Étiquette : Kerberos

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Pas de connexion possible par bureau à distance depuis l'extérieur de la structure globale d'Active Directory

Supposons le scénario suivant :

  • On souhaite établir une connexion de bureau à distance.
  • L'ordinateur client à partir duquel la connexion est établie n'est pas membre de la même structure globale Active Directory que l'ordinateur cible.
  • La connexion échoue avec le message d'erreur suivant :
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
Continuer la lecture de « Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich »

Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“

Supposons le scénario suivant :

  • Benutzer (oder Computer) sollen Zertifikate über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) beantragen.
  • Hierfür wird eine Zertifikatregistrierungs-Richtlinie (Enrollment Policy) konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • L'authentification se fait via Kerberos.
  • Beim Überprüfen der Adresse schläft die Verbindung zum CEP schlägt fehl, und man erhält folgende Fehlermeldung: 
An error occurred while obtaining certificate enrollment policy.
 Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
 Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“ »

Effectuer un test fonctionnel pour le Certificate Enrollment Policy Web Service (CEP)

Nach der Installation einer Zertifikatbeantragungs-Richtlinienservers (Certificate Enrollment Policy Web Service, CEP), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.

Continuer la lecture de « Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP) »

Installation d'un service web Certificate Enrollment Policy (CEP)

La procédure d'installation du Certificate Enrollment Policy Web Service (CEP) est décrite ci-dessous.

Continuer la lecture de « Installation eines Certificate Enrollment Policy Web Service (CEP) »

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • L'authentification se fait via Kerberos.
  • La demande de certificat est effectuée par le serveur CEP lui-même.
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant : 
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais