Guide pratique pour configurer la délégation Kerberos contrainte pour les pages proxy d’inscription web

L’article fournit des instructions pas à pas pour implémenter service pour utilisateur vers proxy (S4U2Proxy) ou délégation Kerberos contrainte uniquement sur un compte de service personnalisé pour les pages proxy d’inscription web.

S’applique à : Window Server 2016, Window Server 2019, Windows Server 2012 R2
Numéro de base de connaissances d’origine : 4494313

Résumé

Cet article fournit des instructions pas à pas pour implémenter la délégation contrainte Service for User to Proxy (S4U2Proxy) ou Kerberos uniquement pour les pages proxy d’inscription web. Cet article décrit les scénarios de configuration suivants :

• Configuration de la délégation pour un compte de service personnalisé
• Configuration de la délégation au compte NetworkService

Remarque

Les flux de travail décrits dans cet article sont spécifiques à un environnement particulier. Les mêmes flux de travail peuvent ne pas fonctionner dans une situation différente. Toutefois, les principes restent les mêmes. La figure suivante résume cet environnement.

Scénario 1 : Configurer la délégation contrainte pour un compte de service personnalisé

Cette section explique comment implémenter la délégation contrainte Service for User to Proxy (S4U2Proxy) ou Kerberos uniquement lorsque vous utilisez un compte de service personnalisé pour les pages proxy d’inscription web.

1. Ajouter un SPN au compte de service

Associez le compte de service à un nom de principal de service (SPN). Pour cela, procédez comme suit :

1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnezUtilisateurs PKI PKI>.

2. Cliquez avec le bouton droit sur le compte de service (par exemple, web_svc), puis sélectionnez Propriétés.

3. Sélectionnez Attribute Editor>servicePrincipalName.

4. Tapez la nouvelle chaîne SPN, sélectionnez Ajouter (comme illustré dans la figure suivante), puis sélectionnez OK.

   

   Vous pouvez également utiliser Windows PowerShell pour configurer le SPN. Pour ce faire, ouvrez une fenêtre PowerShell avec élévation de privilèges, puis exécutez setspn -s SPN Accountname. Par exemple, exécutez la commande suivante :

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. Configurer la délégation

1. Configurez la délégation contrainte S4U2proxy (Kerberos uniquement) sur le compte de service. Pour ce faire, dans la boîte de dialogue Propriétés du compte de service (comme décrit dans la procédure précédente), sélectionnez Délégation>approuver cet utilisateur pour la délégation aux services spécifiés uniquement. Assurez-vous que l’option Utiliser Kerberos uniquement est sélectionnée.

   

2. Fermez la boîte de dialogue.

3. Dans l’arborescence de la console, sélectionnez Ordinateurs, puis le compte d’ordinateur du serveur frontal Inscription Web.

   Remarque

   Ce compte est également appelé « compte d’ordinateur ».

4. Configurez la délégation contrainte S4U2self (Transition de protocole) sur le compte d’ordinateur. Pour ce faire, cliquez avec le bouton droit sur le compte d’ordinateur, puis sélectionnezDélégation>de propriétés>Approuver cet ordinateur pour la délégation aux services spécifiés uniquement. Sélectionnez Utiliser tout protocole d’authentification.

   

3. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au site web par défaut. Pour cela, procédez comme suit :

1. Ouvrez le Gestionnaire des services Internet (IIS).

2. Dans l’arborescence de la console, sélectionnez <HostName>, puis les certificats de serveur.

   Remarque

   <Hostname> est le nom du serveur web frontal.
   

3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

4. Une fois le certificat créé, sélectionnez Site web par défaut dans l’arborescence de la console, puis sélectionnez Liaisons.

5. Vérifiez que le port est défini sur 443. Ensuite, sous certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3.

   

6. Sélectionnez OK pour lier le certificat au port 443.

4. Configurer le serveur frontal d’inscription web pour utiliser le compte de service

Importante

Assurez-vous que le compte de service fait partie des administrateurs locaux ou du groupe IIS_Users sur le serveur web.

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

   

2. Sélectionnez Identité du modèle> de processus, sélectionnez Compte personnalisé, puis Définir. Spécifiez le nom et le mot de passe du compte de service.

   

3. Sélectionnez OK dans les boîtes de dialogue Définir les informations d’identification et l’identité du pool d’applications.

4. Dans Paramètres avancés, recherchez Charger le profil utilisateur et assurez-vous qu’il est défini sur True.

   

5. Redémarrez l'ordinateur.

Scénario 2 : Configurer la délégation contrainte sur le compte NetworkService

Cette section explique comment implémenter une délégation contrainte S4U2Proxy ou Kerberos uniquement lorsque vous utilisez le compte NetworkService pour les pages proxy d’inscription web.

