Déployer l’accès à distance avec l’authentification par mot de passe à usage unique

  • Article

 

S'applique à: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 combine DirectAccess et le réseau privé virtuel (VPN) du service Routage et accès distant (RRAS) dans un rôle Accès à distance unique. L’accès à distance peut être déployé dans plusieurs scénarios d’entreprise. Cette présentation fournit une introduction au scénario d’entreprise correspondant au déploiement de Windows Server 2012 DirectAccess avec l’authentification utilisateur par mot de passe à usage unique.

Description du scénario

Dans ce scénario, un serveur d’accès à distance avec DirectAccess activé est configuré pour authentifier les utilisateurs des clients DirectAccess à l’aide d’une authentification par mot de passe à usage unique à deux facteurs, outre les informations d’identification Active Directory standard.

Conditions préalables

Avant de déployer ce scénario, prenez connaissance des conditions requises suivantes qui ont leur importance :

  • Les Clients Windows 7 doivent utiliser DCA 2.0 pour prendre en charge le mot de passe à usage unique.
  • Le mot de passe à usage unique ne prend pas en charge les modifications de code confidentiel.
  • La modification des stratégies en dehors de la console de gestion DirectAccess ou des applets de commande Windows PowerShell n’est pas prise en charge.

Dans ce scénario

Ce scénario d’authentification par mot de passe à usage unique inclut plusieurs étapes :

  1. Déployer un serveur DirectAccess unique avec des paramètres avancés : vous devez déployer un serveur d’accès à distance unique avant de configurer le mot de passe à usage unique. La planification et le déploiement d’un serveur unique incluent la conception et la configuration d’une topologie de réseau, la planification et le déploiement de certificats, la configuration des services DNS et Active Directory, la configuration des paramètres de serveur d’accès à distance, le déploiement des clients DirectAccess et la préparation des serveurs intranet.

  2. Plan d'accès à distance avec authentification unique : outre la planification requise pour un serveur unique, le mot de passe à usage unique requiert la planification d’une autorité de certification Microsoft et de modèles de certificat, ainsi qu’un serveur à mot de passe à usage unique RADIUS. La planification peut également exiger de mettre en place des groupes de sécurité pour exempter des utilisateurs spécifiques d’une authentification forte (par mot de passe à usage unique ou par carte à puce). Pour plus d’informations concernant la configuration du mot de passe à usage unique dans un environnement à plusieurs forêts, voir Configurer un déploiement à forêts multiples.

  3. Configurer DirectAccess avec l'authentification unique : le déploiement du mot de passe à usage unique consiste en un certain nombre d’étapes de configuration, notamment la préparation de l’infrastructure pour l’authentification par mot de passe à usage unique, la configuration du serveur OTP, la configuration des paramètres OTP sur le serveur d’accès à distance et la mise à jour des paramètres des clients DirectAccess.

  4. Résoudre les problèmes d'un déploiement à usage : cette section décrit certaines erreurs les plus courantes qui peuvent se produire lors du déploiement de l’accès à distance avec authentification par mot de passe à usage unique.

Cas pratiques

Renforcer la sécurité : l’utilisation d’un mot de passe à usage unique améliore la sécurité de votre déploiement DirectAccess. Un utilisateur requiert des informations d’identification par mot de passe à usage unique afin d’obtenir l’accès au réseau interne. Un utilisateur doit fournir des informations d’identification par mot de passe à usage unique via les connexions d’espace de travail disponibles dans les connexions réseau sur l’ordinateur client Windows 8, ou à l’aide de l’Assistant Connectivité DirectAccess (DCA) sur les ordinateurs clients qui exécutent Windows 7. Le processus d’authentification par mot de passe à usage unique fonctionne comme suit :

  1. Le client DirectAccess entre des informations d’identification de domaine pour accéder aux serveurs d’infrastructure DirectAccess (par le biais du tunnel d’infrastructure). Si aucune connexion au réseau interne n’est disponible, en raison d’un échec IKE spécifique, la connexion d’espace de travail sur l’ordinateur client notifie l’utilisateur que des informations d’identification sont requises. Sur les ordinateurs clients qui exécutent Windows 7, une fenêtre contextuelle apparaît pour vous inviter à entrer des informations d’identification par carte à puce.

  2. Une fois que les informations d’identification par mot de passe à usage unique ont été entrées, elles sont envoyées via SSL au serveur d’accès à distance, avec une demande de certificat d’ouverture de session par carte à puce à court terme.

