Configuration du serveur Windows pour les services d'annuaire

Cet article explique comment configurer les paramètres et les autorisations sur un serveur Windows pour permettre aux PoPs dans le Cato Cloud de s'intégrer au contrôleur de domaine Active Directory.

Remarque

Remarques :

  • Les captures d'écran et les procédures dans cet article sont basées sur Windows Server 2016. Les détails peuvent varier pour d'autres versions.

  • Si vous avez besoin de plus d'informations sur l'adresse IP de Cato pour le service LDAP, consultez Résolution des problèmes de synchronisation LDAP (vous devez être connecté à la base de connaissances Cato pour voir cet article).

Création d'un nouvel utilisateur de domaine pour les services d'annuaire

Créez un utilisateur de domaine dédié pour l'intégration entre votre compte Cato et le domaine AD.

Voici les exigences de mot de passe AD pour cet utilisateur :

  • Le mot de passe n'expire jamais

  • Désactivez le paramètre qui force l'utilisateur à changer le mot de passe lors de la première connexion

Pour créer un utilisateur pour les services d'annuaire :

  1. Créez un nouvel utilisateur de domaine (cet utilisateur est uniquement utilisé pour les Cato Directory Services).

  2. Dans l'onglet Membre de, assurez-vous que l'utilisateur est membre du groupe Domain Users.

  3. Ajoutez l'utilisateur aux groupes suivants :

    • Utilisateurs COM distribués

    • Lecteurs de journal des événements

      Prérequis_Pour_Activer_Conscience_Utilisateur_01.png

  4. Cliquez sur OK pour créer l'utilisateur.

Configuration des paramètres DCOM

Configurez ces paramètres Distributed COM (DCOM) sur le serveur Windows pour permettre aux PoPs dans le Cato Cloud de communiquer à distance avec le domaine. Voici les paramètres DCOM que vous devez configurer :

  • Services Windows

  • Propriétés et protocoles DCOM

  • Autorisations de sécurité COM

Configuration des services Windows

Démarrez les services Windows Server, Registre à distance et Adaptateur de performance WMI, et configurez-les pour qu'ils démarrent automatiquement avec le serveur Windows.

Remarque

Remarque : Le service Adaptateur de performance WMI est appelé WMI sur d'autres versions du serveur Windows.

Pour activer les services Windows :

  1. Depuis le menu Exécuter, entrez services.msc et cliquez sur OK.

  2. Dans la fenêtre Services, vérifiez que chacun des services Serveur, Registre à distance, Adaptateur de performance WMI est démarré et configuré pour un démarrage automatique.

    1. Pour changer une propriété de service, cliquez avec le bouton droit sur le nom du service, puis cliquez sur Propriétés.

    2. Pour Type de démarrage, sélectionnez Automatique.

    3. Si le statut du service n'a pas démarré, cliquez sur Démarrer.

  3. Cliquez sur OK et fermez la fenêtre Services.

Configuration des propriétés et des protocoles de communication DCOM

Les propriétés DCOM définissent l'authentification et le niveau d'usurpation pour le serveur. Configurez le niveau d'authentification du serveur sur Connect, ce qui signifie que la clé de session est uniquement utilisée pour la poignée de main d'authentification.

Définissez le niveau d'usurpation sur Identify, pour permettre aux PoPs d'accéder uniquement aux données utilisateur pertinentes pour les Cato Directory Services.

La séquence de protocole DCOM pour le serveur définit comment le serveur communique sur le réseau. Les Directory Services utilisent le protocole TCP/IP orienté connexion.

Pour configurer DCOM pour les services d'annuaire :

  1. Depuis le menu Exécuter entrez dcomcnfg et cliquez sur OK. La fenêtre Services de composants s'ouvre.

  2. Depuis Services de composants > Ordinateurs > Mon ordinateur, cliquez avec le bouton droit sur Mon ordinateur et sélectionnez Propriétés. La fenêtre Propriétés de mon ordinateur s'ouvre.

    Windows_DCOM.png

  3. Configurez les propriétés de communication DCOM pour le serveur Windows :

    1. Dans la fenêtre Propriétés de mon ordinateur, sélectionnez l'onglet Propriétés par défaut.

    2. Sélectionnez Activer DCOM distribué sur cet ordinateur.

    3. Depuis Niveau d'authentification par défaut, sélectionnez Connect.

    4. Depuis Niveau d'usurpation par défaut, sélectionnez Identifiez.

  4. Assurez-vous que les protocoles DCOM incluent TCP/IP orienté connexion.

    Windows_DCOM_Protocols.png

    1. Cliquez sur l'onglet Protocols par défaut. Si les Protocoles DCOM incluent TCP/IP orienté connexion, continuez avec l'étape 6 ci-dessous.

