Création d’une confiance Active Directory

Overview

Une confiance Active Directory (AD trust) est une méthode de connexion de deux domaines (ou forêts) Active Directory distincts pour permettre aux utilisateurs d’un domaine de s’authentifier par rapport aux ressources de l’autre. En termes les plus simples, il s’agit du processus d’extension de la frontière de sécurité d’un domaine (ou d’une forêt) AD pour inclure un autre domaine (ou une autre forêt) AD.

Il existe de multiples paramètres de configuration d’une confiance Active Directory qui ne seront pas abordés dans cet article ; itopia recommande aux administrateurs de faire des recherches sur les fiducies AD pour bien comprendre leur impact et leurs implications avant de procéder. Des concepts tels que la transitivité, les trusts implicites, le filtrage SID et le scoping ne sont pas abordés dans cet article mais constituent des aspects importants de la définition de l’impact d’une relation de confiance.

Il est important de comprendre plusieurs termes qui seront utilisés dans cet article :

  • Domaine de ressources – Il s’agit du domaine AD qui contient les ressources auxquelles les utilisateurs doivent accéder. Dans le contexte d’itopia, il s’agit du nouveau domaine qui est créé par CAS et qui contient les serveurs Cloud Desktop. On l’appelle souvent le domaine de « confiance ».
  • Domaine des comptes – Il s’agit du domaine AD qui contient les comptes d’utilisateur avec lesquels les utilisateurs se connectent. Dans le contexte d’itopia, il s’agit de votre domaine AD existant qui contient les comptes d’utilisateur qui s’authentifieront auprès de Cloud Desktop. On l’appelle souvent le domaine « de confiance ».

Confiances directionnelles

Les relations de confiance AD sont directionnelles ; une confiance peut être configurée comme une confiance unidirectionnelle ou bidirectionnelle. Dans un trust à sens unique, un domaine est spécifié comme étant le domaine Comptes et l’autre est le domaine Ressources ; dans la terminologie confuse de Microsoft, le trust est entrant dans le domaine Comptes et sortant du domaine Ressources. Une confiance bidirectionnelle est effectivement deux confiances à sens unique ; chaque domaine est configuré à la fois comme le domaine Comptes et le domaine Ressources, de sorte que les utilisateurs de l’un ou l’autre domaine peuvent accéder aux ressources de l’autre domaine.

NOTE : Il est important de comprendre que l’expression « peut accéder aux ressources » ne signifie pas que les utilisateurs Comptes ont un quelconque accès implicite aux ressources du domaine de confiance (Ressources) ; il est plus exact de dire que les utilisateurs Comptes « peuvent se voir accorder l’accès aux ressources » dans le domaine Ressources.

Conditions préalables à l’établissement d’une confiance AD

Pour créer une confiance AD entre deux domaines Active Directory, les conditions suivantes doivent être satisfaites :

  • Connectivité réseau – les contrôleurs de domaine de chaque domaine doivent pouvoir communiquer entre eux. Les serveurs et autres ressources du domaine Ressources doivent également pouvoir communiquer avec les contrôleurs de domaine du domaine Comptes
  • Résolution de noms DNS – les contrôleurs de domaine de chaque domaine doivent pouvoir résoudre les enregistrements DNS pour l’environnement AD de l’autre domaine
  • Compte de service du domaine Comptes – un compte d’utilisateur AD dans le domaine Comptes est nécessaire pour qu’itopia CAS puisse lire les objets utilisateur et groupe de ce domaine. Ceci est requis pour les trusts à sens unique ; pour les trusts à double sens, un accès implicite en lecture seule est fourni par défaut et un compte de service n’est pas requis. Le compte de service ne nécessite pas d’autorisations spéciales ; il doit simplement être membre du groupe Utilisateurs du domaine dans le domaine Comptes.

Connectivité réseau

Pour prendre en charge la confiance AD, les contrôleurs de domaine de chaque domaine doivent pouvoir communiquer sur un certain nombre de ports réseau. Pour Cloud Desktop, cela nécessite :

  1. Créer un peering VPC (si votre domaine Comptes possède des contrôleurs de domaine dans Google Cloud) ou un VPN ou une interconnexion (si votre domaine Comptes possède uniquement des contrôleurs de domaine en dehors de Google Cloud). Reportez-vous à la documentation de Google Cloud pour obtenir des instructions détaillées sur ces processus.
  2. Configuration des règles de pare-feu pour autoriser le trafic AD entre le domaine Comptes et le domaine Ressources. Ces règles doivent généralement être configurées à plusieurs endroits : sur le réseau VPC pour votre environnement Cloud Desktop et sur le réseau VPC (ou le pare-feu pour les environnements sur site) qui contient les contrôleurs de domaine pour le domaine Comptes. Reportez-vous à la documentation de Google Cloud et/ou à la documentation de votre fournisseur de pare-feu pour obtenir des instructions sur ces processus.

Le tableau ci-dessous fournit les ports réseau minimums qui sont requis pour la fonctionnalité de confiance Active Directory. Des informations supplémentaires sont disponibles dans la documentation de Microsoft.

Ports réseau requis pour les fiducies Active Directory - Reportez-vous à un href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts »/>

Résolution de nom DNS

Une fois la connectivité réseau établie, les deux domaines Active Directory doivent être configurés avec des règles de transfert DNS afin qu’ils puissent accéder aux enregistrements DNS Active Directory de l’autre.

La façon la plus courante d’y parvenir est de créer des forwarders conditionnels pour le FQDN de chaque domaine sur les serveurs DNS de l’autre domaine. Considérons l’exemple suivant :

  • Le domaine de ressources est contoso.local et possède deux contrôleurs de domaine AD / serveurs DNS avec les IP 10.0.1.10 et 10.0.1.11
  • Le domaine de comptes est fabrikam.local et possède deux contrôleurs de domaine AD / serveurs DNS avec les IP 192.168.1.10 et 192.168.1.11

Une fois la connectivité réseau établie entre ces deux domaines (comme décrit ci-dessus), un administrateur pour chaque domaine configurerait ce qui suit :

  • Sur les serveurs DNS pour contoso.local, créez un transitaire conditionnel pour le domaine fabrikam.local qui pointe vers 192.168.1.10 et 192.168.1.11
  • Sur les serveurs DNS pour fabrikam.local, créez un transitaire conditionnel pour le domaine contoso.local qui pointe vers 10.0.1.10 et 10.0.1.11

Pour créer un transitaire conditionnel :

  1. Ouvrez l’utilitaire Gestionnaire DNS sur votre serveur DNS
  2. Développez le nom du serveur DNS, et sélectionnez l’élément de menu Transitaires conditionnels.
  3. Cliquez avec le bouton droit de la souris et sélectionnez Nouveau transitaire conditionnel
  4. Pour le domaine DNS, indiquez le FQDN de l’autre domaine AD. Pour les adresses IP, fournissez au moins une adresse IP d’un serveur DNS pour l’autre domaine
  5. Pour plus de simplicité, il est recommandé d’activer Store this conditional forwarder dans Active Directory ; sinon, vous devrez créer le forwarder localement sur chaque serveur DNS.
  6. Enregistrez le transitaire.
Enregistrement d'écran de la création du transitaire conditionnel.

NOTE : Il existe d’autres méthodes pour établir la résolution de nom DNS entre les domaines, et dans certains cas, ces autres méthodes peuvent être nécessaires. Par exemple, si un domaine réside derrière une interface de traduction d’adresse réseau (NAT), les adresses IP renvoyées par ses serveurs DNS ne correspondront pas aux IP que l’autre domaine doit utiliser pour communiquer. Dans ce scénario, vous devrez créer une zone DNS pour le FQDN de l’autre domaine, créer manuellement des enregistrements DNS A pour les contrôleurs de domaine (et le nom de domaine lui-même) en utilisant les adresses IP NAT, puis déléguer le sous-domaine _msdcs.<domaine FQDN> aux contrôleurs de domaine de l’autre domaine.

Création d’un trust AD

Une fois que les conditions préalables ont été établies et vérifiées, vous pouvez procéder à la création d’un trust AD. Comme mentionné au début de cet article, plusieurs décisions importantes en matière de sécurité doivent être prises avant de créer un trust, et l’analyse de ces décisions dépasse la portée de cet article. itopia vous recommande de faire des recherches et de comprendre les trusts AD avant de procéder.

Dans l’exemple ci-dessous, nous allons configurer ce qui suit :

  • Domaine de ressources : contoso.local
  • Domaine de comptes : fabrikam.local
  • Type de trust : Unidirectionnel, non transitif

Nous allons initier la création de la confiance à partir du domaine de ressources (contoso.local) et configurer l’assistant de nouvelle confiance pour créer la confiance dans les deux domaines ; si cela n’est pas possible dans votre environnement, vous pouvez exécuter l’assistant de nouvelle confiance séparément dans chaque domaine et le configurer pour ne pas créer la confiance dans l’autre domaine.

  1. Connectez-vous à un contrôleur de domaine dans le domaine de ressources contoso.local en utilisant un compte qui est membre du groupe Admins du domaine.
  2. Ouvrez l’utilitaire Domaines et trusts Active Directory.
  3. Développez le menu arborescent de gauche, cliquez avec le bouton droit de la souris sur l’objet représentant le domaine contoso.local et sélectionnez Propriétés.
  4. Naviguez vers l’onglet Trusts et cliquez sur New Trust
  5. Procédez à travers l’assistant New Trust.
  6. Pour le nom du trust, fournissez le FQDN du domaine des comptes, fabrikam.local
  7. Pour le type de trust, sélectionnez External trust ; cela signifie que le trust est uniquement pour les deux domaines en cours de configuration. Si contoso.local ou fabrikam.local avaient des domaines enfants, ils ne seraient pas en mesure d’utiliser cette confiance et devraient créer leurs propres fiducies.
  8. Pour la direction de la confiance, sélectionnez Two-way. Cela configurera à la fois un trust entrant et un trust sortant dans chacun des domaines Compte et Ressource.
  9. Pour Sides of Trust, sélectionnez Both this domain and the specified domain. Cela créera la configuration de confiance dans les deux domaines en même temps. Si vous ne disposez pas des informations d’identification des administrateurs de domaine pour l’autre domaine, vous pouvez sélectionner Ce domaine uniquement, puis exécuter l’assistant de nouvelle confiance ultérieurement pour terminer la confiance. Notez que si vous faites cela, vous inverserez les valeurs de configuration pour fournir le FQDN du domaine de ressources et vous sélectionnerez One-way : incoming.
  10. Pour le nom d’utilisateur et le mot de passe, fournissez l’identifiant d’un compte ayant la qualité d’administrateur de domaine dans le domaine Accounts.
  11. Pour Outgoing Trust Authentication Level – Local Domain, sélectionnez Domain-wide authentication. Cela simplifie grandement la configuration des autorisations.
  12. Pour le niveau d’authentification de confiance sortant – Domaine spécifié, sélectionnez l’authentification à l’échelle du domaine. Cela simplifie grandement la configuration de la permission. NOTE : Si une plus grande sécurité est requise, l’authentification sélective peut être activée pour ce paramètre. Contactez le support itopia pour plus d’informations.
  13. Sur l’écran Sélections de confiance terminées, examinez le résumé de la configuration et cliquez sur Suivant.
  14. Sur l’écran Création de confiance terminée, examinez le statut pour vous assurer que la confiance a été créée avec succès et cliquez sur Suivant.
  15. Pour Confirmer le trust sortant, sélectionnez Oui, confirmez le trust sortant.
  16. Pour Confirmer le trust entrant, sélectionnez Oui, confirmez le trust entrant.
  17. Sur l’écran Terminer l’assistant de nouveau trust, examinez le statut pour vous assurer que le trust a été confirmé avec succès. Cliquez sur Terminer.
  18. Si vous voyez un message contextuel indiquant que le filtrage SID est activé, vous pouvez ignorer ce message en toute sécurité. Le filtrage SID est une mesure de sécurité par défaut qui n’affectera pas la fonctionnalité de confiance pour les bureaux cloud.
Enregistrement d'écran du processus de création de confiance AD

Summary

Cet article fournit un aperçu de base des étapes de création d’une confiance Active Directory simple. Le processus défini ci-dessus peut ne pas convenir à tous les environnements ; il est important de comprendre les implications d’une confiance AD et de conférer avec vos équipes de sécurité et d’annuaire avant de décider de la configuration de la confiance qui convient à votre environnement.

Support des fiducies AD dans les déploiements CAS

Mise en œuvre de Active Directory dans itopia CAS

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.