  3. Le serveur d’accès à distance initie la validation des informations d’identification par mot de passe à usage unique avec le serveur à mot de passe à usage unique RADIUS.

  4. Si l’opération réussit, le serveur d’accès à distance signe la demande de certificat à l’aide de son certificat d’autorité d’inscription et la renvoie à l’ordinateur client DirectAccess

  5. L’ordinateur client DirectAccess envoie la demande de certificat signée à l’autorité de certification et stocke le certificat inscrit pour une utilisation par le fournisseur SSP/AP Kerberos.

  6. L’ordinateur client utilise ce certificat pour effectuer de manière transparente l’authentification Kerberos par carte à puce standard.

Fonctionnalités et rôles inclus dans ce scénario

Le tableau suivant répertorie les fonctionnalités et rôles requis pour ce scénario :

Rôle/fonctionnalité

Prise en charge de ce scénario

Rôle Gestion de l’accès à distance

Ce rôle est installé et désinstallé à l’aide de la console du Gestionnaire de serveur. Ce rôle englobe à la fois DirectAccess, qui était auparavant une fonctionnalité de Windows Server 2008 R2, et le service Routage et accès distant qui était auparavant un service de rôle sous le rôle de serveur Services de stratégie et d’accès réseau. Le rôle Accès à distance est constitué de deux composants :

  1. Réseau privé virtuel (VPN) des services de routage et d’accès distant (RRAS) et DirectAccess : DirectAccess et le réseau privé virtuel sont gérés ensemble dans la console de gestion de l’accès à distance.

  2. Routage RRAS : les fonctionnalités de routage RRAS sont gérées dans la console de routage et d’accès à distance héritée.

Le rôle Accès à distance dépend des fonctionnalités de serveur suivantes :

  • Serveur web IIS (Internet Information Services) : cette fonctionnalité est requise pour configurer le serveur Emplacement réseau, ainsi que la sonde web par défaut et utiliser l’authentification par mot de passe à usage unique.

  • Base de données interne Windows : utilisée pour la gestion des comptes locale sur le serveur d’accès à distance.

Fonctionnalité des outils de gestion de l’accès à distance

Cette fonctionnalité est installée comme suit :

  • Elle est installée par défaut sur un serveur d’accès à distance lorsque le rôle Accès à distance est installé et elle prend en charge l’interface utilisateur de la console de gestion à distance.

  • Elle peut éventuellement être installée sur un serveur qui n’exécute pas le rôle serveur Accès à distance. Dans ce cas, elle est utilisée pour la gestion à distance d’un ordinateur d’accès à distance qui exécute DirectAccess et le réseau privé virtuel (VPN).

La fonctionnalité des outils de gestion de l’accès à distance est constituée des éléments suivants :

  • Interface graphique utilisateur de l’accès à distance et outils de ligne de commande

  • Module d’accès à distance pour Windows PowerShell

Les dépendances incluent :

  • Console de gestion des stratégies de groupe

  • Kit d’administration du Gestionnaire des connexions (CMAK) RAS

  • Windows PowerShell 3.0

  • Outils de gestion graphiques et infrastructure

Configuration matérielle requise

La configuration matérielle requise pour ce scénario comprend les éléments suivants :

  • Un ordinateur qui présente la configuration matérielle requise pour Windows Server 2012.

  • Pour tester le scénario, au moins un ordinateur exécutant Windows 8 ou Windows 7 configuré en tant que client DirectAccess est requis.

  • Un serveur de mot de passe à usage unique prenant en charge PAP sur RADIUS.

  • Un jeton logiciel ou matériel de mot de passe à usage unique.

Configuration logicielle requise

Plusieurs conditions sont requises pour ce scénario :

  1. Configuration logicielle requise pour un déploiement sur un seul serveur. Pour plus d'informations, voir Déployer un serveur DirectAccess unique avec des paramètres avancés.

  2. Outre la configuration logicielle requise pour un serveur unique, des conditions spécifiques au mot de passe à usage unique s’appliquent :

    1. Autorité de certification pour l’authentification IPsec : dans un déploiement du mot de passe à usage unique, DirectAccess doit être déployé à l’aide de certificats d’ordinateur IPsec émis par une autorité de certification. L’authentification IPsec utilisant le serveur d’accès à distance comme proxy Kerberos n’est pas prise en charge dans un déploiement du mot de passe à usage unique. Une autorité de certification interne est requise.

    2. Autorité de certification pour l’authentification par mot de passe à usage unique : une autorité de certification d’entreprise Microsoft (qui s’exécute sur Windows 2003 Server ou une version ultérieure) est requise pour émettre le certificat de client par mot de passe à usage unique. L’autorité de certification utilisée pour émettre des certificats pour l’authentification IPsec peut être utilisée. Le serveur de l’autorité de certification doit être disponible via le premier tunnel d’infrastructure.

    3. Groupe de sécurité : pour exempter des utilisateurs d’une authentification forte, un groupe de sécurité Active Directory contenant ces utilisateurs doit être utilisé.

    4. Configuration requise côté client : pour les ordinateurs clients Windows 8, le service Assistant Connectivité réseau (NCA) est utilisé pour détecter si les informations d’identification par mot de passe à usage unique sont requises. Si tel est le cas, le Gestionnaire multimédia DirectAccess vous invite à entrer des informations d’identification. L’application NCA est incluse dans le système d’exploitation Windows 8, et aucune installation ni aucun déploiement ne sont requis. Pour les ordinateurs clients Windows 7, l’Assistant Connectivité DirectAccess (DCA) 2.0 est requis. Il peut être téléchargé dans le Centre de téléchargement Microsoft.

    5. Notez les éléments suivants :

      1. L’authentification par mot de passe à usage unique peut être utilisée parallèlement à une authentification par carte à puce et par module de plateforme sécurisée (TPM). L’activation de l’authentification par mot de passe à usage unique dans la console de gestion de l’accès à distance permet également l’utilisation de l’authentification par carte à puce.

      2. Durant la configuration de l’accès à distance, les utilisateurs figurant dans un groupe de sécurité spécifié peuvent être exemptés de l’authentification à deux facteurs, et ainsi s’authentifier avec un nom d’utilisateur et un mot de passe uniquement.

      3. Les modes de nouveau code confidentiel et de code de jeton suivant de mot de passe à usage unique ne sont pas pris en charge

      4. Dans un déploiement multisite de l’accès à distance, les paramètres de mot de passe à usage unique sont globaux et permettent l’identification pour tous les points d’entrée. Si plusieurs serveurs RADIUS ou d’autorité de certification sont configurés pour le mot de passe à usage unique, ils sont classés par chaque serveur d’accès à distance en fonction de leur disponibilité et proximité.

      5. Lors de la configuration du mot de passe à usage unique dans un environnement à forêts multiples à accès à distance, les autorités de certification du mot de passe à usage unique doivent appartenir à la forêt de ressources uniquement, et l’inscription de certificats doit être configurée dans les approbations de forêts. Pour plus d’informations, voir AD CS : inscription de certificats inter-forêts avec Windows Server 2008 R2.

      6. Les utilisateurs qui utilisent un jeton KEY FOB OTP doivent insérer le code confidentiel suivi du code de jeton (sans aucun séparateur) dans la boîte de dialogue de mot de passe à usage unique DirectAccess. Les utilisateurs qui utilisent le jeton PIN PAD OTP doivent insérer uniquement le code de jeton dans la boîte de dialogue.

      7. Lorsque le WEBDAV est activé, le mot de passe à usage unique doit être désactivé.

Problèmes connus

Les problèmes décrits ci-après sont connus et surviennent souvent lors de la configuration d’un scénario de mot de passe à usage unique :

  • L’accès à distance utilise un mécanisme de détection pour vérifier la connectivité aux serveurs à mot de passe à usage unique RADIUS. Dans certains cas cela peut provoquer une erreur sur le serveur à mot de passe à usage unique. Pour éviter ce problème, procédez comme suit sur le serveur à mot de passe à usage unique :

    • Créez un compte d’utilisateur qui correspond au nom d’utilisateur et au mot de passe configurés sur le serveur d’accès à distance pour le mécanisme de détection. Le nom d’utilisateur ne doit pas définir un utilisateur Active Directory.

      Par défaut, le nom d’utilisateur sur le serveur d’accès à distance est DAProbeUser et le mot de passe DAProbePass. Ces paramètres par défaut peuvent être modifiés à l’aide des valeurs suivantes dans le registre du serveur d’accès à distance :

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Si vous modifiez le certificat racine IPsec dans un déploiement DirectAccess configuré et en cours d’exécution, la fonctionnalité de mot de passe à usage unique cesse de fonctionner. Pour résoudre ce problème, dans une fenêtre Windows PowerShell, exécutez la commande iisreset sur chaque serveur DirectAccess.