    2. Cliquez sur Add. La fenêtre Sélectionnez le protocole DCOM s'ouvre.

    3. Depuis Séquence de protocoles, sélectionnez TCP/IP orienté connexion.

    4. Cliquez sur OK pour fermer la fenêtre Sélectionnez le protocole DCOM.

  5. Cliquez sur OK.

  6. Un message vous informe de la modification des paramètres globaux de la machine DCOM. Cliquez sur Oui pour continuer.

Configuration des autorisations de sécurité COM

Dans la fenêtre Services de composants (dcomcnfg), configurez les autorisations d'accès à la sécurité COM et les autorisations de lancement et d'activité pour donner aux PoPs un accès par défaut à :

  • Utilisateurs COM distribués

  • Lecteurs de journaux des événements

Pour configurer les autorisations de sécurité COM pour les services d'annuaire :

  1. Si nécessaire ouvrez la fenêtre Propriétés de Mon ordinateur, depuis Services de composants > Ordinateurs > Mon ordinateur, cliquez avec le bouton droit sur Mon ordinateur et sélectionnez Propriétés.

  2. Cliquez sur l'onglet Sécurité COM.

    Windows_COM_Security.png

  3. Configurez les autorisations d'accès par défaut pour les utilisateurs COM distribués et les lecteurs de journaux des événements :

    1. Dans Autorisations d'accès, cliquez sur Modifier par défaut.

    2. Sous Noms de groupe ou d'utilisateur, ajoutez et configurez les Utilisateurs COM distribués avec les autorisations suivantes :

      • Accès local - Autoriser

      • Accès à distance - Autoriser

    3. Répétez les deux étapes précédentes pour le groupe Lecteurs de journaux des événements.

    4. Cliquez sur OK.

  4. Configurer les autorisations de lancement pour les utilisateurs COM distribués et les lecteurs de journaux d'événements :

    1. Dans Autorisations de lancement et d'activation, cliquez sur Modifier par défaut.

    2. Sous Noms de groupe ou d'utilisateur, ajoutez et configurez Utilisateurs COM distribués avec les autorisations suivantes :

      • Lancement à distance - Autoriser

      • Activation à distance - Autoriser

    3. Répétez les deux étapes précédentes pour le groupe Lecteurs de journaux d'événements.

    4. Cliquez sur OK.

  5. Cliquez sur OK et fermez les fenêtres Propriétés de Mon Ordinateur et Services de Composant. Les autorisations de sécurité COM sont configurées.

Configuration de Windows Server WMI

Cette section explique comment configurer les autorisations WMI pour permettre à User Awareness de Cato d'envoyer des requêtes WMI des PoPs au serveur Windows.

Configuration de WMI pour se connecter à l'application de gestion Cato

Pour se connecter à un ordinateur distant en utilisant WMI, assurez-vous que les paramètres DCOM corrects et les paramètres de sécurité de l'espace de noms WMI sont activés pour la connexion.

Pour plus d'informations sur la configuration des paramètres WMI pour permettre les connexions à partir de l'application de gestion Cato, consultez la documentation Microsoft.

Configuration de l'accès utilisateur WMI

L'utilisateur ou le groupe que vous avez configuré pour l'accès DCOM doit également avoir l'autorisation WMI pour accéder aux journaux d'événements Windows qui donnent accès à Cato aux événements de connexion pour les utilisateurs AD. Configurez WMI pour permettre l'accès à distance pour les utilisateurs COM distribués et les lecteurs de journaux d'événements.

Pour configurer les paramètres d'accès utilisateur WMI :

  1. Depuis le menu Exécuter, entrez wmimgmt.msc et cliquez sur OK. La fenêtre Instrumentation de Gestion Windows s'ouvre.

  2. Cliquez avec le bouton droit sur Contrôle WMI (Local) et sélectionnez Propriétés. La fenêtre Propriétés du Contrôle WMI (Local) s'ouvre.

  3. Sélectionnez l'onglet Sécurité. L'arborescence du menu Namespace apparaît.

  4. Développez la branche Root et cliquez sur CIMV2.

    Windows_WMI_Sécurité.png

  5. Cliquez sur Sécurité sous l'arborescence du menu. La fenêtre Sécurité pour ROOT\CIMV2 s'ouvre.

  6. Configurer les autorisations de lancement pour les utilisateurs COM distribués et les lecteurs de journaux d'événements

    1. Sous Noms de groupe ou d'utilisateur, ajoutez et configurez Utilisateurs COM distribués avec les autorisations suivantes :

      • Activer le compte - Autoriser

      • Activer à distance - Autoriser

    2. Répétez l'étape précédente pour les Lecteurs de journaux d'événements.

  7. Configurez les paramètres avancés pour les utilisateurs COM distribués :

    1. Sélectionnez Utilisateurs COM distribués et cliquez sur Avancé. La fenêtre Paramètres de sécurité avancés pour CIMV2 s'ouvre.

    2. Dans la colonne Principal, sélectionnez Utilisateurs COM distribués et cliquez sur Modifier. La fenêtre Entrée d'autorisation pour CIMV2 s'ouvre.

