Windows Server 2012

Authentification multi facteurs avec Windows Azure Multi-Factor Authentication – partie 2

Posted on by Arnaud

Dans un article précédent, nous discutions de la solution Windows Azure Multi-Factor Authentication pour mettre en place une authentification d’entreprise multi facteur. Commençons à mettre en œuvre la solution en déployant notre premier serveur MFA et testant les fonctionnalités de base.

Pour rappel, cet article fait partie d’une série :

  1. Introduction à Windows Azure Multi-Factor Authentication
  2. Installation et paramétrage du serveur Windows Azure Multi Factor Authentication (vous êtes ici)
  3. Installation et paramétrage de Remote Desktop Gateway
  4. Installation et paramétrage du portail utilisateur
  5. Installation et paramétrage pour l’application mobile
  6. Installation et paramétrage pour ADFS

1. Activation du service et téléchargement du serveur MFA

Pour démarrer avec la solution, il faut aller dans le portal Windows Azure (http://manage.windowsazure.com), pour activer l’option Multi Factor Auth Providers. Au passage si vous n’en avez pas, vous pouvez avoir un abonnement gratuit valable un mois ici : https://aka.ms/Azure0Euro

Cela se déroule dans l’ajout de nouvelles fonctionnalités :

activatemfa1_thumb1

On choisi ensuite d’activer le service en le synchronisant avec un annuaire WAAD ou pas (dans notre cas, ce n’est pas nécessaire), mais surtout on choisi le modèle de facturation : par utilisateur activés ou par authentification effectuée. Pour déterminer l’option qui correspond à votre besoin, les tarifs sont disponibles ici : http://www.windowsazure.com/fr-fr/pricing/details/multi-factor-authentication/

activatemfa2_thumb1

Un fois le service activé, on va alors sélectionner l’option Manage en bas à droite, qui nous redirigera vers le portail d’administration. Allons directement à la section téléchargement et récupérons la version 6.1 qui supporte Windows Server 2012 R2.

dl2_thumb2

Une fois le téléchargement effectué, on doit activer le serveur en cliquant sur “Generate Activation Credentials”. On utilisera ces informations dans l’étape suivante.

activatemfa3_thumb1

2. Installation du serveur d’authentification

On procède ensuite à l’installation du serveur d’authentification sur note machine dédiée, DUB-SRV4.

Dans un premier temps on doit passer par l’installation des prérequis : les composants .NET 2.0 sur le serveur, ce qui nécessite un accès au média d’installation et de spécifier le chemin alternatif (sources\SXS).

On peut ensuite procéder à l’installation des binaires téléchargées à l’étape précédente.

mfasplash_thumb1

On passe l’assistant, parce qu’on est des durs.

setup1_thumb

On active le serveur avec les identifiants fournis par le portail à l’étape précédente :

setup2_thumb

On crée un groupe de serveurs :

setup3_thumb

Et activons le mode multi-serveur pour la gestion d’entreprise :

setup4_thumb

Sélection des modes d’authentification de la réplication :

3. Paramétrage du serveur d’authentification MFA

3.1 Ajout des utilisateurs

Nous allons importer des utilisateurs de l’Active Directory de notre environnement dans le serveur MFA. Ceci pourra être synchronisé automatiquement, nous verrons cela plus tard.

Choisissons Import from Active Directory :

Dans la partie Search, ajoutons un utilisateur :

Une fois ajouté, nous allons pouvoir éditer le numéro de téléphone de cet utilisateur si le champ correspondant dans l’AD n’avait pas déjà été renseigné.

On remarquera que c’est dans cet écran que l’on sélectionne également la méthode d’authentification retenue pour l’utilisateur : appel téléphonique (avec ou sans code PIN), SMS (avec ou sans code PIN), ou application (avec ou sans code PIN) mobile.

