Table des Matières
Publicité
REMARQUE :
Si vous utilisez Active Directory sous Windows 2003, vérifiez que vous avez installé les derniers Service Packs
et correctifs sur le système client. Si vous utilisez Active Directory sous Windows 2008, veillez à installer SP1 avec les
correctifs suivants :
Windows6.0-KB951191-x86.msu pour l'utilitaire KTPASS. Sans ce correctif, l'utilitaire génère des fichiers keytab incorrects.
Windows6.0-KB957072-x86.msu pour utiliser les transactions GSS_API et SSL pendant une liaison LDAP.
•
Centre de distribution de clés Kerberos (fourni avec le logiciel du serveur Active Directory Server)
•
Serveur DHCP (recommandé)
•
La zone inverse du serveur DNS doit comporter une entrée pour le serveur Active Directory et pour CMC
Systèmes clients
•
Pour utiliser uniquement la connexion par carte à puce, votre système client doit comporter la version redistribuable de Microsoft Visual
C++ 2005. Pour plus d'informations, visitez le site www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en.
•
Pour la connexion directe ou par carte à puce, le système client doit faire partie du domaine Active Directory et du royaume Kerberos.
CMC
•
Chaque CMC doit posséder un compte Active Directory.
•
CMC doit faire partie du domaine Active Directory et du royaume Kerberos.
Prérequis pour la connexion directe ou par carte à
puce
Les prérequis de configuration de la connexion directe (SSO) ou par carte à puce sont les suivants :
•
Configurez le royaume kerberos et le KDC (Key Distribution Center, centre de distribution de clés) pour Active Directory (ksetup).
•
Installez une infrastructure NTP et DNS robuste pour éviter les problèmes de dérive d'horloge et de recherche inversée.
•
Configurez le CMC avec le groupe de rôles de schéma standard Active Directory, avec des membres autorisés.
•
Pour la carte à puce, créez des utilisateurs Active Directory pour chaque CMC, configurés pour utiliser le cryptage DES Kerberos, mais
pas la préauthentification.
•
Configurez le navigateur pour la connexion directe (SSO) ou par carte à puce.
•
Enregistrez les utilisateurs CMC auprès du centre de distribution de clés avec Ktpass (cela génère également une clé pour le
téléversement dans le CMC).
Génération d'un fichier Keytab Kerberos
Pour prendre en charge l'authentification de connexion directe (SSO) et par carte à puce, le contrôleur CMC prend en charge le réseau
Windows Kerberos. L'outil ktpass (disponible auprès de Microsoft sur le CD/DVD d'installation du serveur) permet de créer des liaisons SPN
(Service Principal Name) avec un compte utilisateur et d'exporter les informations de confiance dans un fichier keytab Kerberos de
type MIT. Pour plus d'informations sur l'utilitaire ktpass, voir le site Web Microsoft.
Avant de générer un fichier keytab, vous devez créer le compte utilisateur Active Directory à utiliser avec l'option -mapuser de la
commande ktpass. Vous devez utiliser le même nom que le nom DNS du CMC vers lequel vous téléversez le fichier keytab généré.
Configuration de CMC pour la connexion directe (SSO) ou la connexion par carte à puce
161
Publicité
Table des Matières
Dépannage
