Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de service gMSA (Group Managed Service Account)

Auteur Uwe GradeneggerPublié le Catégories Service d'enregistrement des périphériques réseau (NDES), SécuritéÉtiquettes ,

Pour des raisons de sécurité, il peut être préférable de faire fonctionner NDES avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Restrictions à l'utilisation d'un gMSA

L'utilisation d'un Group Managed Service Account avec NDES est toutefois soumise à certaines restrictions :

Mise en œuvre

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Conditions requises pour le compte de service NDES

Le compte de service NDES...

  • doit être membre du groupe local de IIS_IUSRS.
  • nécessite des droits de lecture sur les clés privées des certificats de l'Autorité d'enregistrement (RA).
  • nécessite le droit de demander des certificats à l'autorité de certification configurée.
  • nécessite des autorisations Enroll sur le modèle de certificat de périphérique.
  • nécessite un nom principal de service (SPN), si un alias doit être utilisé pour la connexion à la page web d'administration

Création du gMSA pour le Network Device Enrollment Service

Le gMSA pour NDES peut être créé à l'aide de la commande PowerShell suivante, à condition que une clé racine KDS est créée dans la structure globale d'Active Directory a été

New-ADServiceAccount -Name gMSA_NDES -PrincipalsAllowedToRetrieveManagedPassword NDES01$ -DNSHostName gMSA_NDES.intra.adcslabor.de

Les arguments indiqués ont la signification suivante :

  • Le site Nom L'argument indique le nom du gMSA.
  • Le site PrincipalsAllowedToRetrieveManagedPassword indique le serveur autorisé à récupérer le mot de passe du compte de service.
  • Le site DNSHostName L'argument indique le contenu de l'attribut dNSHostName du compte, car un gMSA fonctionne techniquement comme un compte informatique.

Installer gMSA sur le serveur NDES

Tout d'abord, les outils de gestion Active Directory pour PowerShell doivent être installés sur le serveur NDES.

Add-WindowsFeature RSAT-AD-PowerShell

Ensuite, le compte de service peut être installé sur le serveur à l'aide de la commande PowerShell suivante.

Install-ADServiceAccount gMSA_NDES

La commande ne renvoie rien si elle a réussi.

Pour vérifier si c'est vraiment le cas, on peut utiliser la commande de ligne de commande suivante.

Test-ADServiceAccount gMSA_NDES

Cette commande renvoie True si le gMSA a été installé avec succès.

Ajouter gMSA au groupe IIS_IUSRS sur le serveur NDES

Le gMSA configuré doit maintenant encore être inclus dans le groupe de sécurité local IIS_IUSRS afin de pouvoir être utilisé par NDES. Cela peut se faire via la console de gestion des utilisateurs locaux (lusrmgr.msc).

Configurer le gMSA dans le pool d'applications SCEP

Pour que le service NDES fonctionne avec le gMSA installé, celui-ci doit être configuré dans le pool d'applications SCEP dans la console de gestion Internet Information Server (IIS). Pour ce faire, il faut cliquer avec le bouton droit de la souris sur le pool d'applications SCEP et sélectionner l'option "Advanced Settings...".

Dans l'option "Identity", on clique sur le côté droit sur le bouton "...". bouton.

Dans la boîte de dialogue qui suit, on choisit "Custom account" et on clique sur "Set...".

Lors de l'indication de l'identité dans le dialogue suivant, il faut tenir compte de certaines particularités :

  • Le nom de domaine doit obligatoirement être indiqué.
  • Étant donné qu'un gMSA fonctionne de manière similaire à un compte informatique, un signe dollar doit être indiqué à la fin du nom du compte.
  • Dans le cas d'un gMSA, aucun mot de passe n'est indiqué, les deux champs doivent donc rester vides.

Autres particularités

Dans la mesure où le service NDES a été configuré avec un mot de passe statique, il faut encore adapter les autorisations dans le registre pour le gMSA. La manière de procéder est décrite dans cet article décrites.

Redémarrage du service NDES

Le service NDES est ensuite redémarré à l'aide de la commande iisreset.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais