Bonjour!
Besoin d'aide? Nous sommes ici !
Besoin d'aide? Nous sommes ici !
Résultats de la recherche:
×Ce guide fournit une introduction à certaines des solutions clés fournies par le serveur miniOrange Single Sign On pour sécuriser votre infrastructure Windows, certaines d'entre elles étant capables de s'authentifier dans les applications connectées après votre connexion à votre domaine Windows, en ajoutant une 2e couche d'authentification lorsque vous accédez à des ressources protégées via un VPN ou un serveur de bureau à distance, etc.
Dans tous les cas ci-dessus, LDAP est un aspect important car il présente l'avantage de consolider les informations d'une organisation entière dans un référentiel central. miniOrange fournit une large gamme de solutions pour LDAP, telles que LDAP Proxy/Gateway, la prise en charge de plusieurs annuaires Active Directory comme magasins d'utilisateurs, la synchronisation Active Directory avec le serveur miniOrange, etc.
miniOrange fournit authentification de l'utilisateur provenant de diverses sources externes, qui peuvent être Partages de fichiers (comme ADFS, Microsoft Active Directory, OpenLDAP, AWS, etc.), Fournisseurs d'identité (comme Microsoft Entra ID, Okta, AWS) et beaucoup plus. Vous pouvez configurer votre répertoire/magasin d'utilisateurs existant ou ajouter des utilisateurs dans miniOrange.
Vous êtes connecté à votre système Windows et vous souhaitez vous connecter à une application, par exemple une application sur site comme SharePoint ou une application cloud comme GSuite. Vous n'en avez pas assez de vous connecter à chaque application avec les mêmes identifiants à chaque fois ? Faites-nous confiance, nous pouvons vous faciliter la tâche.
miniOrange propose une solution qui, une fois connecté à Windows, vous permet de vous connecter en mode Single Sign On aux applications connectées hébergées à la fois dans le cloud et sur site, à condition que les applications soient configurées au sein du domaine pour l'authentification unique. Vous pouvez configurer des portails intranet ou des applications telles que Google Apps, Office 365, etc. qui vous connecteront automatiquement lorsque vous tenterez d'y accéder.
Défi/Réponse Windows (NTLM) est le protocole d'authentification utilisé sur les réseaux comprenant des systèmes exécutant le système d'exploitation Windows et sur des systèmes autonomes.
Le protocole Kerberos définit la manière dont les clients interagissent avec un service d'authentification réseau. Les clients obtiennent des tickets auprès du centre de distribution de clés Kerberos (KDC) et présentent ces tickets aux serveurs lorsque les connexions sont établies. Les tickets Kerberos représentent les informations d'identification réseau du client.
L'authentification Windows utilise soit l'authentification Kerberos, soit l'authentification NTLM, selon les configurations client et serveur. Ce document suit l'exemple d'un cas d'utilisation dans lequel NTLM est le meilleur choix : les applications sont déployées sur des serveurs Windows joints au domaine Active Directory. Par exemple, une configuration complète de Microsoft Active Directory existe.
Le serveur SSO miniOrange vous permet de vous connecter à vos applications sans ressaisir vos informations d'identification après vous être authentifié dans le domaine Windows.
miniOrange y parvient en installant un composant sur le serveur Windows qui agit essentiellement comme un fournisseur d'identité. Lorsque l'utilisateur tente d'accéder à une application cloud comme Salesforce, la demande est envoyée au serveur SSO miniOrange qui, à son tour, demande au module SAML miniOrange installé sur la machine Windows si l'utilisateur peut se connecter et effectue l'authentification unique en fonction de la réponse du module.
Cela implique essentiellement 3 étapes :
1. Ouvrez l’invite de commande en mode administratif.
2. Exécutez la commande suivante dessus :
setspn -a HTTP/## Nom de domaine complet du serveur## ## Compte de service de domaine##
3. Ouvrez Utilisateurs et ordinateurs Active Directory.
4. Recherchez le compte de service qui a été utilisé pour créer le Nom principal du service (SPN).
5. Naviguez vers le Délégation languette.
6 Sélectionner Faites confiance à cet utilisateur pour la délégation à n'importe quel service (Kerberos uniquement).
7. Cliquez Appliquer.
8. Ouvrez-vous Gestionnaire des services Internet.
9. Sélectionnez le site sur lequel vous souhaitez postuler authentification windows à.
10. Sélectionnez le pool d'applications pour ce site Web. Faites un clic droit dessus et sélectionnez Paramètres avancés.
11. Utiliser Compte personnalisé et définissez le compte comme compte de service pour lequel la délégation a été activée. Vous devrez également saisir le mot de passe du compte de service.
