditeur>d’attributPrincipalName.

4. Tapez la nouvelle chaîne SPN, sélectionnez Ajouter (comme illustré dans la figure suivante), puis sélectionnez OK.

   

   Vous pouvez également utiliser Windows PowerShell pour configurer le SPN. Pour ce faire, ouvrez une fenêtre PowerShell avec élévation de privilèges, puis exécutez setspn -s SPN Accountname. Par exemple, exécutez la commande suivante :

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. Configurer la délégation

1. Configurez la délégation contrainte S4U2proxy (Kerberos uniquement) sur le compte de service. Pour ce faire, dans la boîte de dialogue Propriétés du compte de service (comme décrit dans la procédure précédente), sélectionnez Délégation>Approuver cet utilisateur pour la délégation aux services spécifiés uniquement. Assurez-vous que l’option Utiliser uniquement Kerberos est sélectionnée.

   

2. Fermez la boîte de dialogue.

3. Dans l’arborescence de la console, sélectionnez Ordinateurs, puis sélectionnez le compte d’ordinateur du serveur frontal Inscription web.

   Remarque

   Ce compte est également appelé « compte d’ordinateur ».

4. Configurez la délégation contrainte S4U2self (Transition de protocole) sur le compte d’ordinateur. Pour ce faire, cliquez avec le bouton droit sur le compte d’ordinateur, puis sélectionnez Propriétés>Délégation>Approuver cet ordinateur pour la délégation aux services spécifiés uniquement. Sélectionnez Utiliser tout protocole d’authentification.

   

3. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au site web par défaut. Pour cela, procédez comme suit :

1. Ouvrez le Gestionnaire des services Internet (IIS).

2. Dans l’arborescence de la console, sélectionnez <Nom d’hôte>, puis Certificats de serveur.

   Remarque

   < Hostname> est le nom du serveur web frontal.
   

3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

4. Une fois le certificat créé, sélectionnez Site web par défaut dans l’arborescence de la console, puis Sélectionnez Liaisons.

5. Vérifiez que Port est défini sur 443. Ensuite, sous Certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3.

   

6. Sélectionnez OK pour lier le certificat au port 443.

4. Configurer le serveur frontal d’inscription web pour utiliser le compte de service

Importante

Assurez-vous que le compte de service fait partie du groupe Administrateurs locaux ou IIS_Users sur le serveur web.

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

   

2. Sélectionnez Traiter l’identité du modèle>, sélectionnez Compte personnalisé, puis Définir. Spécifiez le nom et le mot de passe du compte de service.

   

3. Sélectionnez OK dans les boîtes de dialogue Définir les informations d’identification et l’identité du pool d’applications.

4. Dans Paramètres avancés, recherchez Charger le profil utilisateur et vérifiez qu’il est défini sur True.

   

5. Redémarrez l'ordinateur.

Scénario 2 : Configurer la délégation contrainte sur le compte NetworkService

Cette section explique comment implémenter la délégation contrainte S4U2Proxy ou Kerberos uniquement lorsque vous utilisez le compte NetworkService pour les pages proxy d’inscription web.

Étape facultative : configurer un nom à utiliser pour les connexions

Vous pouvez attribuer un nom au rôle Inscription web que les clients peuvent utiliser pour se connecter. Cette configuration signifie que les demandes entrantes n’ont pas besoin de connaître le nom d’ordinateur du serveur frontal d’inscription web ou d’autres informations de routage telles que le nom canonique DNS (CNAME).

Par exemple, supposons que le nom de l’ordinateur de votre serveur d’inscription web soit WEBENROLLMAC (dans le domaine Contoso). Vous souhaitez que les connexions entrantes utilisent le nom ContosoWebEnroll à la place. Dans ce cas, l’URL de connexion est la suivante :

https://contosowebenroll.contoso.com/certsrv

Il ne s’agirait pas des éléments suivants :

https://WEBENROLLMAC.contoso.com/certsrv

Pour utiliser une telle configuration, procédez comme suit :

1. Dans le fichier de zone DNS du domaine, créez un enregistrement d’alias ou un enregistrement de nom d’hôte qui mappe le nouveau nom de connexion à l’adresse IP du rôle Inscription web. Utilisez l’outil Ping pour tester la configuration du routage.

   Dans l’exemple présenté précédemment, le Contoso.com fichier de zone a un enregistrement d’alias qui mappe ContosoWebEnroll à l’adresse IP du rôle Inscription web.

2. Configurez le nouveau nom en tant que SPN pour le serveur frontal d’inscription web. Pour cela, procédez comme suit :

   1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnez Ordinateurs.
   2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

      Remarque

      Ce compte est également appelé « compte d’ordinateur ».

   3. Sélectionnez Service éditeur>d’attributPrincipalName.
   4. Tapez HTTP/<ConnectionName>.<DomainName.com>, sélectionnez Ajouter, puis OK.

      Remarque

      Dans cette chaîne, <ConnectionName> est le nouveau nom que vous avez défini, et <DomainName> est le nom du domaine. Dans l’exemple, la chaîne est HTTP/ContosoWebEnroll.contoso.com.

1. Configurer la délégation

1. Si vous ne vous êtes pas encore connecté au domaine, procédez maintenant dans Utilisateurs et ordinateurs Active Directory, puis sélectionnez Ordinateurs.

2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

   Remarque

   Ce compte est également appelé « compte d’ordinateur ».

3. Sélectionnez Délégation, puis Approuver cet ordinateur pour la délégation aux services spécifiés uniquement.

   Remarque

   Si vous pouvez garantir que les clients utilisent toujours l’authentification Kerberos lorsqu’ils se connectent à ce serveur, sélectionnez Utiliser Kerberos uniquement. Si certains clients utilisent d’autres méthodes d’authentification, telles que NTLM ou l’authentification basée sur les formulaires, sélectionnez Utiliser n’importe quel protocole d’authentification.

   

2. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au premier site par défaut. Pour cela, procédez comme suit :

1. Ouvrez le Gestionnaire de services Internet.

2. Dans l’arborescence de la console, sélectionnez <Nom d’hôte>, puis Certificats de serveur dans le volet Actions.

   Remarque

   < Hostname> est le nom du serveur web frontal.

3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

4. Une fois le certificat créé, sélectionnez Site web par défaut, puis Liaisons.

5. Vérifiez que Port est défini sur 443. Ensuite, sous Certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3. Sélectionnez OK pour lier le certificat au port 443.

   

3. Configurer le serveur frontal d’inscription web pour utiliser le compte NetworkService

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

   

2. Sélectionnez Traiter l’identité du modèle>. Vérifiez que compte intégré est sélectionné, puis sélectionnez NetworkService. Ensuite, sélectionnez OK.

   

3. Dans Propriétés avancées, recherchez Charger le profil utilisateur, puis vérifiez qu’il est défini sur True.

   

4. Redémarrez le service IIS.

Voir aussi

Pour plus d’informations sur ces processus, consultez Authentification des utilisateurs d’application web.

Pour plus d’informations sur les extensions de protocole S4U2self et S4U2proxy, consultez les articles suivants :

• [MS-SFU] : Extensions de protocole Kerberos : Service pour le protocole de délégation utilisateur et contrainte
• 4.1 Exemple de domaine unique S4U2self
• 4.3 Exemple S4U2proxy