Méthodes d'authentification

Chaque règle définit une liste des méthodes d'authentification. Chaque méthode d'authentification définit les impératifs en matière de vérification des identités lors des communications auxquelles la règle associée s'applique. Les deux homologues doivent avoir au moins une méthode d'authentification commune, sinon la communication échouera. En créant des méthodes d'authentification multiples, vous augmentez les chances de trouver une méthode commune à deux ordinateurs.

Quel que soit le nombre de méthodes d'authentification configurées, une seule peut être spécifiée entre deux ordinateurs. Si plusieurs règles s'appliquent à une même paire d'ordinateurs, vous devez configurer la liste des méthodes d'authentification dans ces règles afin de permettre aux deux ordinateurs d'utiliser la même. Par exemple, si une règle définie entre deux ordinateurs spécifie uniquement le protocole Kerberos pour l'authentification et ne filtre que les données TCP et qu'une autre règle prescrit l'authentification par certificat uniquement et filtre les données UDP uniquement, l'authentification échouera.

Pour l'authentification, IPSec vous permet d'utiliser le protocole Kerberos V5, l'authentification basée sur les certificats ou l'authentification par clé pré-partagée.

• Le protocole de sécurité Kerberos V5 est la technologie d'authentification par défaut. Cette méthode peut être utilisée pour n'importe quel client exécutant le protocole Kerberos V5 (qu'il s'agisse ou non de clients exécutant Windows 2000, Windows XP Professionnel ou un système d'exploitation de la famille Windows Server 2003) et membre du même domaine ou d'un domaine approuvé.
  
  
• Il est conseillé d'utiliser un certificat de clé publique en cas d'accès à Internet, d'accès distant à des ressources de l'entreprise, de communications avec des partenaires commerciaux externes ou avec des ordinateurs n'exécutant pas le protocole de sécurité Kerberos V5. Cela nécessite la configuration d'au moins une Autorité de certification de confiance et des certificats associés. Les ordinateurs qui exécutent Windows 2000, Windows XP ou un système d'exploitation de la famille Windows Server 2003 prennent en charge les certificats X.509 version 3, y compris les certificats d'ordinateur générés par des Autorités de certification commerciales.
  
  
• Une clé secrète pré-partagée peut être spécifiée. Cette clé est simple d'utilisation et ne requiert pas que le client exécute le protocole Kerberos V5 ou dispose d'un certificat de clé publique. Les deux parties doivent configurer manuellement IPSec de manière à utiliser cette clé pré-partagée.
  
  Important
  
  
  • L'utilisation d'une authentification par clé pré-partagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. L'authentification par clé pré-partagée crée une clé principale moins sécurisée (qui peut produire une forme plus faible de cryptage) que les certificats ou que le protocole Kerberos V5. De plus, les clés pré-partagées sont stockées en texte en clair. Cette authentification est proposée à des fins d'interopérabilité et dans le but d'adhérer aux normes IPSec. Il est recommandé d'utiliser les clés pré-partagées à des fins de test uniquement et d'utiliser plutôt les certificats ou le protocole Kerberos V5 dans un environnement de production.
    
    

Remarques

• La prise en charge de l'authentification au moyen de Kerberos V5 n'est pas assurée sur les ordinateurs non-membres d'un domaine Active Directory qui exécutent Windows XP Édition familiale ou toute autre version de Windows 2000, Windows XP ou un système d'exploitation de la famille Windows Server 2003.
  
  
• Pour plus d'informations sur la configuration des méthodes d'authentification, consultez Définir les méthodes d'authentification IPSec.
  
  

Lorsque vous utilisez l'authentification Kerberos V5 ou par certificat, vous pouvez définir des restrictions quant aux ordinateurs qui sont autorisés à se connecter. Lorsque vous activez le mappage certificat vers compte dans IPSec, le protocole IKE associe (mappe) un certificat d'ordinateur à un compte d'ordinateur dans un domaine ou une forêt Active Directory, puis il extrait un jeton d'accès, qui inclut la liste des droits d'utilisateur attribués à l'ordinateur. Vous pouvez restreindre l'accès en configurant les paramètres de sécurité de l'objet de stratégie de groupe et en attribuant soit le droit d'utilisateur Accéder à un ordinateur depuis le réseau, soit le droit d'utilisateur Refuser l'accès à cet ordinateur à partir du réseau à un ou plusieurs ordinateurs, selon les besoins.

Lorsqu'une Autorité de certification de la famille Windows Server 2003 ou Windows 2000 est utilisée pour l'inscription automatique des certificats d'ordinateur, les certificats sont automatiquement stockés dans Active Directory en tant que propriété du compte d'ordinateur. Vous pouvez également utiliser une Autorité de certification non Microsoft dans laquelle inscrire les ordinateurs. Si vous n'utilisez pas l'inscription automatique des certificats d'ordinateur, vous devez gérer manuellement le mappage certificat vers compte.

Remarques

• Si vous utilisez le protocole Kerberos V5 pour l'authentification, le protocole IKE vérifie les contrôles d'accès, mais uniquement si IKE est un répondeur. Ainsi, pour que les contrôles d'accès soient appliqués, vous devez configurer la stratégie IPSec sur l'ordinateur client afin d'engager IKE sur le serveur. Si vous utilisez l'authentification par certificat, les contrôles d'accès sont appliqués si le serveur ou l'ordinateur client engage IKE sur le serveur.
  
  
• Pour des informations sur la configuration des paramètres de sécurité dans la stratégie de groupe, consultez Vue d'ensemble des paramètres de sécurité.