12. Naviguez vers le Authentification section pour le site web.
13. Activer authentification windows et désactiver Authentification anonyme.
14. Dans l'éditeur de configuration, recherchez system.webServer/security/authentication/windowsAuthentication.
15. Ensemble utiliser le mode noyau as Faux et useAppPoolCredentials as Vrai
16. Cliquez Appliquer.
17. Ouvrez-vous Internet Explorer et ouvert options Internet.
18. Ajoutez le nom de domaine complet du serveur IIS à la liste des sites dans l'intranet local.
19 Sélectionner Niveau personnalisé pour Zone de sécuritéDans la liste des options, sélectionnez Connexion automatique uniquement dans la zone intranet.
Vous allez installer un module SAML sur le serveur IIS joint au domaine Windows. Ce module sera chargé d'identifier si l'utilisateur connecté à Windows peut également être connecté aux applications connectées au sein du domaine.
Lorsque l'utilisateur tente d'accéder à une application cloud, par exemple Salesforce, la demande est reçue par miniOrange qui transmet la demande à ce module SAML installé sur site, qui détermine si l'utilisateur peut être connecté automatiquement et envoie la réponse en conséquence.
1. Mettez les URL dans le samlsso.php dans le module SAML.
| Paramètre | Valeur |
|---|---|
| URL ACS | Du format : https://auth.miniorange.com/moas/endusersamlresponse |
| Emetteur | Le nom d'hôte du serveur |
| Audience | https://auth.miniorange.com/moas |
2. Enregistrez le fichier.
1. Connectez-vous au tableau de bord d'administration.
2. Aller vers Fournisseurs d'identité dans la barre de navigation de gauche.
3. Cliquez sur Ajoutez une source d'identité.
4. Ajoutez une source d’identité SAML dans miniOrange avec les détails du module SAML sur site.
| Paramètre | Valeur |
|---|---|
| ID d'entité IdP/Émetteur | Comme indiqué à l'étape ci-dessus |
| URL de connexion SAML SSO | Du format http://< hostname_of_server >/saml/samlsso.php |
| Certificat X.509 | Le certificat SP dans le module SAML |
5. Enregistrez la source d'identité et définissez-la comme source d'identité par défaut en cliquant sur Faire défaut.
La passerelle miniOrange est un petit logiciel qui peut résider sur une machine partagée. Il n'a pas besoin de sa propre machine et nos clients l'installent généralement sur n'importe quel serveur déjà présent dans la DMZ.
Cliquez ici pour en savoir plus.
Ceci permet de définir un fichier de propriétés externes que Tomcat utilise pour lire et écrire la configuration LDAP. Pour définir le fichier de propriétés externes, suivez les étapes ci-dessous :
1. Ouvrez le fichier catalina.bat (catalina.sh sur les serveurs Linux) de l'installation de Tomcat.
2. Ajoutez la ligne suivante ci-dessous # ----- Exécutez la commande demandée -------------------------------------
Linux
JAVA_OPTS = "$JAVA_OPTS-Dexternal.properties.file=/home/user/application.properties
Fenêtres
définir JAVA_OPTS=%JAVA_OPTS%-Dexternal.properties.file=C:\Users\user\Documents\application.properties
3. Enregistrez le fichier.
4. Redémarrez Tomcat.
Cette étape est nécessaire pour configurer la connexion LDAP sur la passerelle. Suivez les étapes ci-dessous :
1. Connectez-vous à la passerelle LDAP miniOrange.
2. Naviguez vers le Configurer les clés .
3. Met le N ° de client Et Clé de jeton du compte miniOrange et cliquez sur Enregistrer.
4. Naviguez vers le Configuration LDAP section. Cliquez sur Modifier pour la configuration LDAP par défaut.
5. Ajoutez les détails de configuration suivants. Cliquez sur Enregistrer.
Suivez les étapes ci-dessous pour configurer la synchronisation planifiée
1. Naviguez vers le Planificateur .
2. Met le Intervalle de synchronisation en heures. Cela détermine le nombre d'heures après lesquelles la synchronisation planifiée s'exécutera. Dans les configurations typiques, c'est de 24 heures.
3. Met le Heure de synchronisation in HH: mm format. Cela détermine l'heure de la journée à laquelle la première synchronisation programmée s'exécutera. Cliquez sur Enregistrer.
La synchronisation planifiée s'exécutera désormais à l'heure définie.
Suivez les étapes ci-dessous pour configurer la passerelle LDAP dans la console d'administration miniOrange :
1. Accédez à la console d'administration miniOrange. Connectez-vous avec vos identifiants miniOrange.
2. Naviguez vers le Magasins d'utilisateurs .
3. Cliquez sur Ajouter un utilisateur Stocker.
4. Sélectionnez le type comme AD/LDAP Et définir Stocker la configuration LDAP sur site.
Mettez le URL de la passerelle miniOrange.
Choisir Activer LDAP.
Cliquez sur Enregistrer.