La partie Advanced permet de spécifier les paramètres de type langage (vos utilisateurs n’apprécieront pas forcément les appels ou SMS en anglais !).

config5

Une fois ces paramètres validés, testons la méthode retenue depuis la console principale en sélectionnant le bouton Test :

adduser4_thumb

On est alors appelé au numéro spécifié et confirmons la demande avec la touche #

adduser5_thumb

testauth

Une fois l’authentification confirmée, on peut passer à la suite de la configuration pour différentes applications… nous le ferons pour les accès Remote Desktop Gateway dans le prochain article !

En attendant, quelques lectures  :

Technical Scenarios for Windows Azure Multi-Factor Authentication – http://technet.microsoft.com/en-us/library/dn394279.aspx 

Windows Azure Multi-Factor Authentication Release Notes – http://technet.microsoft.com/en-us/library/dn465794.aspx 

Quelques exemples de mise en œuvre de la technologie chez Fredrikson & Byron, http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=710000003252

Pour tester Windows Azure Multi-Factor Authentication, vous pouvez évaluer Windows Azure par ici : https://aka.ms/Azure0Euro

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Authentification multi facteurs avec Windows Azure Multi-Factor Authentication – partie 1

Posted on by Arnaud

Microsoft a racheté il y a quelques mois la société PhoneFactor, et son service d’authentification a été intégré au sein de nos solutions en tant que Windows Azure Multi-Factor Authentication (pour les plus assidus, il s’est aussi appelé Windows Azure Active Authentication durant quelques semaines).

Restons simples : Il s’agit ici d’offrir à nos clients un service d’authentification multi facteur utilisant un système dont nous disposons normalement tous : le téléphone. Lorsqu’un utilisateur va s’authentifier sur des ressources de l’entreprise hébergées sur site ou même dans un cloud, en plus des credentials du domaine, l’utilisateur sera authentifié avec son téléphone.

L’objectif de cette série d’articles est de vous montrer comment mettre en œuvre pas à pas la solution pour protéger l’accès à différents types de ressources.

Nous aurons plusieurs articles dans cette série :

  1. Introduction à Windows Azure Multi-Factor Authentication (vous êtes ici)
  2. Installation et paramétrage du serveur Windows Azure Multi Factor Authentication
  3. Installation et paramétrage de Remote Desktop Gateway
  4. Installation et paramétrage du portail utilisateur
  5. Installation et paramétrage pour l’application mobile
  6. Installation et paramétrage pour ADFS

Méthodes d’authentification utilisables

A l’heure actuelle, les méthodes supportées pour s’authentifier sont :

  • Appel téléphonique automatisé : l’utilisateur doit répondre à l’appel et presser une touche ou un code PIN.
  • Echange de SMS : l’utilisateur reçoit un SMS avec code OTP (one-time password) avec ou sans envoi de code PIN préalable
  • Application sur téléphone ou tablette : une fois le périphérique associé à l’utilisateur, il génèrera un code d’authentification toujours avec la possibilité de saisie d’un code PIN préalable. L’application est présente sur les platerformes principales du marché :

WindowsStore_badge_black_en_small_40x125 google_pla_store_android itunes_en

Lien

Lien

Lien

Applications supportées

MFA permet de sécuriser l’accès à des applications directement dans un service de cloud comme Windows Azure, Office 365 et Dynamics CRM Online ou tout autre service qui s’intègre avec Windows Azure Active Directory.

Pour sécuriser des services dans vos datacenter, c’est aussi un composant serveur qui s’installe dans votre sur Windows Server et permet d’authentifier :

  • connexion Terminal Server
  • accès VPN
  • accès à la messagerie OWA
  • accès à ADFS
  • accès à une application IIS

Enfin c’est également un Software Development Kit pour intégrer la solution à un projet plus personnalisé.