Étape facultative : Configurer un nom à utiliser pour les connexions

Vous pouvez attribuer un nom au rôle d’inscription web que les clients peuvent utiliser pour se connecter. Cette configuration signifie que les demandes entrantes n’ont pas besoin de connaître le nom de l’ordinateur du serveur frontal d’inscription web, ni d’autres informations de routage telles que le nom canonique DNS (CNAME).

Par exemple, supposons que le nom d’ordinateur de votre serveur d’inscription web soit WEBENROLLMAC (dans le domaine Contoso). Vous souhaitez que les connexions entrantes utilisent plutôt le nom ContosoWebEnroll. Dans ce cas, l’URL de connexion est la suivante :

https://contosowebenroll.contoso.com/certsrv

Il ne s’agit pas des éléments suivants :

https://WEBENROLLMAC.contoso.com/certsrv

Pour utiliser une telle configuration, procédez comme suit :

1. Dans le fichier de zone DNS du domaine, créez un enregistrement d’alias ou un enregistrement de nom d’hôte qui mappe le nouveau nom de connexion à l’adresse IP du rôle d’inscription web. Utilisez l’outil Ping pour tester la configuration du routage.

   Dans l’exemple qui a été décrit précédemment, le Contoso.com fichier de zone a un enregistrement d’alias qui mappe ContosoWebEnroll à l’adresse IP du rôle d’inscription web.

2. Configurez le nouveau nom en tant que SPN pour le serveur frontal d’inscription web. Pour cela, procédez comme suit :

   1. Dans Utilisateurs et ordinateurs Active Directory, connectez-vous au domaine, puis sélectionnez Ordinateurs.
   2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

      Remarque

      Ce compte est également appelé « compte d’ordinateur ».

   3. Sélectionnez Attribute Editor>servicePrincipalName.
   4. Tapez HTTP/<ConnectionName>.<DomainName.com>, sélectionnez Ajouter, puis sélectionnez OK.

      Remarque

      Dans cette chaîne, <ConnectionName> est le nouveau nom que vous avez défini, et <DomainName> est le nom du domaine. Dans l’exemple, la chaîne est HTTP/ContosoWebEnroll.contoso.com.

1. Configurer la délégation

1. Si vous n’avez pas encore connecté au domaine, effectuez cette opération maintenant dans Utilisateurs et ordinateurs Active Directory, puis sélectionnez Ordinateurs.

2. Cliquez avec le bouton droit sur le compte d’ordinateur du serveur frontal Inscription web, puis sélectionnez Propriétés.

   Remarque

   Ce compte est également appelé « compte d’ordinateur ».

3. Sélectionnez Délégation, puis approuvez cet ordinateur pour la délégation aux services spécifiés uniquement.

   Remarque

   Si vous pouvez garantir que les clients utilisent toujours l’authentification Kerberos lorsqu’ils se connectent à ce serveur, sélectionnez Utiliser Kerberos uniquement. Si certains clients utilisent d’autres méthodes d’authentification, telles que l’authentification NTLM ou l’authentification basée sur des formulaires, sélectionnez Utiliser n’importe quel protocole d’authentification.

   

2. Créer et lier le certificat SSL pour l’inscription web

Pour activer les pages d’inscription web, créez un certificat de domaine pour le site web, puis liez-le au premier site par défaut. Pour cela, procédez comme suit :

1. Ouvrez le Gestionnaire de services Internet.

2. Dans l’arborescence de la console, sélectionnez <HostName>, puis les certificats de serveur dans le volet Actions.

   Remarque

   <Hostname> est le nom du serveur web frontal.

3. Dans le menu Actions , sélectionnez Créer un certificat de domaine.

4. Une fois le certificat créé, sélectionnez Site web par défaut, puis Liaisons.

5. Vérifiez que le port est défini sur 443. Ensuite, sous certificat SSL, sélectionnez le certificat que vous avez créé à l’étape 3. Sélectionnez OK pour lier le certificat au port 443.

   

3. Configurer le serveur frontal d’inscription web pour utiliser le compte NetworkService

1. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés.

   

2. Sélectionnez l’identité du modèle de> processus. Vérifiez que le compte intégré est sélectionné, puis sélectionnez NetworkService. Ensuite, sélectionnez OK.

   

3. Dans Propriétés avancées, recherchez Charger le profil utilisateur, puis vérifiez qu’il est défini sur True.

   

4. Redémarrez le service IIS.

Voir aussi

Pour plus d’informations sur ces processus, consultez Authenticating Web Application Users.

Pour plus d’informations sur les extensions de protocole S4U2self et S4U2proxy, consultez les articles suivants :

• [MS-SFU] : Extensions de protocole Kerberos : Service pour les utilisateurs et protocole de délégation contrainte
• 4.1 Exemple de domaine unique S4U2self
• 4.3 Exemple S4U2proxy