L'outil de synchronisation de passerelle LDAP miniOrange agit comme intermédiaire entre un serveur Active Directory/LDAP sur site et un service basé sur le cloud miniOrange.
Il permet les fonctionnalités suivantes :
L'outil miniOrange LDAP Gateway Sync agit comme un intermédiaire entre un serveur Active Directory/LDAP sur site et un service miniOrange basé sur le Cloud. Il permet les fonctionnalités suivantes :
Cela vous permet de configurer plusieurs annuaires Active Directory dans miniOrange pour l'authentification, et de déterminer quel annuaire Active Directory doit être utilisé pour l'authentification dans quelle application. Par exemple, vous pouvez configurer AD1, AD2, ... ADN comme source d'authentification pour les applications. Grâce à cela, les utilisateurs de tous ces annuaires pourront se connecter de manière unique à toutes les applications.
LDAP en tant que proxy agit comme une couche intermédiaire entre le client LDAP, par exemple n'importe quel CMS (Wordpress par exemple) et Active Directory, le serveur d'annuaire LDAP.
Le proxy LDAP réside dans la DMZ entre une application basée sur le cloud et un LDAP interne et est chargé de transférer les requêtes LDAP de l'application vers le serveur sur site. Cela permet à l'application d'accéder au proxy pour l'intégration LDAP et l'annuaire interne reste non exposé au sein du réseau.
Si vous utilisez un réseau privé virtuel (VPN) pour permettre à vos utilisateurs de se connecter via un réseau public, l'amélioration de la sécurité devient une préoccupation puisque les utilisateurs ont accès à des ressources numériques sensibles. miniOrange peut être d'une grande utilité ici en fournissant une authentification à deux facteurs en plus de l'authentification VPN. Cela sécurise l'accès aux ressources protégées au lieu de s'appuyer uniquement sur le nom d'utilisateur/mot de passe VPN.
Le service RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur qui fournit l'authentification et l'autorisation client. Il permet aux serveurs d'accès distant de communiquer avec un serveur pour authentifier les utilisateurs et autoriser leur accès au système ou au service demandé.
| Texte clair | Hachage NT (ntlm_auth) | MD5 hash | Hachage MD5 salé | Hachage SHA1 | Hash SHA1 salé | Crypte Unix | |
|---|---|---|---|---|---|---|---|
| BOUILLIE | |||||||
| TYPE | |||||||
| Digérer | |||||||
| MS-CHAP | |||||||
| PEAP | |||||||
| EAP-MSCHAPv2 | |||||||
| Cisco LEAP | |||||||
| EAP-CGV | |||||||
| EAP-MD5 | |||||||
| SIM-EAP | |||||||
| EAP-TLS |
miniOrange accomplit cela en agissant comme un serveur RADIUS, qui accepte le nom d'utilisateur/mot de passe de l'utilisateur saisi en tant que requête RADIUS, valide l'utilisateur par rapport au magasin d'utilisateurs en tant qu'Active Directory (AD), lui demande l'authentification à 2 facteurs et accorde/révoquer l'accès en fonction de la saisie de l'utilisateur.
L'authentification à 2 facteurs peut être de deux types selon les clients VPN.
Dans ce cas, il y a deux demandes. La première demande concerne le nom d'utilisateur/mot de passe de l'utilisateur, validé par rapport aux informations d'identification stockées dans Active Directory. Une fois que la première demande a envoyé une réponse de réussite, une demande de défi est envoyée pour valider l'authentification à deux facteurs de l'utilisateur (par exemple, dans le cas d'OTP par e-mail, un code d'accès à usage unique est envoyé à l'adresse e-mail de l'utilisateur). L'utilisateur valide le deuxième facteur, après quoi il obtient l'accès à l'application.
Méthodes d'authentification pouvant être utilisées :
Clients RADIUS qui prennent en charge ce type d’authentification :
Plus bas, il existe deux types d'authentification :
Dans les deux cas ci-dessus, miniOrange accepte la demande et valide d’abord le nom d’utilisateur/mot de passe, puis le code à 2 facteurs saisi par l’utilisateur.
Méthodes d'authentification pouvant être utilisées :
Clients RADIUS qui prennent en charge ce type d’authentification :
1. Connectez-vous au tableau de bord d'administration.
2. Aller vers Applications >> Gérer les applications dans la barre de navigation de gauche.
3. Cliquez sur Configurer les applications.
4. Accédez à l’onglet Applications Radius et sélectionnez Serveur RADIUS app. Cliquer sur Ajouter une application .
5. Saisissez le nom du client Radius, l'adresse IP du client et le secret partagé que vous devrez également configurer dans le client Radius.
