Dans le cadre du BYOD (Bring Your Own Device), on cherche a ajouter un peu de contrôle et de sécurité sur des périphériques qui sont “moins” gérés que les autres. Gérer des périphériques, on sait faire cela depuis des années avec Active Directory, et si a l’origine ou n’avait que Windows, on peut désormais rajouter tout un ensemble de périphériques dans l’AD pour y apporter plus ou moins de gestion.
DRS fait partie d’un ensemble des technologies nouvelles dans Windows Server 2012 R2 pour le BYOD. Le rôle de DRS est d’authentifier des machines via Active Directory sans nécessairement les ajouter au domaine au sens classique. Ainsi on tirera partie de cette authentification pour contrôler l’accès à des ressources du réseau d’entreprise (la tablette comme second facteur d’authentification), ou encore pour faire du SSO.
DRS est implémenté en tant que partie d’AD FS (Active Directory Federation Services) et dans un premier temps on supporte les clients Windows 8.1 et iOS.
Dans cet article nous mettrons en œuvre l’infrastructure qui permettra d’ajouter des tablettes ou périphériques depuis le réseau interne, mais cela est aussi réalisable depuis l’Internet.
Objectifs de cet article : Pouvoir authentifier et autoriser l’accès à une application si mes utilisateurs sont authentifiés ET sont connectés depuis une tablette autorisée dans mon environnement.
Cet article fait partie d’une série :
- Ce premier article décrit comment mettre en place l’infrastructure pour le réseau interne.
- Un deuxième article décrira les tests basiques côté client
- Un troisième article décrira la mise en œuvre du contrôle d’accès sur l’application.
Configuration côté serveur
J’ai sur mon réseau interne un contrôleur de domaine nommé dublinr2-1 et une autorité de certification racine d’entreprise nommée ITCampTestCA dans mon domaine TESTITCAMP.CONTOSO.COM.
/!\ ALERTE PKI /!\
Attention, pour toutes les opérations, l’état de révocation des certificats va être vérifié, il faut donc que la PKI soit relativement propre…. C’est à dire un point de vérification du statut de révocation des certificats disponible quelque soit l’emplacement réseau des machines (dans le domaine ou en dehors).
Pour la première étape, j’ajoute le rôle ADFS sur une machine nommé ADFS01 sans y effectuer le paramétrage initial… voyons le reste des étapes de configuration en détails.
Configuration de ADFS
L’installation du rôle ADFS ayant été effectuée, je vais devoir planifier plusieurs facteurs importants, les certificats utilisés ainsi quels comptes de services utilisés.
Création des comptes de service
Mon domaine est en niveau fonctionnel 2012, je peux donc utiliser les comptes de services gMSA, je les crée en Powershell en utilisant la syntaxe suivante :
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount ADFS-Gmsa -DNSHostName adfs01.itcamptest.contoso.com -ServicePrincipalNames http/adfs01.itcamptest.contoso.com
Le première commande n’est utilisée que la première fois que l’on crée un gMSA dans un environnement (pour référence).
La seconde ligne permet réellement la création du compte ainsi que son SPN.
Création des certificats
Nous allons maintenant demander un certificat qui correspond à cette machine et qui a le subject alternate name nécessaire pour DRS :
Subject Name (CN): adfs01.itcamptest.contoso.com
Subject Alternative Name (DNS): adfs01.itcamptest.contoso.com
Subject Alternative Name (DNS): enterpriseregistration.itcamptest.contoso.com
Paramétrage d’ADFS
On lance l’assistant depuis le gestionnaire de serveur :
Nous déployons le premier serveur ADFS de l’organisation :
Spécifions des credentiels administrateurs du domaine :
Nous sélectionnons maintenant le certificat adfs01.itcamptest.contoso.com que nous avons créé précédemment:
Spécifions le compte de service que nous avons crée précédemment:
Dans un environnement de production, j’utiliserai une base SQL, pour mon environnement de test, la base WID devrait faire l’affaire:
Revoyons les options :
Enfin :
On remarquera ici un message d’attention qui nous spécifie que l’enregistrement du SPN ne s’est pas bien passé. C’est sans doute l’assistant qui ne s’attendait pas à ce que je l’ai déjà fait.
Pour en avoir le cœur net, je vérifie avec setspn –q <SPNdeMonServeur>
Cela m’a l’air correct
Activation de DRS
Ouvrons une commande PowerShell pour activer le composant DRS:
Pour Windows Server 2012 R2 Preview :
Enable-AdfsDeviceRegistration –PrepareActiveDirectory –ServiceAccountName itcamptest\ADFS-Gmsa$
Pour Windows Server 2012 R2 RTM :
Initialize-ADDeviceRegistration
On active le service DRS : Enable-AdfsDeviceRegistration
Création des enregistrements DNS
La machine ADFS01 va s’enregistrer et mettre à jour automatiquement dans le DNS, je dois en revanche crée un alias pour le nom utilisé par les machines clientes DRS soit le nom enterpriseregistration.<UPN du contexte utilisateur>.
Dans mon environnement, l’UPN est itcamptest.contoso.com, j’utilise donc enterpriseregistration.itcamptest.contoso.com
Dans la vraie vie, je devrais mettre un enregistrement pour tous les UPN présents dans mon organisation.
Dans la console DNS, je modifie la zone de recherche directe liée à mon domaine :
Vérifications
On peut enfin vérifier l’état opérationnel du service en confirmand la présence de l’évènement 100 dans le journal d’évènements “Device Registration Service/DRS/Admin” :
L’environnement serveur est maintenant prêt pour accueillir ses périphériques et tester la fonctionnalité de workplace join !
Références :
http://technet.microsoft.com/en-us/library/dn280938.aspx – Get Started with Workplace Join with a Windows Device: Walkthrough Guide
http://technet.microsoft.com/en-us/library/dn280939.aspx – Setting up the lab environment
http://technet.microsoft.com/en-us/library/dn303423.aspx – How to deploy AD FS in Windows Server 2012 R2
http://blogs.technet.com/b/byod-fr/archive/2013/07/11/byod-le-workplace-join-de-windows-server-2012-r2.aspx – BYOD : Le “Workplace Join” de Windows Server 2012 R2 –
*Edit le 10/10/13 pour intégrer changements de Windows Server 2012 R2 RTM
Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
– d’une image ISO : https://aka.ms/jeveuxwindows2012r2
– d’un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2
Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :
https://aka.ms/itCampFr
Arnaud – les bons tuyaux