En attendant la suite pour mettre en œuvre la technologie dans un environnement de test, quelques lectures :

Technical Scenarios for Windows Azure Multi-Factor Authentication – http://technet.microsoft.com/en-us/library/dn394279.aspx 

Windows Azure Multi-Factor Authentication Release Notes – http://technet.microsoft.com/en-us/library/dn465794.aspx 

Quelques exemples de mise en œuvre de la technologie chez Fredrikson & Byron, http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=710000003252

Pour tester Windows Azure Multi-Factor Authentication, vous pouvez évaluer Azure par ici : https://aka.ms/Azure0Euro

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Active Directory et Windows Azure

Posted on by Arnaud

Lorsque l’on veut utiliser l’authentification AD dans des VM hébergées dans Azure, il y a un ensemble de précautions et de considérations à avoir en tête. Dans cette présentation ave Stanislas, revenons sur les aspects majeurs à considérer :

Un des prérequis est d’avoir une liaison site à site comme décrite ici :

Interconnexion de Windows Azure IaaS avec votre Datacenter – http://blogs.technet.com/b/arnaud/archive/2013/10/14/interconnexion-de-windows-azure-iaas-avec-votre-datacenter.aspx

Cloud Hybride : VPN Site-à-Site avec Azure et Windows Server 2012 – http://blogs.technet.com/b/arnaud/archive/2013/06/06/cloud-hybride-vpn-site-224-site-avec-azure-et-windows-server-2012.aspx

Enfin, plus d’informations plus d’informations sont disponibles ici :

Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines – http://msdn.microsoft.com/library/windowsazure/jj156090.aspx

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Interconnexion de Windows Azure IaaS avec votre Datacenter

Posted on by Arnaud

Lorsque l’on veut interconnecter Windows Azure IaaS avec le datacenter d’entreprise, on a la possibilité d’utiliser le VPN site-à-site avec la passerelle Azure. Découvrez comment mettre cela en œuvre dans cette petite vidéo avec Stanislas !

Nous ne parlons pas dans cette démo de l’option MPLS, mais elle a été annoncée aux Etats Unis avec AT&T, on peut donc raisonnablement penser que cette option pourrait venir en Europe dans les mois prochains au fur et à mesure que des accords seront signés avec les opérateurs régionaux !

Annonce AT&T : http://www.business.att.com/enterprise/Family/network-services/ip-vpn/ 

Annonce Microsoft :http://www.microsoft.com/en-us/news/press/2013/sep13/09-18msattpr.aspx 

Un partenariat avec Equinix a également été annoncé plus récemment, il sera donc possible d’y avoir encore plus de débit ! http://www.microsoft.com/en-us/news/press/2013/oct13/10-07hybridcloudpr.aspx 

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

    Hyper-V Network Virtualization – Encapsulation NVGRE

    Posted on by Arnaud

    Dans une série d’articles, Stanislas décrit comment mettre en place la virtualisation de réseau avec Hyper-V (HNV). C’est une technique fondamentale qui permet de faire cohabiter de manière isolée plusieurs réseaux IP (de clients d’un cloud par exemple) à l’intérieur d’un réseau IP de Datacenter.

    Lors de la mise sur le câble des paquets échangés entre machines Hyper-V, nous utilisons dans Windows Server 2012 (R2) et System Center Virtual Machine Manager 2012 SP1/R2  l’encapsulation NVGRE telle que définie dans : http://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-02 

    Cette encapsulation du trafic d’un client d’un cloud se fait sur le réseau provider (espace d’adressage PA). Alors que l’espace d’adressage PA est unique, plusieurs espaces d’adressages de clients (CA) vont cohabiter sur le PA et seront discriminés grâce à leur identifiant “GRE Key” qui contient les différents réseaux (VSID).

    SchemaTopo

     

    Regardons de plus près à quoi ressemble l’encapsulation réseau avec nos outils préférés: Netmon Monitor et Message Analyzer.

    Pour notre exemple nous prendrons, la machine sur le réseau “blue” avec pour adresse IP 10.1.0.2 qui va envoyer un ping vers 10.2.0.2. Les masques de sous réseaux sont /16 donc, les machines sont dans le même réseau virtuel (VM Network), mais dans un “VM Subnet” différent.