6. Cliquez sur Enregistrer .
1. Accédez au menu Magasins d'utilisateurs et cliquez sur Ajouter un magasin d'utilisateurs .
2. Configurez vos paramètres LDAP.
3. Assurez-vous de garder les options ci-dessous activées.
4. Cliquez sur Enregistrer.
5. Après avoir enregistré, cliquez sur Configuration du test pour vérifier vos paramètres LDAP
1. Allez dans l'onglet Politiques et cliquez sur Politique d'authentification des applications.
2. Accédez à l’onglet Ajouter une politique et ajoutez une politique pour l’application ajoutée à l’étape 1.
Vous pouvez configurer votre client Radius avec les détails ci-dessous :
IP / Hôte du serveur Radius : IP ou nom de domaine du serveur sur lequel vous avez installé miniOrange.
Port serveur : 1812
Secret partagé : configuré à l’étape 1.
La configuration côté client RADIUS dépend du client VPN. OpenVPN est présenté ici à titre d'exemple.
Cliquez ici pour voir les étapes détaillées.1. Connectez-vous au Tableau de bord d'administration OpenVPN.
2. Aller vers Authentification >> Général dans la barre de navigation de gauche. Sélectionnez RADIUS et enregistrez les paramètres.
3. Aller vers Authentification >> RADIUS dans la barre de navigation de gauche. Sélectionner BOUILLIE comme méthode d'authentification RADIUS.
Dans les paramètres RADIUS ci-dessous, entrez le IP/hôte du serveur Radius comme l'IP ou le nom de domaine du serveur sur lequel vous avez installé miniOrange, Port de serveur comme 1812 et Secret partagé configuré à l'étape précédente.
4. Cliquez sur Enregistrer les paramètres.
Voici comment fonctionne la connexion VPN réelle avec 2FA.
1. Connectez-vous à OpenVPN en entrant le nom d'hôte du serveur.
2. Entrez votre nom d'utilisateur et votre mot de passe AD et cliquez sur Connexion.
3. Vous êtes maintenant invité à saisir le code d'authentification à deux facteurs. Saisissez le code et cliquez sur Continuer.
4. Après une validation réussie, vous êtes connecté.
Les utilisateurs saisissent leurs identifiants AD pour se connecter à Palo Alto, le client Radius, et après la validation du nom d'utilisateur/mot de passe, un code à usage unique est envoyé au numéro de mobile de l'utilisateur. L'utilisateur saisit le code à usage unique reçu, qui est validé par miniOrange pour obtenir/refuser l'accès à l'utilisateur.
Les utilisateurs saisissent leurs identifiants AD et le code 2FA (jeton logiciel) pour se connecter à OpenVPN, au client Radius et, après la validation du nom d'utilisateur/mot de passe, sont invités à effectuer l'authentification à 2 facteurs. Après la validation du 2e facteur, les utilisateurs sont connectés à OpenVPN.
Les utilisateurs saisissent leurs identifiants AD pour se connecter à FortiNet, et après la validation du nom d'utilisateur/mot de passe, une notification push est envoyée sur le mobile de l'utilisateur, qu'il doit accepter pour se connecter à AWS.
Lorsque les utilisateurs se connectent à un service Bureau à distance, l'authentification à deux facteurs est essentielle pour assurer une protection de sécurité élevée des ressources de votre entreprise. L'installation de miniOrange 2-Factor Authentication pour Windows Logon ajoute l'authentification à deux facteurs aux tentatives de connexion Windows via RDP.
L'utilisateur initie la connexion au service Bureau à distance soit via un client Bureau à distance, soit via la page de connexion Web Bureau à distance à partir de son navigateur, après quoi la requête RADIUS est envoyée depuis le composant Web Bureau à distance miniOrange installé sur la machine cible au serveur RADIUS miniOrange, qui authentifie l'utilisateur via Local AD, et après une authentification réussie, l'authentification à 2 facteurs de l'utilisateur est invoquée. Une fois que l'utilisateur s'est validé, il se voit accorder l'accès au service Bureau à distance.
Un utilisateur peut essayer de se connecter à RDS (Remote Desktop Services) de 2 manières :
1. L'utilisateur accède à la page de connexion RD Web à partir de son navigateur, saisit son nom d'utilisateur/mot de passe et clique sur Soumettre.
2.
Cette erreur est généralement due à un décalage horaire entre le serveur miniOrange et votre appareil mobile (ou à un décalage entre l'heure de votre ordinateur et l'heure de votre appareil mobile dans le cas de l'authentification hors ligne pour Windows/Linux/Mac).
Les jetons de sécurité générés par les applications d'authentification sont des jetons temporaires (TOTP). Leur validité est limitée à 30 à 60 secondes. Si l'heure système de votre téléphone exécutant l'application d'authentification ou de votre ordinateur (en cas d'authentification hors ligne) est en avance ou en retard de seulement deux minutes, le code sera considéré comme expiré par le serveur ou l'ordinateur.