    3. Dans le menu déroulant S'applique à, sélectionnez Ce namespace et ses sous-espaces.

      Windows_COMutilisateurs_Avancé.png

  8. Cliquez sur OK. Fermez la fenêtre Paramètres de sécurité avancés pour CIMV2.

  9. Configurez les paramètres avancés pour les lecteurs de journaux d'événements :

    1. Sélectionnez Lecteurs de journaux d'événements et cliquez sur Avancé.

      Windows_JournalÉvénements_Avancé.png

      La fenêtre Paramètres de sécurité avancés pour CIMV2 s'ouvre.

    2. Dans la colonne Principal, sélectionnez Lecteurs de journaux d'événements et cliquez sur Modifier. La fenêtre Entrée d'autorisation pour CIMV2 s'ouvre.

    3. Dans le menu déroulant S'applique à, sélectionnez Ce namespace et ses sous-espaces.

  10. Cliquez sur OK pour fermer la fenêtre Paramètres de sécurité avancés pour CIMV2.

  11. Cliquez sur OK pour fermer la fenêtre Sécurité pour ROOT\CIMV2 et la fenêtre Propriétés du Contrôle WMI (Local).

    Les paramètres d'accès utilisateur WMI sont configurés.

Configuration du registre du contrôleur WMI

Modifiez le registre Windows pour donner les autorisations de lecture aux utilisateurs COM distribués et aux lecteurs de journaux d'événements.

Pour configurer les autorisations du registre pour le contrôleur WMI :

  1. Exécutez Regedit.

  2. Naviguez vers

    HKEY_LOCAL_MACHINE\SYSTEM\

    CurrentControlSet\

    Services\JournalÉvénements\Sécurité

  3. Cliquez avec le bouton droit sur le dossier Sécurité et sélectionnez Autorisations.

  4. Ajoutez et configurez ces groupes avec des autorisations de Lecture :

    • Utilisateurs COM distribués

    • Lecteurs de journaux d'événements

  5. Cliquez sur OK.

Configuration d'un contrôleur WMI avec un tunnel IPsec

Étant donné que la connexion au DC utilise une IP source dans la plage système de Cato, si vous utilisez un tunnel IPsec pour vous connecter au Socket de Cato, vous devez configurer la Phase 2 pour la plage système de Cato : 10.254.254.12.

Pour les comptes qui utilisent une plage système personnalisée au lieu de celle par défaut, utilisez la plage personnalisée pour calculer l'adresse IP fixe pour la synchronisation User Awareness basée. L'adresse IP fixe est la 9ème dans la plage personnalisée. Par exemple, si la plage réservée personnalisée est 10.10.10.0/16, alors l'adresse IP fixe est 10.10.10.9.

Pour les comptes qui utilisent une plage IP plus petite, ils utilisent toujours la 9ème dans la plage personnalisée. Par exemple, si la plage réservée personnalisée est 10.200.200.64/28, alors l'adresse IP fixe est 10.200.200.73 (10.200.200.64 + x.x.x.9).

Configuration du pare-feu Windows pour autoriser DCOM

Configurez le pare-feu Windows ou tiers pour permettre l'accès à l'adresse IP fixe pour la plage système (ou pour une plage personnalisée). Pour plus d'informations sur les plages système et personnalisées, voir ci-dessus Configuration d'un contrôleur WMI avec un tunnel IPsec.

  • Si vous utilisez un pare-feu Windows, vous devez ajouter une exception qui permet les communications DCOM

  • Si vous utilisez un pare-feu tiers entre le serveur Windows et le réseau Cato, ajoutez la même exception à celui-ci

Pour configurer le pare-feu Windows pour permettre les communications DCOM :

  1. Ouvrez le menu Exécuter.

  2. Tapez wf.msc et cliquez sur OK.

  3. Sélectionnez Règles entrantes.

  4. Dans le menu Action, sélectionnez Nouvelle règle. L'assistant Nouvelle règle entrante s'ouvre.

    Windows_FW_NewRule.png

  5. Sélectionnez Personnalisée et cliquez sur Suivant. La fenêtre Programme s'ouvre.

  6. Sélectionnez Tous les programmes, et cliquez sur Suivant. La fenêtre Protocole et Ports s'ouvre.

  7. Pour Type de protocole, sélectionnez TCP et cliquez sur Suivant. La fenêtre Périmètre s'ouvre.

  8. Pour À quelles adresses IP distantes cette règle s'applique-t-elle, sélectionnez l'option Ces adresses IP.

  9. Cliquez sur Ajouter. Dans Cette adresse IP ou sous-réseau, entrez l'adresse IP fixe pour la plage système : 10.254.254.12.

    • Si vous utilisez une plage personnalisée, saisissez l'adresse IP fixe pour votre plage.

  10. Cliquez sur OK puis cliquez sur Suivant. La fenêtre Action s'ouvre.

  11. Sélectionnez Autoriser la connexion et cliquez sur Suivant. La fenêtre Profil s'ouvre.

  12. Sélectionnez un ou plusieurs profils réseau auxquels la règle s'applique et cliquez sur Suivant. La fenêtre Nom s'ouvre.

  13. Entrez le Nom de la règle du pare-feu, puis cliquez sur Terminer.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 4

0 commentaire