     

    Network Monitor

    Lorsque nous activons la virtualisation de réseau Hyper-V, la carte réseau qui y est attachée se voit retirer tous les attachements de protocoles pour n’avoir uniquement :

    • Windows Network Virtualization Filter Driver (uniquement en Windows Server 2012, supprimé en R2 car intégré dans le switch virtuel Hyper-V)
    • Hyper-V Extensible Virtual Switch

    bindingsw2k12

    Si l’on veut effectuer une trace réseau, il faut alors cocher la case “Microsoft Network Monitor 3 Driver”; le filter driver de Netmon qui permet de capturer des paquets.

    Cochons cette case et lançons la trace réseau sur l’interface qui a été activé pour la virtualisation de réseau:

    NM34-Bindings

     

    Démarrons alors la trace et regardons de plus près à l’encapsulation:

    NM34-trace

    Dans notre exemple, nous voyons sur la trace un paquet envoyé depuis 172.16.0.2 vers 172.16.0.3 avec pour protocole GRE. Nous sommes sur le réseau du provider, c’est donc bien ce qu’on s’attend à voir :

    NM34-ip

     

    Regardons maintenant au paquet en hexa:

    NM34-hex

    Pour nos amis les plus avertis, cela ressemble à une payload de ping (abcd…. à la fin du paquet.) Essayons d’y voir un peu plus clair. D’après ce que l’on sait de l’encapsulation NVGRE, on doit y trouver quelque part l'identifiant de sous réseau virtuel (VSID).

    Si l’on veut retrouver les VSID de nos machines virtuelles, on peut faire de la sorte en Powershell:

    Get-NetVirtualizationLookupRecord

    Get-NetVirtualizationLookupRecord

     

    Nous avons donc 4020644 (decimal) que nous devons convertir en hexadécimal. un petit coup de calc.exe nous permet de trouver 3D59A4. Cherchons cette séquence dans le paquet…

    NM34-VSIDhex

    Si l’on continue l’exploration du paquet, on voit même l’adresse IP de destination 10.2.0.2:

    NM34-IPCA

     

    Voila comment se passe l’encapsulation NVGRE, c’est intéressant si l’on aime faire le parseur humain, sinon Message Analyzer sait interpréter automatiquement ces messages, regardons donc la même trace avec ce dernier outil !

     

    Message Analyzer

    Message Analyzer est le remplaçant de Network Monitor qui permet d'Analyzer bien plus que des traces réseau, il est disponible sur connect (http://connect.microsoft.com/site216) en Beta pour le moment. Ouvrons la trace précédente et observons le résultat :

    MAB3-NVGRE

    On a ici une meilleure vue sur l’encapsulation de protocoles, on retrouve le VSID dans le champ Key, et on a désormais le paquet complètement parsé. Beaucoup plus facilement utilisable pour dépannage !

     

    Notons au passage que pour l’exemple de la démonstration, nous utilisons des machines sur des sous réseaux virtuels (VSID) différents :

    Get-NetVirtualizationLookupRecord2

    L’hyperviseur qui envoi le paquet va remplir le GRE Key avec le VSID du destinataire, aussi lorsque la machine 10.2.0.2 va répondre au ping que l’on vient d’émettre, alors l’hyperviseur qui herberge la VM utilisera le VSID 8793502 enfin je veux dire 86 2D 9E !

     

     

    Si vous en voulez plus, vous pourrez trouver sur Microsoft Virtual Academy, un ensemble de contenus dédiés à Windows Server 2012 et le réseau : http://www.microsoftvirtualacademy.com/training-courses/services-reseaux-de-windows-server-2012 

    Et si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride par Microsoft, vous pouvez vous inscrire gratuitement à un de nos IT Camp : https://aka.ms/itCampFr.

     

    Références :

    http://blogs.technet.com/b/stanislas/archive/2013/07/19/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-1-introduction.aspx – Premier article de la série de Stanislas

    http://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-02 – NVGRE @ IETF

    http://technet.microsoft.com/fr-fr/library/jj134174.aspx – Détails techniques sur la virtualisation de réseau

    http://www.microsoft.com/en-us/download/details.aspx?id=39284 – Test Lab Guide: Windows Server 2012 R2 Hyper-V Network Virtualization with System Center 2012 R2 VMM

    Arnaud – les bons tuyaux